雷火电竞官网-中国知名电竞赛事平台

　　Snort是來自國外的一款功能強大的網絡入侵檢測/防御系統。支持實時(Real-Time)流量分析，網絡IP數據包(Pocket)記錄等特性。Snort有三種工作模式：嗅探器、數據包記錄器、網絡入侵檢測系統。嗅探器模式僅僅是從網絡上讀取數據包并作為連續不斷的流顯示在終端上。數據包記錄器模式把數據包記錄到硬盤上。網絡入侵檢測模式是最復雜的，而且是可配置的。我們可以讓snort分析網絡數據流以匹配用戶定義的一些規則，并根據檢測結果采取一定的動作。

　　Snort通過在網絡TCP/IP的5層結構的數據鏈路層進行抓取網絡數據包，抓包時需將網卡設置為混雜模式，根據操作系統的不同采用libpcap或winpcap函數從網絡中捕獲數據包，然后將捕獲的數據包送到包解碼器進行解碼。它的部署非常靈活，很多操作系統上都可以運行，可以運行在window xp，windows2003，linux等操作系統上。本站為大家提供的是Snort for windows客戶端版本，并附有詳細的安裝教程，有需求的用戶請下載！

【安裝教程】

　　1、Snort在WINDOWS下安裝過程比較麻煩，主要是配置麻煩，下載軟件壓縮包文件，點擊“Snort_2_9_11_1_Installer.exe”根據提示安裝即可，如下圖所示：

　　2、安裝好后，需要配置etc里面的snort.conf文件：

　?、賥indows下snort.conf文件必須修改的幾處：

　　原: var RULE_PATH ../rules

　　改為: var RULE_PATH C:\Snort\rules

　　原: #dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/

　　改為:dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor(后面一定不要有/)

　　原: #dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so

　　改為:dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll

　　原：dynamicdetection directory /usr/local/lib/snort_dynamicrules

　　改為：dynamicdetection directory C:\Snort\lib\snort_dynamicrules

　　然后將C:\Snort\so_rules\precompiled\FC-9\i386\2.9.0.1里的所有文件拷貝到C:\Snort\lib\snort_dynamicrules //上面的FC-9不一定對，可以先試一下?？锤髯缘南到y都不一樣。

　　原: include classification.config

　　改為: include C:\Snort\etc\classification.config

　　原: include reference.config

　　改為: include C:\Snort\etc\reference.config

　　原: # include threshold.conf

　　改為: include C:\Snort\etc\threshold.conf

　　原：# Does nothing in IDS mode

　　#preprocessor normalize_ip4

　　#preprocessor normalize_tcp: ips ecn stream

　　#preprocessor normalize_icmp4

　　#preprocessor normalize_ip6

　　#preprocessor normalize_icmp6

　　在之前加上#，注釋掉。

　　原：preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 65535 decompress_depth 65535

　　改為：preprocessor http_inspect: global iis_unicode_map C:\Snort\etc\unicode.map 1252 compress_depth 65535 decompress_depth 65535

　　因為在windows下unicode.map這個文件在etc文件夾下。

　　配置好后，保存。

　?、谙螺d規則庫

　　windows下安裝好snort后默認是沒有規則庫，需要自己下載。

　　③設置預處理器

　　在snort.conf里面可以直接設置某些檢測的預處理器，當然也可以通過某些前端軟件來實現，比如下面將要提到的IDSCENTER。

　　比如：

　　設置端口掃描的預處理器，把第二行的注釋取消，并在最后加上log的保存文件。

　　# Portscan detection. For more information, see README.sfportscan

　　# preprocessor sfportscan: proto { all } memcap { 10000000 } sense_level { low }logfile { postscan.log }

　　設置arp欺騙的預處理器，同樣取消注釋，把IP和MAC改為你的IP和MAC值。

　　# preprocessor arpspoof

　　# preprocessor arpspoof_detect_host: 172.26.75.114 BC:AE:C5:81:BE:95

　　其他預處理器設置類似。

　　④設置輸出

　　在這下面設置你的輸出，需要輸出什么就注釋掉對應的行。

　　###################################################

　　# Step #6: Configure output plugins

　　# For more information, see Snort Manual, Configuring Snort - Output Modules

　　###################################################

　　比如：

　　# syslog

　　# output alert_syslog: LOG_AUTH LOG_ALERT

　　# pcap

　　# output log_tcpdump: tcpdump.log

　　插入output alert_fast: alert.ids（輸出fast模式的報警日志）

　?、葸x擇網卡：

　　進入命令行，在snort.exe文件所在目錄用snort -W查看系統可用網絡接口。記住需要監視的網卡的編號，比如為2，那么在以后的使用中，用-i 2就可以選擇對應的網卡。

　　#將snort安裝為系統服務：

　　C:\Snort\bin>snort /SERVICE /INSTALL -c ../etc/snort.conf -i 2 -l ../snort/log -de

　　[SNORT_SERVICE] Successfully added the Snort service to the Services database. 如果看到上面的提示說明是成功的。

　　⑥將snort服務設置為自啟動

　　可以在services.msc中設置snort為自動啟動。

　?、呷绻淖兞藄nort.conf，則需要重啟snort來加載配置文件：

　　net stop snortsvc

　　net start snortsvc

　?、嗳绻姓`，可以刪除snort服務：

　　sc delete snortsvc

　　完成后通過命令啟動IDS模式的snort

　　snort -i2 -de -l ../log -c ../etc/snort.conf

　　也可以安裝IDSCENTER來進行圖形界面的Snort管理。