WINDOWS下安装Snort
需要在WINDOWS下安装Snort。过程比较麻烦,主要是配置麻烦。
有个专门介绍如何在windows下安装Snort的网站,比较全面:http://www.winsnort.com/
网上有些文章介绍,但是都比较老,环境也很复杂,要用到mysql。我只想用命令行用用snort就OK了。
全面且官方的WinIDS Installation Guide:http://wenku.baidu.com/view/e676414f2b160b4e767fcf29.html
配置snort的过程:http://blog.sina.com.cn/s/blog_627b3f930100x5pe.html【这个讲的相当仔细,而且还有所有需要的资源下载,NICE!!!】
Windows 平台下基于 snort的入侵检测系统安装 http://www.smatrix.org/bbs/read.php?tid=4366
Snort 安装指南(Windows2003平台)http://comic.sjtu.edu.cn/bbs/forum_posts.asp?TID=4100
Windows xp下snort部署入侵检测系统ids详解步骤http://hi.baidu.com/cia%D0%AD%BB%E1/blog/item/d8eb98177f45a44020a4e9e0.html
下面是上面文章中提到的Snort相关软件:
首先得到我们需要的软件包(最新软件包):
1、snort2.0.exe(在windows平台下的snort最新版本,linux平台的已经是snort2.4.3)
http://www.snort.org
2、WinPcap_3_2_alpha1.exe(windows版本的PCAP)
http://winpcap.polito.it
3、idscenter11rc4.zip(windows版本的基于snort的图形控制台)
http://www.packx.net
4、sam_20050206_bin.zip(*uinx、windows版本下的与snort配合使用的实时分析软件<使用java编写> )
http://www.lookandfeel.com
5、mysql-5.0.16-win32.zip(windows版本的mysql数据库服务器)
http://www.mysql.com
6、ACID-0.9.6b23.tar.gz(基于php的入侵检测数据库分析控制台)
http://www.cert.org/kb/acid
7、adodb465.tgz(ADOdb(Active Data Objects Data Base)库for PHP)
http://jaist.dl.sourceforge.net/sourceforge/adodb/adodb465.zip
8、apache_2055-win32.msi(windows版本的apache Web服务器)
http://www.apache.org
9、php-5.1.1-Win32.zip(windows版本的php脚本环境支持)
http://www.php.net
10、jpgraph-2.0.tar.gz(php下面的图形库)
http://www.aditus.nu/jpgraph
11、phpMyAdmin-2.2.7-pl1-php3.zip(基于php的mysql数据库管理程序)
http://www.phpmyadmin.net
12、BSAE 1.2.7 基于php 的入侵检测数据库分析控制台
http://sourceforge.net/project/showfiles.php?group_id=103348
这些软件如何安装在这里就不具体将了,需要用时参考上面的文章。
这具体讲snort的配置问题。
Snort安装好后,需要配置etc里面的snort.conf文件。
#windows下snort.conf文件必须修改的几处:
原: var RULE_PATH ../rules
改为: var RULE_PATH C:\Snort\rules
原: #dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
改为:dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor(后面一定不要有/)
原: #dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
改为:dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll
原:dynamicdetection directory /usr/local/lib/snort_dynamicrules
改为:dynamicdetection directory C:\Snort\lib\snort_dynamicrules
然后将C:\Snort\so_rules\precompiled\FC-9\i386\2.9.0.1里的所有文件拷贝到
C:\Snort\lib\snort_dynamicrules //上面的FC-9不一定对,可以先试一下。看各自的系统都不一样。
原: include classification.config
改为: include C:\Snort\etc\classification.config
原: include reference.config
改为: include C:\Snort\etc\reference.config
原: # include threshold.conf
改为: include C:\Snort\etc\threshold.conf
原:# Does nothing in IDS mode
#preprocessor normalize_ip4
#preprocessor normalize_tcp: ips ecn stream
#preprocessor normalize_icmp4
#preprocessor normalize_ip6
#preprocessor normalize_icmp6
在之前加上#,注释掉。
原:preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 65535 decompress_depth 65535
改为:preprocessor http_inspect: global iis_unicode_map C:\Snort\etc\unicode.map 1252 compress_depth 65535 decompress_depth 65535
因为在windows下unicode.map这个文件在etc文件夹下。
配置好后,保存。
#下载规则库
windows下安装好snort后默认是没有规则库,需要自己下载。地址http://www.snort.org/snort-rules/#rules,需要注册,可是我一直下不来来。。。
#设置预处理器
在snort.conf里面可以直接设置某些检测的预处理器,当然也可以通过某些前端软件来实现,比如下面将要提到的IDSCENTER。
比如:
设置端口扫描的预处理器,把第二行的注释取消,并在最后加上log的保存文件。
# Portscan detection. For more information, see README.sfportscan
# preprocessor sfportscan: proto { all } memcap { 10000000 } sense_level { low }logfile { postscan.log }
设置arp欺骗的预处理器,同样取消注释,把IP和MAC改为你的IP和MAC值。
# preprocessor arpspoof
# preprocessor arpspoof_detect_host: 172.26.75.114 BC:AE:C5:81:BE:95
其他预处理器设置类似。
#设置输出
在这下面设置你的输出,需要输出什么就注释掉对应的行。
###################################################
# Step #6: Configure output plugins
# For more information, see Snort Manual, Configuring Snort - Output Modules
###################################################
比如:
# syslog
# output alert_syslog: LOG_AUTH LOG_ALERT
# pcap
# output log_tcpdump: tcpdump.log
插入output alert_fast: alert.ids(输出fast模式的报警日志)
#选择网卡:
进入命令行,在snort.exe文件所在目录用snort -W查看系统可用网络接口。记住需要监视的网卡的编号,比如为2,那么在以后的使用中,用-i 2就可以选择对应的网卡。
#将snort安装为系统服务:
C:\Snort\bin>snort /SERVICE /INSTALL -c ../etc/snort.conf -i 2 -l ../snort/log -de
[SNORT_SERVICE] Successfully added the Snort service to the Services database. 如果看到上面的提示说明是成功的。
#将snort服务设置为自启动
可以在services.msc中设置snort为自动启动。
#如果改变了snort.conf,则需要重启snort来加载配置文件:
net stop snortsvc
net start snortsvc
#如果有误,可以删除snort服务:
sc delete snortsvc
完成后通过命令启动IDS模式的snort
snort -i2 -de -l ../log -c ../etc/snort.conf
也可以安装IDSCENTER来进行图形界面的Snort管理。
WINDOWS下安装Snort相关推荐
- 基于svnserve的SVN服务器(windows下安装与配置)
基于svnserve的SVN服务器(windows下安装与配置) 关键字: svn 安装SVNserve 从http://subversion.tigris.org/servlets/ProjectD ...
- Windows下安装Z3的Python3版
文章目录 Windows下安装Z3的Python3版 pip 安装(不推荐,很慢) 使用微软官方构建好的DLL(推荐,快速) Windows下安装Z3的Python3版 GitHub官方仓库地址:Z3 ...
- 在windows下安装concurrentlua
concurrentlua的makefile只提供了unix下的版本,如果直接按make里面得拷贝路径安排文件 在windows下是无法凑效的.这里我把我在windows下安装concurrentlu ...
- linux/windows下安装scala
为什么80%的码农都做不了架构师?>>> 一.linux下安装scala 1.保证jdk安装成功,版本在1.5或者更改版本,java和javac均可用. 2.官网下载scala ...
- windows下安装cygwin及配置
windows下安装cygwin及配置 对于使用Windows操作系统作为开发平台同时又喜欢类unix环境的朋友(Windows不是最方便的开发环境),这里是在Cygwin环境下安装Rails的步骤 ...
- Redis第一集:Windows下安装Redis和测试
Redis第一集:Windows下安装Redis和测试 一.资源 Windows下的Redis的下载地址 点击这里即可下载,如果进不去GitHub的话,可以上网搜一下怎么进GitHub,搭个梯子(●ˇ ...
- 如何在windows下安装cygwin
如何在windows下安装cygwin 转载于:https://www.cnblogs.com/zhujiabin/p/5747580.html
- 在windows下安装python包管理器pip及使用
从来没有在Windows下用过pip,今天试了下,原来pip也可以在Windows下安装,使用也和Linux下一样简单. 先从下面的地址下载pip源码: http://pypi.python.or ...
- 《Nmap渗透测试指南》—第1章1.2节Windows下安装Nmap
本节书摘来自异步社区<Nmap渗透测试指南>一书中的第1章1.2节Windows下安装Nmap,作者 商广明,更多章节内容可以访问云栖社区"异步社区"公众号查看. 1. ...
最新文章
- extern C __declspec(dllexport) __declspec(dllimport) 和 def
- Linux NB的单行命令
- java并发编程核心方法与框架_Java并发编程核心方法与框架-Future和Callable的使用...
- 设计模式10: Facade 外观模式(结构型模式)
- android kotlin log,Kotlin实现Log打印工具类
- Tensor的Broadcasting操作
- 生成服从正态分布的随机数
- PHP password_hash 与 password_verify 使用
- highslide图片查看特效
- 巴塞罗那IoT“首秀”归来,新华三成功展现物联网风采
- 架构之美-最强卷积神经网络架构设计初想
- C++信息学奥赛一本通_2060
- eyoucms破解授权
- 动态规划之《高楼扔鸡蛋》问题详解 LeetCode 887.鸡蛋掉落
- A Creed to Live By
- Unity3D GameCenter 排行榜, 成就实现
- 笔记本购机测试软件大全
- 内存管理、磁盘和文件拾遗
- 网页爬虫之页面解析-BeautifulSoup/XPath/pyquery使用
- 移动Ad Hoc下按需距离矢量路由协议AODV实验报告