snort配置步骤

1．在Windows环境下安装snort。

（1）安装Apache_2.0.46

①双击apache_2.0.46-win32-x86-no_src.msi，安装在文件夹C:\apache下。安装程序会在该文件夹下自动产生一个子文件夹apache2。

②为了避免Apache Web服务器的监听端口与Windows IIS中的Web服务器的80监听端口发生冲突，这里需要将Apache Web服务器的监听端口进行修改。打开配置文件C:\apache\apache2\conf\httpd.conf，将其中的Listen 80，更改为Listen50080。如图3.34所示。

图3.34修改apache的监听端口

③单击“开始”按钮，选择“运行”，输入cmd，进入命令行方式。输入下面的命令：

C:\>cd apache\apache2\bin

C:\apache\apache2\bin\apache –k install

这是将apache设置为以Windows中的服务方式运行。如图3.35所示。

图3.35Apache以服务方式运行

（2）安装PHP

①解压缩php-4.3.2-Win32.zip里面的文件至C:\php\。

②复制C:\php下php4ts.dll至%systemroot%\System32，复制C:\php下php.ini-dist 至%systemroot%\，然后修改文件名为：php.ini。

③添加gd图形库支持，把C:\php\extensions\ php_gd2.dll拷贝到%systemroot%\System32，在php.ini中添加extension=php_gd2.dll。如果php.ini有该句，将此语句前面的“；”注释符去掉。如图3.36所示

图3.36修改php.ini配置文件

④添加Apache对PHP的支持。在C:\apache\apache2\conf\httpd.conf中添加：

LoadModule php4_module "C:/php/sapi/php4apache2.dll"

AddType application/x-httpd-php .php

如图3.37和图3.38所示。

图3.37 修改httpd.conf

图3.38修改httpd.conf

⑤单击“开始”按钮，选择“运行”，输入cmd进入命令行方式，在弹出的窗口中输入下面命令：

net start apache2

这将在Windows中启动Apache Web服务。如图3.39所示。

图3.39启动Apache Web服务

⑥在C:\apache\apache2\htdocs目录下新建test.php测试文件，test.php文件内容为。

使用http://127.0.0.1:50080/test.php，测试PHP是否安装成功，如安装成功，则在浏览器中出现test.php的网页。如图3.40所示。

图3.40PHP测试页

（3）安装snort

安装snort-2_0_0.exe，snort的安装路径在C:\snort。

（4）安装配置MySQL数据库

①安装Mysql到文件夹c:\mysql，并在命令行方式下进入C:\mysql\bin，输入下面的命令：

（C:\mysql\bin>）mysqld–nt –install

这将使mysql在Windows中以服务方式运行。如图3.41所示

②在命令行方式下输入net start mysql，启动mysql服务。如图3.42所示。

图3.42启动MySQL服务

③在命令行方式下进入C:\mysql\bin，输入下面的命令：

（C:\mysql\bin>）mysql –u root –p

这是将出现Enter password提示符，直接按“回车”，这就以默认的没有密码的root用

户登录Mysql数据库。如图3.43所示。

图3.43以root用户登录MySQL数据库

④在Mysql提示符后输入下面的命令：

(Mysql>)create database snort;

(Mysql>)create database snort_archive;

上面的create语句建立了snort运行必需的snort数据库和snort_archive数据库。

⑤输入quit命令退出Mysql后，在出现的提示符之后输入：

(C:\mysql\bin>)mysql –D snort –u root –p

(C:\mysql\bin>)mysql –D snort_archive –u root –p

上面两个语句表示以root用户身份，使用C:\snort\contrib目录下的create_mysql脚本文件，在snort数据库和snort_archive数据库中建立了snort运行必需的数据表。

屏幕上会出现密码输入提示，由于这里使用的是没有密码的root用户，直接按“回车”即可。如图3.44所示。

图3.44分别在snort和snort_archive库中建立snort运行需要的数据表

⑥参照步骤③，再次以root用户登陆mysql数据库，在提示符后输入下面的语句：

(mysql>)grant usage on *.* to “acid”@”localhost” identified by “acidtest”;

(mysql>)grant usage on *.* to “snort”@”localhost” identified by “snorttest”;

上面两个语句表示在本地数据库中建立了acid（密码为acidtest）和snort（密码为snorttest）两个用户，以备后面使用。如图3.45所示。

图3.45在本地数据库中创建acid用户和snort用户

⑦在Mysql提示符后面输入下面的语句：

(mysql>)grant select,insert,update,delete,create,alter on snort.* to “acid”@”localhost”;

(mysql>)grant select,insert on snort.* to “snort”@”localhost”;

(mysql>)grant select,insert,update,delete,create,alter on snort_archive.* to “acid”@”localhost”;

这是为新建的用户在snort和snort_archive数据库中分配权限。如图3.46所示。

图3.46分配权限

（5）安装adodb

将adodb453.zip解压缩至C:\php\adodb目录下，即完成了adodb的安装。

（6）安装配置数据控制台acid

①解压缩acid-0.9.6b23.tar.gz至C:\apache\apache2\htdocs\acid目录下。

②修改C:\apache\apache2\htdocs\acid下的acid_conf.php文件：

$DBlib_path=”C:\php\adodb”;

$DBtyp=”mysql”;

$alert_dbname=”snort”;

$alert_host=”localhost”;

$alert_port=”3306”;

$alert_user=”acid”;

$alert_password=”acidtest”;

/*Archive DB connection parameters*/

$archive_dbname=”snort_archive”;

$archive_host=”localhost”;

$archive_port=”3306”;

$archive_user=”acid”;

$archive_password=”acidtest”

$ChartLib_path=”C:\php\jpgraph\src”;

③查看hhtp://127.0.0.1:50080/acid/acid_db_setup.php网页，单击create ACID AG建立数据库，如图3.47所示。

图3.47acid_db_setup.php网页

按照系统提示建立数据库，正常建立后出现相应的网页。如图3.48所示。

图3.48ACID数据库建成后的网页

（7）安装jpgraph库

①解压缩jpgraph-1.12.2.tar.gz至C:\php\jpgraph

②修改C:\php\jpgraph\src下jpgraph.php文件，去掉下面语句的注释：

DEFINE(“CACHE_DIR”,”/tmp/jpgraph_cache/”);

（8）安装winpcap

按照默认选项和默认路径安装winpcap。Winpcap的版本可能会影响下面启动snort。

（9）配置并启动snort

①打开C:\snort\etc\snort.conf文件，将文件中的下列语句：

include classification.config

include reference.config

修改为绝对路径：

include C:\snort\etc\classification.config

include C:\snort\etc\reference.config

②在该文件的最后加入下面的语句：

output database: alert,mysql,host=localhost user=snort password=snorttest dbname=snort encoding=hex detail=full

③命令行方式下输入下面的命令：

C:\>cd snort\bin

C:\snort\bin>snort –c ”C:\snort\etc\snort.conf”–l ”C:\snort\log”–d –e –X

上面的命令将启动snort，如果snort正常运行，系统最后将显示相应的信息。如图3.49

所示。

图3.49snort正常运行的状态

④打开http://127.0.0.1:50080/acid/acid_main.php网页，进入acid分析控制台主界面。查看上述配置是否正确。如图3.50所示。

图3.50acid分析控制台页面

（10）完善配置文件

①打开C:/snort/etc/snort.conf文件，查看现有配置。

②设置snort的内、外网检测范围。

将snort.conf文件中var HOME_NET any语句中的any改为自己所在的子网地址，即将snort监测的内网设置为本机所在的局域网。如本地IP为192.168.1.10，则将any改为192.168.1.0/24。

并将var EXTERNAL_NET any语句中的any改为!192.168.1.0/24，即将snort监测的外网改为本机所在局域网以外的网络。

③设置监测包含的规则。

找到snort.conf文件中描述规则的部分（即最后部分都是.rules的语句），前面加“#”表示该规则没有启用，将local.rules之前的“#”去掉，其余规则保持不变。如图3.51所示。

图3.51snort.conf文件中包含的检测规则文件

在配置好snort的基础上，练习使用ACID检测控制台查看检测结果。

Windows平台下基于snort的入侵检测系统安装详解

Windows平台下基于snort的入侵检测系统安装详解 序言：最近公司网络总是不间断出现点问题，也搭建了一些流量监控服务器进行监控和分析；也一直在关注网络安全方面的知识。看到snort IDS是一个开源的软件，突然想学习下。就有了搭建Windows下Snort IDS的想法。一下内容参考网络上的资料。 1.软件准备 Apache，php,mysql,winpcap,snort,acid,adodb,jpgraph等 2.软件安装 window平台：windows xp sp3 (1)apache的安装 一路下一步，具体配置如下图：

安装完成后验证web服务是否运行正常 (2)mysql安装

(3)php安装 解压php压缩包到C盘下并命名为php 复制c:\php\phpini-dist到c:\windows下并重命名为php.ini 复制c:\php\php5ts.dll，c:\php\libmysql.dll 到 c:\windows\system32下复制c:\php\ext\php_gd2.dll到c:\windows\system32下 修改 c:\apache\conf\httpd配置文件 添加LoadModule php5_module c:/php/php5apache2_2.dll AddType application/x-httpd-php .php 重启apache服务 在c:\apache\htdocs\下新建test.php http://x.x.x.x/test.php验证php能否工作

snort中文手册

<< Back to https://www.sodocs.net/doc/c37391180.html, Snort 中文手册 摘要 snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。(2003-12-11 16:39:12) Snort 用户手册 第一章 snort简介 snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。 嗅探器 所谓的嗅探器模式就是snort从网络上读出数据包然后显示在你的 控制台上。首先，我们从最基本的用法入手。如果你只要把TCP/IP包头信息打印在屏幕上，只需要输入下面的命令： ./snort -v 使用这个命令将使snort只输出IP和TCP/UDP/ICMP的包头信息。如

./snort -vd 这条命令使snort在输出包头信息的同时显示包的数据信息。如果你还要显示数据链路层的信息，就使用下面的命令： ./snort -vde 注意这些选项开关还可以分开写或者任意结合在一块。例如：下面的命令就和上面最后的一条命令等价： ./snort -d -v –e 数据包记录器 如果要把所有的包记录到硬盘上，你需要指定一个日志目录，snort 就会自动记录数据包： ./snort -dev -l ./log 当然，./log目录必须存在，否则snort就会报告错误信息并退出。当snort在这种模式下运行，它会记录所有看到的包将其放到一个目录中，这个目录以数据包目的主机的IP地址命名，例如：192.168.10.1 如果你只指定了-l命令开关，而没有设置目录名，snort有时会使用远程主机的IP地址作为目录，有时会使用本地主机IP地址作为目录名。为了只对本地网络进行日志，你需要给出本地网络： ./snort -dev -l ./log -h 192.168.1.0/24 这个命令告诉snort把进入C类网络192.168.1的所有包的数据链路、TCP/IP以及应用层的数据记录到目录./log中。 如果你的网络速度很快，或者你想使日志更加紧凑以便以后的分析，那么应该使用二进制的日志文件格式。所谓的二进制日志文件格式就是tcpdump程序使用的格式。使用下面的命令可以把所有的包记录到一个单一的二进制文件中：

IDS SNORT ACID搭建流程

IDS-Snort+ACID搭建流程 >ACID入侵数据库分析控制台，通过WEB界面来查看snort数据的工具。为了使用ACID，用户系统中必须安装Snort,Apache,MYSQL,PHP。他们之间的关系如下： 1：当入侵者进入用户的网络后，snort根据规则检测到入侵行为后，根据其配置文件/etc/ snort/snort.conf的配置，将信息记录到MYSQL数据库中。 2：用户使用浏览器连接到IDS服务器，请求ACID页面。 3：PHP连接到数据库，提取信息。 4：Apache响应浏览器，用户就可以在浏览器中查看，操作等。 将Apache MYSQL PHP装上 安装ACID 以上软件包的作用： Snort主程序，不用说了。 安装过程中，会创建： /etc/snort存放规则和配置文件 /var/log/snort存放日志 /usr/share/doc/snort-xxx snort文档文件README就在这里。

/usr/sbin/snort-plain主程序文件 /etc/rc.d/init.d/snortd start restart stop脚本。 Snort-mysql代替系统snort的主程序文件，使snort可以支持mysql数据库。 Php-acid ACID软件包。里面一堆的以PHP写的网页。 Php-adodb跟PHP访问数据库有关，在/ar/www/adodb。 Php-jpgraph JPG图像函数库，ACID采用它来创建入侵数据的图表。分析图就是靠它来创建的，使用户能更直观的去分析。/var/www/jpgraph-xxx 安装完后创建一个PHP测试页，看看APACHE和PHP安装是否成功。 /var/www/html Vi index.php 配置MYSQL 启动MYSQL，service mysqld start 会提示需要设置root密码 Mysqladmin–u root password test 创建两个库snort_log snort_archive

Snort详细安装步骤

S n o r t详细安装步骤Prepared on 21 November 2021

Snort使用报告 一、软件安装 安装环境:windows 7 32bit 二、软件:Snort 、WinPcap 规则库: 实验内容 熟悉入侵检测软件Snort的安装与使用 三、实验原理 Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS 四.安装步骤 1.下载实验用的软件Snort、Snort的规则库snortrules 和WinPcap. 本次实验使用的具体版本是Snort 、和WinPcap 首先点击Snort安装 点击I Agree.同意软件使用条款，开始下一步，选择所要安装的组件： 全选后，点 击下一步： 选择安装的 位置，默认 的路径为 c:/Snort/, 点击下一 步，安装完 成。软件跳 出提示需要 安装 WinPcap 以 上 2.安装 WinPcap 点击 WinPcap安装包进行安装 点击下一步继续： 点击同意使用条款： 选择是否让WinPcap自启动，点击安装： 安装完成点击完成。 此时为了看安装是否成功，进入CMD，找到d：/Snort/bin/如下图：（注意这个路径是你安装的路径，由于我安装在d盘的根目录下，所以开头是d:）

输入以下命令snort –W，如下显示你的网卡信息，说明安装成功了！别高兴的太早，这只是安装成功了软件包，下面还要安装规则库： 3.安装Snort规则库 首先我们去Snort的官网下载Snort的规则库，必须先注册成会员，才可以下载。具体下载地址为，往下拉到Rules，看见Registered是灰色的，我们点击Sign in： 注册成功后，返回到这个界面就可以下载了。下载成功后将压缩包解压到 Snort的安装文件夹内：点击全部是，将会替换成最新的规则库。 4.修改配置文件 用文件编辑器打开d:\snort\etc\，这里用的是Notepad++，用win自带的写字板也是可以的。找到以下四个变量var RULE_PATH，dynamicpreprocessor，dynamicengine，alert_syslog分别在后面添加如下路径： var RULE_PATH d:\snort\rules var SO_RULE_PATH d:\snort\so_rules var PREPROC_RULE_PATH d:\snort\preproc_rules dynamicpreprocessor file d:\snort\lib\snort_dynamicpreprocessor\ dynamicpreprocessor file d:\snort\lib\snort_dynamicpreprocessor\ dynamicpreprocessor file d:\snort\lib\snort_dynamicpreprocessor\ dynamicpreprocessor file d:\snort\lib\snort_dynamicpreprocessor\ dynamicpreprocessor file d:\snort\lib\snort_dynamicpreprocessor\ dynamicengine d:\snort\lib\snort_dynamicengine\ output alert_syslog: host=:514, LOG_AUTH LOG_ALERT 到现在位置配置完成，同样回到cmd中找到d:/Snort/bin/运行snort –v –i1(1是指你联网的网卡编号默认是1)开始捕获数据，如下： 运行一段时间后按Ctrl+c中断出来可以看见日志报告：

snort实验

实验7 基于snort的IDS配置实验 1．实验目的 通过配置和使用Snort，了解入侵检测的基本概念和方法，掌握入侵检测工具的使用方法，能够对其进行配置。 2．实验原理 2.1 入侵检测基本概念 入侵检测系统（Intrusion Detection System简称为IDS）工作在计算机网络系统中的关键节点上，通过实时地收集和分析计算机网络或系统中的信息，来检查是否出现违反安全策略的行为和是否存在入侵的迹象，进而达到提示入侵、预防攻击的目的。入侵检测系统作为一种主动防护的网络安全技术，有效扩展了系统维护人员的安全管理能力，例如安全审计、监视、攻击识别和响应的能力。通过利用入侵检测系统，可以有效地防止或减轻来自网络的威胁，它已经成为防火墙之后的又一道安全屏障，并在各种不同的环境中发挥关键作用。 1．入侵检测系统分类 根据采集数据源的不同，IDS可分为基于网络的入侵检测系统（Network-based IDS，简称NIDS）和基于主机的入侵检测系统（Host-based IDS，简称HIDS）。 NIDS使用监听的方式，在网络通信的原始数据包中寻找符合网络入侵模版的数据包。NIDS的网络分析引擎放置在需要保护的网段内，独立于被保护的机器之外，不会影响这些机器的CPU、I/O与磁盘等资源的使用，也不会影响业务系统的性能。NIDS一般保护的是整个网段。 HIDS安装在被保护的机器上，在主机系统的审计日志或系统操作中查找信息源进行智能分析和判断，例如操作系统日志、系统进程、文件访问和注册表访问等信息。由于HIDS 安装在需要保护的主机系统上，这将影响应用系统的运行效率。HIDS对主机系统固有的日志与监视能力有很高的依赖性，它一般保护的是其所在的系统。 NIDS和HIDS各有优缺点，联合使用这两种方式可以实现更好的检测效果。 2．入侵检测系统的实现技术 入侵检测系统的实现技术可以简单的分为两大类：基于特征的检测（Signature-based）和基于异常的检测（Anomaly-based）。 基于特征的检测技术主要包括模式匹配和协议分析两种检测方法： 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式知识库进行比较，以发

Snort中文手册范本

Snort 用户手册 Snail.W 第一章 snort简介 snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。嗅探器所谓的嗅探器模式就是snort从网络上读出数据包然后显示在你的控制台上。首先，我们从最基本的用法入手。如果你只要把TCP/IP信息打印在屏幕上，只需要输入下面的命令：./snort -v 使用这个命令将使snort只输出IP和TCP/UDP/ICMP的信息。如果你要看到应用层的数据，可以使用：./snort -vd 这条命令使snort在输出信息的同时显示包的数据信息。如果你还要显示数据链路层的信息，就使用下面的命令：./snort -vde 注意这些选项开关还可以分开写或者任意结合在一块。例如：下面的命令就和上面最后的一条命令等价：./snort -d -v –e 数据包记录器如果要把所有的包记录到硬盘上，你需要指定一个日志目录，snort就会自动记录数据包：./snort -dev -l ./log 当然，./log目录必须存在，否则snort就会报告错误信息并退出。当snort在这种模式下运行，它会记录所有看到的包将其放到一个目录中，这个目录以数据包目的主机的IP地址命名，例如：192.168.10.1 如果你只指定了-l命令开关，而没有设置目录名，snort有时会使用远程主机的IP地址作为目录，有时会使用本地主机IP地址作为目录名。为了只对本地网络进行日志，你需要给出本地网络：./snort -dev -l ./log -h 192.168.1.0/24 这个命令告诉snort把进入C类网络192.168.1的所有包的数据链路、TCP/IP以及应用层的数据记录到目录./log中。如果你的网络速度很快，或者你想使日志更加紧凑以便以后的分析，那么应该使用二进制的日志文件格式。所谓的二进制日志文件格式就是tcpdump程序使用的格式。使用下面的命令可以把所有的包记录到一个单一的二进制文件中：./snort -l ./log -b 注意此处的命令行和上面的有很大的不同。我们勿需指定本地网络，因为所有的东西都被记录到一个单一的文件。你也不必冗余模式或者使用-d、-e功能选项，因为数据包中的所有容都会被记录到日志文件中。你可以使用任何支持tcpdump二进制格式的嗅探器程序从这个文件中读出数据包，例如：tcpdump或者Ethereal。使用-r功能开关，也能使snort读出包的数据。snort在所有运行模式下都能够处理tcpdump格式的文件。例如：如果你想在嗅探器模式下把一个tcpdump格式的二进制文件中的包打印到屏幕上，可以输入下面的命令：./snort -dv -r packet.log 在日志包和入侵检测模式下，通过BPF(BSD Packet Filter)接口，你可以使用许多方式维护日志文件中的数据。例如，你只想从日志文件中提取ICMP 包，只需要输入下面的命令行：./snort -dvr packet.log icmp 网络入侵检测系统snort最重要的用途还是作为网络入侵检测系统(NIDS)，使用下面命令行可以启动这种模式：./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf snort.conf是规则集文件。snort会对每个包和规则集进行匹配，发现这样的包就采取相应的行动。如果你不指定输出目录，snort就输出到/var/log/snort目录。注意：如果你想长期使用snort作为自己的入侵检测系统，最好不要使用-v选项。因为使用这个选项，使snort向屏幕上输出一些信息，会大大降低snort的处理速度，从而在向显示器输出的过程中丢弃一些包。此外，在绝大多数情况下，也没有必要记录数据链路层的，所以-e选项也可以不用：./snort -d -h 192.168.1.0/24 -l ./log -c snort.conf 这是使用snort作为网络入侵检测系统最基本的形式，日志符合规则的包，以ASCII形式保存在有层次的目录结构中。网络入侵检测模式下的输出选项在NIDS模式下，有很多的方式来配置snort的输出。在默认情况下，snort以ASCII格式记录日志，使用full报警机制。如果使用full报警机制，snort会在之后打印报警消息。如果你不需要日志包，可以使用-N选项。 snort有6种报警机制：full、fast、socket、syslog、smb(winpopup)和none。其中有4个可以在命令行

Snort 命令参数详解

用法： snort -[options] 选项： -A 设置报警模式，alert = full/fast/none/unsock，详解上一篇snort简介。 -b 用二进制文件保存网络数据包，以应付高吞吐量的网络。 -B 将IP地址信息抹掉，去隐私化。 -c 使用配置文件，这会使得snort进入IDS模式，并从中读取运行的配置信息。-d 显示包的应用层数据。 -D 以后台进程运行snort。如无指定，Alerts将写到/var/log/snort/alert。 -e 显示数据链路层的信息。 -E 保存报警日志为windows事件日志。 -f 激活PCAP行缓冲（line buffering）。 -F 指定BPF过滤器。 -g 初始化Snort后以组ID（group ID）运行。 -G 为事件生成设置一个基础事件id值。 -h 设置本地网络为hn，如192.168.1.0/24。 -i 设置网络接口为。可以用-W选项查询网络接口列表，然后用接口序号index指定接口。如-i 2 -I 报警时附加上接口信息。 -J 当以in-line模式运行时，这个选项将只捕获端口的报文。 -k 为all，noip，notcp，noudp，noicmp，or none设置校验和模式。 -K 设置保存文件的格式：pcap，ascii，none。pcap是默认格式，同于-b选项的格式。ascii是老的模式格式。none则关闭数据包记录。 -l 设置数据包文件存放目录。默认目录是/var/log/snort. -L 设置二进制输出文件的文件名为。 -M 当以非后台模式daemon运行时，保存信息到syslog。 -m 设置snort输出文件的权限位。 -n 出来个报文后终止程序。 -N 关闭保存日志包功能。 -o 改变应用规则的顺序。从Alert-->Pass-->Log顺序改为Pass-->Alert-->Log，避免了设置大量BPF命令行参数来过滤alert规则。 -O 在ASCII数据包捕获模式下混淆IP地址。 -p 关闭混杂模式。 -P设置snaplen，默认值是当前网卡的MTU。 -q 安静模式，不显示标志和状态报告。 -Q 当在线（in-line）运行时，从iptables/IPQ中读取数据包。 -r 从pcap格式的文件中读取数据包。 -R 为snort pidfile增加下标。 -s 使snort把报警消息发送到syslog，默认的设备是LOG_AUTHPRIV和LOG_ALERT。可以修改snort.conf文件修改其配置。 -S 为变量n设置值为v。 -t 初始化后将Snort的根目录改变为。 -T 以自检测模式启动Snort。 -u 初始化后改变Snort的UID。

snort入侵检测实验报告

实验：入侵检测系统（Snort）的安装与配置 一、实验目的 学会WINDOWS下SNORT的安装与配置 二、实验环境 WinXP虚拟机 三、实验步骤与结果 一．在“我的电脑”中C盘中建立文件夹“zhangxiaohong” 二．安装WinPcap，运行，默认安装。 三．安装mysql，运行5.0.22，选择自定义安装选择安装路径C:\zhangxiaohong\mysql 下，安装时注意：端口设置为3306（以后要用到），密码本实验设置成123 四．安装apache 1.运行 2.2.4，安装到c:\zhangxiaohong\Apache 2.安装Apache，配置成功一个普通网站服务器 3.出现Apache HTTP Server 2.0.55的安装向导界面，点“Next”继续 4.确认同意软件安装使用许可条例，选择“I accept the terms in the license agreement”，点“Next”继续 5.将Apache安装到Windows上的使用须知，请阅读完毕后，按“Next”继续 6.选择安装类型，Typical为默认安装，Custom为用户自定义安装，我们这里选 择Custom，有更多可选项。按“Next”继续 7.出现选择安装选项界面，如图所示，左键点选“Apache HTTP Server 2.0.55”， 选择“ This feature, and all subfeatures, will be installed on local hard

drive.” 8.即“此部分，及下属子部分内容，全部安装在本地硬盘上”。点选 “Change...”，手动指定安装目录。 9.我这里选择安装在“C:\zhangxiaohong\Apache”，各位自行选取了，一般建 议不要安装在操作系统所在盘，免得操作系统坏了之后，还原操作把Apache配置文件也清除了。选“OK”继续。 10.返回刚才的界面，选“Next”继续。 11.好了现在我们来测试一下按默认配置运行的网站界面，在IE地址栏打 “.0.1”，点“转到”，就可以看到如下页面，表示Apache服务器已安装成功。 12. 五．安装和配置PHP53、安装winpcap 1.解压php-5. 2.5-Win32到c:\zhangxiaohong\php 2.添加gd图形库支持 复制c:\zhangxiaohong\php\和c: \zhangxiaohong\php\文件到C:\Windows\system32复制c: \zhangxiaohong\php\到C:\Windows文件夹并重命名为， 修改，分别去掉“extension=”和“extension=”前的分号， 3.并指定extension_dir="c:\zhangxiaohong\php\ext"， 4.同时复制c:\zhangxiaohong\php\ext下的与到C:\Windows\system32 在C:\zhangxiaohong\apache\conf\中添加 LoadModule php5_module c:/zhangxiaohong AddType application/x-httpd-php .php AddType application/x-httpd-php-source .phps AddType application/x-httpd-php .html AddType application/x-httpd-php .htm 5.重启Apache服务 在C:\zhangxiaohong\apache\htdocs目录下新建（文件内容为：）并使用访问测试是否能够显示当前Apache服务器的信息，如果能够显示表明Apache和php工作基本正常 六．安装snort 1.运行 安装在C:\zhangxiaohong\Snort下即可， 运行C:\zhangxiaohong\Snort\bin\或者在DOS中找到该位置， 如果安装 Snort成功会出现一个可爱的小猪 2.并按照以下修改C:\zhangxiaohong\Snort\etc\文件 3.打开文件

Snort详细安装步骤

Snort使用报告 一、软件安装 安装环境:windows 7 32bit 软件:Snort 2.9.5.5、WinPcap 4.1.1 规则库: snortrules-snapshot-2970.tar.gz 二、实验内容 熟悉入侵检测软件Snort的安装与使用 三、实验原理 Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS

四.安装步骤 1.下载实验用的软件Snort、Snort的规则库snortrules 和WinPcap. 本次实验使用的具体版本是Snort 2.9.5.5、snortrules-snapshot-2970.tar.gz 和WinPcap 4.1.3 首先点击Snort安装 点击I Agree.同意软件使用条款，开始下一步，选择所要安装的组件： 全选后，点击下一步：

选择安装的位置，默认的路径为c:/Snort/,点击下一步，安装完成。软件跳出提示需要安装WinPcap 4.1.1以上 2.安装WinPcap 点击WinPcap安装包进行安装 点击下一步继续：

点击同意使用条款： 选择是否让WinPcap自启动，点击安装：

安装完成点击完成。 此时为了看安装是否成功，进入CMD，找到d：/Snort/bin/如下图：（注意这个路径是你安装的路径，由于我安装在d盘的根目录下，所以开头是d:） 输入以下命令snort –W，如下显示你的网卡信息，说明安装成功了！别高兴的太早，这只是安装成功了软件包，下面还要安装规则库：

使用SNORT观察网络数据包和TCP链接

任课教师：舒挺，张芳 《计算机网络》 （2013-2014学年第2学期） 实 验 报 告 学号：2012329620006 姓名：章钰沁 班级：12级计算机科学与技术（1）班

实验三：使用SNORT观察网络数据包和TCP链接 一、实验内容和要求 ●学会安装使用自由软件SNORT ●截获以太网数据包，并分析和描述TCP连接的三个阶段。 ●截获ARP协议数据包并进行分析 二、实验步骤 第一部分安装snort 1、下载snort-2_0_4.exe 网址：https://www.sodocs.net/doc/c37391180.html,/dl/binaries/win32/snort-2_0_4.exe 2、下载WinPcap_3_0.exe http://winpcap.polito.it/install/bin/WinPcap_3_0.exe 3、安装snort和winpcap 4、打开DOS命令窗口COMMAND。进入snort的安装目录。Cd /snort/bin 5、执行snort –ev 出现以下屏幕，表示安装完成并能正常使用

6、用ctrl +C结束。 7、观察一个完整的TCP连接。 第二部分 1、在snort的工作目录中使用命令 snort –dev –l /snort/log 开始snort并将相应的log文件记录在log目录下。 2、另开一个命令窗口，键入命令 FTP https://www.sodocs.net/doc/c37391180.html, 3、观察ftp命令窗口 4、打开相应的log目录 5、查找到相应的TCP连接，并用文本分析器打开。对照ftp命令窗口中出现的结果，分析刚 才的TCP连接过程。

第三部分 观察ARP协议 1、同二，打开SNORT并记录。 2、在另一命令窗口执行以下命令： arp –a 观察高速缓存 telnet 192.168.0.3 discard 注：和一个在ARP缓存中不存在的主机进行telnet连接。 quit 3、quit 4、分析所捕获的数据包，并且写出arp的全过程。

snort-windows平台安装

安装环境 主要硬件： ProLiant DL365 G1 2200MHZ*2 1024MB667MHZ * 4 主要软件： Windows Server 2003 + Sp2 MS SQL 2000 + Sp4 相关软件及下载地址： Apache_2.2.6-win32-x86 https://www.sodocs.net/doc/c37391180.html, Php-5.2.4-Win32 https://www.sodocs.net/doc/c37391180.html,/downloads.php Snort_2_8_0_Installer https://www.sodocs.net/doc/c37391180.html,/dl/binaries/win32/ WinPcap_4_0_1 http://winpcap.polito.it/ base-1.3.8 https://www.sodocs.net/doc/c37391180.html,/project/showfiles.php?group_id=103348 ActivePerl-5.6.1.635-MSWin32-x86 adodb502a https://www.sodocs.net/doc/c37391180.html,/project/showfiles.php?group_id=42718 jpgraph-2.2 http://www.aditus.nu/jpgraph/jpdownload.php php5.2-win32-200710150430 https://www.sodocs.net/doc/c37391180.html,/ eventwatchnt_v233 oinkmaster-2.0 https://www.sodocs.net/doc/c37391180.html,/download.shtml 配置过程 先看一下软件在安装的过程中需要选择安装路径或解压缩路径时的大致目录结构 D:\win-ids>tree Folder PATH listing Volume serial number is 0006EE50 9C9B:B24B D:. +---adodb +---apache \_____D:\win-ids\apache\htdocs\base +---eventwatchnt +---oinkmaster +---perl +---php +---snort 1 安装apache 1.1: 设置server information，根据自己的实际情况进行修改 https://www.sodocs.net/doc/c37391180.html, https://www.sodocs.net/doc/c37391180.html, admin@https://www.sodocs.net/doc/c37391180.html, “For all user on port 80…” 1.2安装路径 d:\win-ids\apache 完毕后应该可以看到apache在系统托盘上的图标了，在浏览器中打开http://127.0.0.1看是否有成功页面的提示？

实训-Snort安装与配置

Snort安装与配置 Snort是免费NIPS及NIDS软件，具有对数据流量分析和对网络数据包进行协议分析处理的能力，通过灵活可定制的规则库(Rules)，可对处理的报文内容进行搜索和匹配，能够检测出各种攻击，并进行实时预警。 Snort支持三种工作模式：嗅探器、数据包记录器、网络入侵检测系统，支持多种操作系统，如Fedora、Centos、FreeBSD、Windows等，本次实训使用Centos 7，安装Snort 2.9.11.1。实训任务 在Centos 7系统上安装Snort 3并配置规则。 实训目的 1．掌握在Centos 7系统上安装Snort 3的方法； 2．深刻理解入侵检测系统的作用和用法； 3．明白入侵检测规则的配置。 实训步骤 1．安装Centos 7 Minimal系统 安装过程不做过多叙述，这里配置2GB内存，20GB硬盘。 2．基础环境配置 根据实际网络连接情况配置网卡信息，使虚拟机能够连接网络。 # vi /etc/sysconfig/network-scripts/ifcfg-eno16777736 TYPE="Ethernet" BOOTPROTO="static" DEFROUTE="yes" IPV4_FAILURE_FATAL="no" NAME="eno16777736" UUID="51b90454-dc80-46ee-93a0-22608569f413" DEVICE="eno16777736" ONBOOT="yes" IPADDR="192.168.88.222" PREFIX="24" GATEWAY="192.168.88.2" DNS1=114.114.114.114 ~

Snort简明使用手册

Snort简明使用手册2007-03-22 22:28Snort2.6——USAGE（中文） 1.0 开始使用snort Snort不是很难使用，但是也存在着很多的命令行选项需要掌握，并且它们中许多很多时候并不能一起使用。这个文件的目的就是使新人能够更简单的使用snort。 在我们进行下一步之前，有一些关于snort的基本概念需要了解。snort能够配置成三种模式运行: 嗅探器(sniffer)，包记录器(packet logger)和网络入侵检测系统(NIDS)。嗅探模式（sniffer mode）简单的读取网络中的数据包，并以连续的数据流显示在控制台上。包记录模式（packet logger mode）把捕获的数据包记录在磁盘上。网络入侵检测模式(NIDS mode)是最复杂的、有机的配置，在这个模式下，snort分析网络中的数据，并通过使用用户自定义的规则集进行模式匹配，并根据匹配的结果执行多种操作。 2.0 嗅探模式（sniffer mode） 首先，让我们从基础开始。如果你只是想要在屏幕上打印出TCP/IP的包头信息（嗅探模式），使用下面的命令： ./snort –v 使用这个命令运行snort，将只显示IP和TCP/UDP/ICMP头信息，而不显示任何其它信息。如果你想要查看传输的有效负载信息，可以使用如下命令： ./snort –vd 这条命令在打印协议头信息的同时也打印相应的包数据。如果你想要一个更详细的现实，可以使用下面的命令来打印出数据链路层头信息： ./snort –vde （注：这些选项参数能够分开或者拆散成任和结合的方式。比如上一个命令也可以写做这种方式： ./snort -d -v –e 来达到同样的效果） 3.0 包记录模式（PACKET LOGGER MODE） 好的，上面的命令运行的都相当的好。但是如果你想要记录包到磁盘上，你需要指定一个记录目录，然后snort将自动的进入包记录模式： ./snort -dev -l ./log 当然，这里假设你在当前目录下有一个叫做“log”的目录。如果没有这个目录，snort将退出并返回错误信息。当snort以这种模式运行，它收集所有捕获的数据包，并根据数据包中一个主机的IP地址放入对应的目录中。 如果你只是简单的指定“-l”选项，你可能会发现snort有时使用远程计算机的地址作为存放数据包的目录，有时使用本地主机的地址。为了比较本地的网络，你需要告诉snort本地网络的信息： ./snort -dev -l ./log -h 192.168.1.0/24 这条指令让snort能够记录数据链路信息和TCP/IP头和应用数据到目录./log，并且记录和 192.168.1.0段C类网络相关的包信息。所有进来的包将记录到记录文件夹中对应的子文件夹中，子文件夹以远程主机（非192.168.1主机）的地址命名。注意，如果两个主机都是在本地网络内，然后他们将根据两个中高的端口号来记录，在端口号相等的情况下，将使用源地址来记录。 如果你在一个高速网络中，又或你想要使用一个更紧凑的格式来记录数据包为以后的分析所用，你可以考虑使用“二进制模式”来记录。二进制模式采用“tcpdump 格式”来记录数据包到指定目录下的单

snort规则选项

snort规则选项 规则选项组成了入侵检测引擎的核心，既易用又强大还灵活。所有的snort规则选项用分号"；"隔开。规则选项关键字和它们的参数用冒号"："分开。按照这种写法，snort中有42个规则选 项关键字。 msg - 在报警和包日志中打印一个消息。 logto - 把包记录到用户指定的文件中而不是记录到标准输出。 ttl - 检查ip头的ttl的值。 tos 检查IP头中TOS字段的值。 id - 检查ip头的分片id值。 ipoption 查看IP选项字段的特定编码。 fragbits 检查IP头的分段位。 dsize - 检查包的净荷尺寸的值。 flags -检查tcp flags的值。 seq - 检查tcp顺序号的值。 ack - 检查tcp应答（acknowledgement）的值。 window 测试TCP窗口域的特殊值。 itype - 检查icmp type的值。 icode - 检查icmp code的值。 icmp_id - 检查ICMP ECHO ID的值。 icmp_seq - 检查ICMP ECHO 顺序号的值。 content - 在包的净荷中搜索指定的样式。 content-list 在数据包载荷中搜索一个模式集合。 offset - content选项的修饰符，设定开始搜索的位置。 depth - content选项的修饰符，设定搜索的最大深度。 nocase - 指定对content字符串大小写不敏感。 session - 记录指定会话的应用层信息的内容。 rpc - 监视特定应用/进程调用的RPC服务。 resp - 主动反应（切断连接等）。 react - 响应动作（阻塞web站点）。 reference - 外部攻击参考ids。 sid - snort规则id。 rev - 规则版本号。 classtype - 规则类别标识。 priority - 规则优先级标识号。 uricontent - 在数据包的URI部分搜索一个内容。 tag - 规则的高级记录行为。 ip_proto - IP头的协议字段值。 sameip - 判定源IP和目的IP是否相等。 stateless - 忽略刘状态的有效性。 regex - 通配符模式匹配。 distance - 强迫关系模式匹配所跳过的距离。 within - 强迫关系模式匹配所在的范围。

块是Snort体系中两个重要的部分,预处理器在Snort应用规则前处理

与处理器和输出模块是Snort体系中两个重要的部分，预处理器在Snort应用规则前处理接收到的数据。输出模块输出Snort探测机制所产生的数据。数据包通过Snort的流程图如图4-1所示。被捕获的数据包首先经过预处理器，然后，经过探测引擎根据规则处理。根据规则处理的结果，输出处理器处理日志或者告警。 Snort允许你对预处理器和输出模块进行配置，这些工作可以通过修改snort.conf来完成。在本书中，输入插件和预处理器是同一概念，输出插件和输出模块也是同一概念。本章将对这些组件进行讨论。 4.1预处理器 当Snort接收到数据包的时候，主探测引擎并不能对它们进行处理和应用规则，比如，数据包有可能是分片的，需要重新组装，预处理器就是做这样的工作，使数据能够被探测引擎处理，另外，一些预处理器还可以做一些其它工作，比如探测包中的一些明显错误。下面给你介绍预处理器如何工作。 在安装过程中，你可以在编译的时候选择对各种预处理器的支持。各种预处理器的配置参数在snort.conf中调整，你可以在通过这个文件打开或者关闭某个预处理器。 捕获的包要经过所有已经打开的预处理器，不能跳过，因此如果你如果打开了大量的预处理器，就会降低Snort的运行速度。 在snort.conf中，你可以用preprocessor关键字打开预处理器，格式如下： preprocessor [: parameters] 后面的参数通常是可选项。 你也可以编写自己的预处理器，察看Snort源代码doc目录中的README.PLUGIN文件，你可以获得相关的资料，也可以在templates目录中查看源代码示例。 4.1.1HTTP解码 Snort可以对HTTP协议各种形式的编码进行解码，并从中找出已知的攻击特征。你可以将HTTP服务器的端口列表作为HTTP解码预处理器的参数。例如下面的命令可以对在80，8080和443端口的HTTP相关数据包进行解码，以便探测引擎处理： preprocessor http_decode: 80 8080 443 尤其重要的是，如我们前面所提到的，关于HTTP的攻击也常用各种变换形式，如果应用HTTP 解码预处理器，就可以更有效的探测到这些企图。 4.1.2端口扫描 端口扫描是用来发现网络上主机开放的端口的方法。任何入侵者的第一个行动通常都是找出网络上在运行一些什么样的服务。一旦入侵者找到了这样的信息，就可以尝试针对相关服务弱点的攻击了。端口扫描预处理器的作用是监测端口扫描的活动，这种预处理器可以将端口扫描行为记录到指定的位置或者标准的日志。黑客们使用很多种扫描方式，你也可以查看nmap的文档来获得更多的信息。 下面是在snort.conf中应用端口扫描预处理器的大体格式： preprocessor portscan: