WINDOWS下安装Snort
来源:互联网 发布:淘宝自动打招呼软件 编辑:程序博客网 时间:2024/05/21 10:28
需要在WINDOWS下安装Snort。过程比较麻烦,主要是配置麻烦。
有个专门介绍如何在windows下安装Snort的网站,比较全面:http://www.winsnort.com/
网上有些文章介绍,但是都比较老,环境也很复杂,要用到mysql。我只想用命令行用用snort就OK了。
全面且官方的WinIDS Installation Guide:http://wenku.baidu.com/view/e676414f2b160b4e767fcf29.html
配置snort的过程:http://blog.sina.com.cn/s/blog_627b3f930100x5pe.html【这个讲的相当仔细,而且还有所有需要的资源下载,NICE!!!】
Windows 平台下基于 snort的入侵检测系统安装 http://www.smatrix.org/bbs/read.php?tid=4366
Snort 安装指南(Windows2003平台)http://comic.sjtu.edu.cn/bbs/forum_posts.asp?TID=4100
Windows xp下snort部署入侵检测系统ids详解步骤http://hi.baidu.com/cia%D0%AD%BB%E1/blog/item/d8eb98177f45a44020a4e9e0.html
下面是上面文章中提到的Snort相关软件:
首先得到我们需要的软件包(最新软件包):
1、snort2.0.exe(在windows平台下的snort最新版本,linux平台的已经是snort2.4.3)
http://www.snort.org
2、WinPcap_3_2_alpha1.exe(windows版本的PCAP)
http://winpcap.polito.it
3、idscenter11rc4.zip(windows版本的基于snort的图形控制台)
http://www.packx.net
4、sam_20050206_bin.zip(*uinx、windows版本下的与snort配合使用的实时分析软件<使用java编写> )
http://www.lookandfeel.com
5、mysql-5.0.16-win32.zip(windows版本的mysql数据库服务器)
http://www.mysql.com
6、ACID-0.9.6b23.tar.gz(基于php的入侵检测数据库分析控制台)
http://www.cert.org/kb/acid
7、adodb465.tgz(ADOdb(Active Data Objects Data Base)库for PHP)
http://jaist.dl.sourceforge.net/sourceforge/adodb/adodb465.zip
8、apache_2055-win32.msi(windows版本的apache Web服务器)
http://www.apache.org
9、php-5.1.1-Win32.zip(windows版本的php脚本环境支持)
http://www.php.net
10、jpgraph-2.0.tar.gz(php下面的图形库)
http://www.aditus.nu/jpgraph
11、phpMyAdmin-2.2.7-pl1-php3.zip(基于php的mysql数据库管理程序)
http://www.phpmyadmin.net
12、BSAE 1.2.7 基于php 的入侵检测数据库分析控制台
http://sourceforge.net/project/showfiles.php?group_id=103348
这些软件如何安装在这里就不具体将了,需要用时参考上面的文章。
这具体讲snort的配置问题。
Snort安装好后,需要配置etc里面的snort.conf文件。
#windows下snort.conf文件必须修改的几处:
原: var RULE_PATH ../rules
改为: var RULE_PATH C:\Snort\rules
原: #dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
改为:dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor(后面一定不要有/)
原: #dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
改为:dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll
原:dynamicdetection directory /usr/local/lib/snort_dynamicrules
改为:dynamicdetection directory C:\Snort\lib\snort_dynamicrules
原: include classification.config
改为: include C:\Snort\etc\classification.config
原: include reference.config
改为: include C:\Snort\etc\reference.config
原: # include threshold.conf
改为: include C:\Snort\etc\threshold.conf
原:# Does nothing in IDS mode
#preprocessor normalize_ip4
#preprocessor normalize_tcp: ips ecn stream
#preprocessor normalize_icmp4
#preprocessor normalize_ip6
#preprocessor normalize_icmp6
在之前加上#,注释掉。
原:preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 65535 decompress_depth 65535
改为:preprocessor http_inspect: global iis_unicode_map C:\Snort\etc\unicode.map 1252 compress_depth 65535 decompress_depth 65535
因为在windows下unicode.map这个文件在etc文件夹下。
配置好后,保存。
#下载规则库
windows下安装好snort后默认是没有规则库,需要自己下载。地址http://www.snort.org/snort-rules/#rules,需要注册,可是我一直下不来来。。。
#设置预处理器
在snort.conf里面可以直接设置某些检测的预处理器,当然也可以通过某些前端软件来实现,比如下面将要提到的IDSCENTER。
比如:
设置端口扫描的预处理器,把第二行的注释取消,并在最后加上log的保存文件。
# Portscan detection. For more information, see README.sfportscan
# preprocessor sfportscan: proto { all } memcap { 10000000 } sense_level { low }logfile { postscan.log }
设置arp欺骗的预处理器,同样取消注释,把IP和MAC改为你的IP和MAC值。
# preprocessor arpspoof
# preprocessor arpspoof_detect_host: 172.26.75.114 BC:AE:C5:81:BE:95
其他预处理器设置类似。
#设置输出
在这下面设置你的输出,需要输出什么就注释掉对应的行。
###################################################
# Step #6: Configure output plugins
# For more information, see Snort Manual, Configuring Snort - Output Modules
###################################################
比如:
# syslog
# output alert_syslog: LOG_AUTH LOG_ALERT
# pcap
# output log_tcpdump: tcpdump.log
插入output alert_fast: alert.ids(输出fast模式的报警日志)
#选择网卡:
进入命令行,在snort.exe文件所在目录用snort -W查看系统可用网络接口。记住需要监视的网卡的编号,比如为2,那么在以后的使用中,用-i 2就可以选择对应的网卡。
#将snort安装为系统服务:
C:\Snort\bin>snort /SERVICE /INSTALL -c ../etc/snort.conf -i 2 -l ../snort/log -de
[SNORT_SERVICE] Successfully added the Snort service to the Services database. 如果看到上面的提示说明是成功的。
#将snort服务设置为自启动
可以在services.msc中设置snort为自动启动。
#如果改变了snort.conf,则需要重启snort来加载配置文件:
net stop snortsvc
net start snortsvc
#如果有误,可以删除snort服务:
sc delete snortsvc
完成后通过命令启动IDS模式的snort
snort -i2 -de -l ../log -c ../etc/snort.conf
也可以安装IDSCENTER来进行图形界面的Snort管理。
- WINDOWS下安装Snort
- windows下的snort安装
- Windows下安装Snort(2)
- Windows 下如何安装配置Snort视频教程
- ubuntu下安装snort
- ubuntu 下安装snort
- Windows 平台下基于 snort的入侵检测系统安装
- Windows 平台下基于 snort的入侵检测系统安装
- Windows下Snort的配置
- ubuntu 6.06下安装snort!
- Ubuntu 下安装snort-mysql
- ubuntu下snort的安装
- ubuntu下snort的安装
- 在Windows上安装Snort+MySQL
- Windows 平台下基于 snort的入侵检测系统安装功略
- Linux下Snort的安装配置
- ubuntu15.10下Snort安装及配置
- Snort安装
- Linux设备驱动开发详解-第4章(二)-模块参数
- 安装和配置高可用性的vsftp(整理)
- Android布局之SurfaceView
- 头文件中的保护措施
- 声明一个类,它具有一个方法,此方法被重载三次,派生一个新类, 并增加一个新的重载方法,编写测试类验证四个方法对于派生类都有效
- WINDOWS下安装Snort
- SQL server基础之(表间关联)
- 递归与非递归的比较
- Linux备忘
- FLEX组件继承关系
- js获取C#控件值
- 最长回文子串
- 为EXT tree 树菜单添加右键菜单时出现重复菜单问题
- 关于交通堵塞的讨论小记
