snort 分析wireshark 捕获

Question

我正在尝试识别我们网络上的问题用户。ntop 识别高流量和高连接用户，但恶意软件并不总是需要高带宽才能真正搞砸。所以我试图用 snort 进行离线分析（不想用 20 Mbps 流量的内联分析给路由器带来负担）。显然 snort-r为此提供了一个选项，但我无法运行分析。

分析系统是gentoo，amd64，以防万一。我已经使用 oinkmaster 下载了最新的 IDS 签名。但是当我尝试运行 snort 时，我不断收到以下错误：

% snort -V

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.0.3 IPv6 GRE (Build 98) x86_64-linux
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
           Copyright (C) 1998-2010 Sourcefire, Inc., et al.
           Using libpcap version 1.1.1
           Using PCRE version: 8.11 2010-12-10
           Using ZLIB version: 1.2.5

%> snort -v -r jan21-for-snort.cap -c /etc/snort/snort.conf -l ~/snortlog/

（剪辑）

273 out of 1024 flowbits in use.

[ Port Based Pattern Matching Memory ]
+- [ Aho-Corasick Summary ] -------------------------------------
| Storage Format    : Full-Q
| Finite Automaton  : DFA
| Alphabet Size     : 256 Chars
| Sizeof State      : Variable (1,2,4 bytes)
| Instances         : 314
|     1 byte states : 304
|     2 byte states : 10
|     4 byte states : 0
| Characters        : 69371
| States            : 58631
| Transitions       : 3471623
| State Density     : 23.1%
| Patterns          : 3020
| Match States      : 2934
| Memory (MB)       : 29.66
|   Patterns        : 0.36
|   Match Lists     : 0.77
|   DFA
|     1 byte states : 1.37
|     2 byte states : 26.59
|     4 byte states : 0.00
+----------------------------------------------------------------
[ Number of patterns truncated to 20 bytes: 563 ]
ERROR: Can't find pcap DAQ!
Fatal Error, Quitting..

安装了net-libs/daq，但我什至不想捕获流量，我只想处理捕获文件。

为了进行离线分析而不是实时捕获，我应该设置/取消设置哪些配置选项？

Answer 1

我不完全确定修复是什么，但它可能与指定编译 snort 的 USE 标志有关。这是在下面的帖子中报道的，我认为该帖子还包含一个临时解决方案。

我建议使用另一个发行版/Windows，或者去 Gentoo 论坛询问有关 Snort 的构建问题。