Snort是一款來自國外的，專為電腦安全打造的網絡入侵檢測/防御系統，軟件支持實時(Real-Time)流量分析，網絡IP數據包(Pocket)記錄等特性，能夠幫助用戶捕捉從外部網絡上下載到本地的數據包，然后將捕獲的數據包送到包解碼器進行解碼，并根據檢測結果采取一定的動作！

安裝教程

1、Snort在WINDOWS下安裝過程比較麻煩，主要是配置麻煩，下載軟件壓縮包文件，點擊“Snort_2_9_15_Installer.exe”根據提示安裝即可

2、安裝好后，需要配置etc里面的snort.conf文件：

①windows下snort.conf文件必須修改的幾處：

原: var RULE_PATH ../rules

改為: var RULE_PATH C:\Snort\rules

原: #dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/

改為:dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor(后面一定不要有/)

原: #dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so

改為:dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll

原：dynamicdetection directory /usr/local/lib/snort_dynamicrules

改為：dynamicdetection directory C:\Snort\lib\snort_dynamicrules

然后將C:\Snort\so_rules\precompiled\FC-9\i386\2.9.0.1里的所有文件拷貝到C:\Snort\lib\snort_dynamicrules //上面的FC-9不一定對，可以先試一下。看各自的系統都不一樣。

原: include classification.config

改為: include C:\Snort\etc\classification.config

原: include reference.config

改為: include C:\Snort\etc\reference.config

原: # include threshold.conf

改為: include C:\Snort\etc\threshold.conf

原：# Does nothing in IDS mode

#preprocessor normalize_ip4

#preprocessor normalize_tcp: ips ecn stream

#preprocessor normalize_icmp4

#preprocessor normalize_ip6

#preprocessor normalize_icmp6

在之前加上#，注釋掉。

原：preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 65535 decompress_depth 65535

改為：preprocessor http_inspect: global iis_unicode_map C:\Snort\etc\unicode.map 1252 compress_depth 65535 decompress_depth 65535

因為在windows下unicode.map這個文件在etc文件夾下。

配置好后，保存。

②下載規則庫

windows下安裝好snort后默認是沒有規則庫，需要自己下載。

③設置預處理器

在snort.conf里面可以直接設置某些檢測的預處理器，當然也可以通過某些前端軟件來實現，比如下面將要提到的IDSCENTER。

比如：

設置端口掃描的預處理器，把第二行的注釋取消，并在最后加上log的保存文件。

# Portscan detection. For more information, see README.sfportscan

# preprocessor sfportscan: proto { all } memcap { 10000000 } sense_level { low }logfile { postscan.log }

設置arp欺騙的預處理器，同樣取消注釋，把IP和MAC改為你的IP和MAC值。

# preprocessor arpspoof

# preprocessor arpspoof_detect_host: 172.26.75.114 BC:AE:C5:81:BE:95

其他預處理器設置類似。

④設置輸出

在這下面設置你的輸出，需要輸出什么就注釋掉對應的行。

###################################################

# Step #6: Configure output plugins

# For more information, see Snort Manual, Configuring Snort - Output Modules

###################################################

比如：

# syslog

# output alert_syslog: LOG_AUTH LOG_ALERT

# pcap

# output log_tcpdump: tcpdump.log

插入output alert_fast: alert.ids（輸出fast模式的報警日志）

⑤選擇網卡：

進入命令行，在snort.exe文件所在目錄用snort -W查看系統可用網絡接口。記住需要監視的網卡的編號，比如為2，那么在以后的使用中，用-i 2就可以選擇對應的網卡。

#將snort安裝為系統服務：

C:\Snort\bin>snort /SERVICE /INSTALL -c ../etc/snort.conf -i 2 -l ../snort/log -de

[SNORT_SERVICE] Successfully added the Snort service to the Services database. 如果看到上面的提示說明是成功的。

⑥將snort服務設置為自啟動

可以在services.msc中設置snort為自動啟動。

⑦如果改變了snort.conf，則需要重啟snort來加載配置文件：

net stop snortsvc

net start snortsvc

⑧如果有誤，可以刪除snort服務：

sc delete snortsvc

完成后通過命令啟動IDS模式的snort

snort -i2 -de -l ../log -c ../etc/snort.conf

也可以安裝IDSCENTER來進行圖形界面的Snort管理。

主要指令

order改變規則順序( snort -o )

alertfile建立警告輸出檔，例如：config alertfile: alertlog

classification將規則分類。

decode_arp開啟arp解碼功能。 (snort -a)

dump_chars_only開啟字元擷取功能。 (snort -C)

dump_payload擷取應用層資料。 (snort -d)

decode_data_link解碼資料連結層的標頭檔。 (snort -e)

bpf_file指定BPF篩檢程式(snort -F)。例如：config bpf_file: filename.bpf

set_gid改變GID (snort -g)。例如：config set_gid: snort_group

daemon以背景方式執行。 (snort -D)

reference_net設置該區域的網路。 (snort -h)。例如：config reference_net:192.168.1.0/24

interface設置網路介面(snort –i)。例如：config interface: xl0

alert_with_interface_name警示時附加上介面資訊。 (snort -I)

logdir設置記錄目錄(snort -l)。例如：config logdir: /var/log/snort

umask設置snort輸出檔的權限。 (snort -m). Example: config umask: 022

pkt_count處理n個封包后，退出。 (snort -n). Example: config pkt_count: 13

nolog關閉記錄功能(警示仍然運作)。 (snort -N)

quiet安靜模式，不顯示狀態報告。 (snort -q)

checksum_mode計算checksum的協定類型。類型值：none, noip, notcp, noicmp, noudp, all

utc在時間紀錄上，用UTC時間代替本地時間。 (snort -U)

verbose將詳細記錄資訊列印到標準輸出。 (snort -v)

dump_payload_verbose擷取資料連結層的封包( snort -X )

show_year在時間紀錄上顯示年份。 (snort -y)

stateful為stream4設置保證模式。

min_ttl設置一個snort內部的ttl值以忽略所有的流量。

disable_decode_alerts關閉解碼時發出的警示。

disable_tcpopt_experimental_alerts關閉tcp實驗選項所發出的警示。

disable_tcpopt_obsolete_alerts關閉tcp過時選項所發出的警示。

disable_tcpopt_ttcp_alerts關閉ttcp選項所發出的警示。

disable_tcpopt_alerts關閉選項長度確認警示。

disable_ipopt_alerts關閉IP選項長度確認警示。

detection配置偵測引擎。 (例如：search-method lowmem)

reference幫Snort加入一個新的參考系統。