转自:http://www.cnblogs.com/kathmi/archive/2010/08/09/1795405.html
Snort是著名的开源入侵检测工具,不仅它的嗅探功能极佳,在服务器安全方面也可提供安全防护。
近期因为涉及此项内容,故记录下来。
使用的软件如下:
- Snort_2_8_6_Installer.exe(按照默认路进安装即可)
- WinPcap_4_1_2.exe
- snortrules-snapshot-2860.tar.gz(规则库,解压到Snort的安装目录,如果提示重复文件,可以选择不覆盖)
Snort是个命令行软件,相关指令今后介绍,先熟悉一下基本功能。
安装完成后,为了使用方便,在系统环境变量PATH添加(/Snort/)in,其中(/Snort/)为Snort的主目录。
在cmd中,运行snort -W,W大写。此命令可以作为Snort是否安装成功的标志,同时可以看到运行着的网卡信息。
在什么都不做的情况下,一个snort -v就可以实现简单的嗅探任务。CTRL+C可以结束嗅探。
比较复杂一点的是配置。RULE_PATH,SO_RULE_PATH,PREPROC_RULE_PATH,dynamicpreprocessor和dynamicengine的路径设置Windows上的绝对路径。有一点需要留意,dynamicpreprocessor的路径最后不要以斜杠或反斜杠结尾,原配置上有斜杠,如果有会造成引擎加载失败。
使用配置的命令方式为:snort -v -c (/Snort/)etcsnort.conf;按此命令或出现ERROR: OpenAlertFile() => fopen() alert file log/alert.ids:No such file or directory。可能是此版本下的第二个BUG,希望以后官方能够提供修正。
既然无法运行,我们只能通过snort -l (/Snort/)mylogs -c (/Snort/)etcsnort.conf将文件写入指定目录中。
至此,snort算是简单使用了,之所以写这篇,一来为继续介绍snort做准备,二来上面的两个BUG,给初次使用的人带来的困惑,记录下来,以此说明。