Snort(网络入侵检测/防御系统) v2.9.11.1

Snort是来自国外的一款基于C语言开发的功能强大的网络入侵检测/防御系统。支持实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性。Snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网络入侵检测模式是最复杂的，而且是可配置的。Snort通过在网络TCP/IP的5层结构的数据链路层进行抓取网络数据包，抓包时需将网卡设置为混杂模式，根据操作系统的不同采用libpcap或winpcap函数从网络中捕获数据包；然后将捕获的数据包送到包解码器进行解码。网络中的数据包有可能是以太网包、令牌环包、TCP/IP包、802.11包等格式。在这一过程包解码器将其解码成Snort认识的统一的格式；之后就将数据包送到预处理器进行处理，预处理包括能分片的数据包进行重新组装，处理一些明显的错误等问题。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。它的部署非常灵活，很多操作系统上都可以运行，可以运行在window xp，windows2003，linux等操作系统上。
本站为大家提供的是Snort for windows客户端版本，并附有详细的安装教程，有需求的用户请下载！

for windows安装教程

1、Snort在WINDOWS下安装过程比较麻烦，主要是配置麻烦，下载软件压缩包文件，点
击“Snort_2_9_11_1_Installer.exe”根据提示安装即可，如下图所示：

2、安装好后，需要配置etc里面的snort.conf文件：
①windows下snort.conf文件必须修改的几处：
原: var RULE_PATH ../rules
改为: var RULE_PATH C:Snortrules
原: #dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
改为:dynamicpreprocessor directory C:Snortlibsnort_dynamicpreprocessor(后面一定不要有/)
原: #dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
改为:dynamicengine C:Snortlibsnort_dynamicenginesf_engine.dll
原：dynamicdetection directory /usr/local/lib/snort_dynamicrules
改为：dynamicdetection directory C:Snortlibsnort_dynamicrules
然后将C:Snortso_rulesprecompiledFC-9i3862.9.0.1里的所有文件拷贝到
C:Snortlibsnort_dynamicrules //上面的FC-9不一定对，可以先试一下。看各自的系统都不一样。
原: include classification.config
改为: include C:Snortetcclassification.config
原: include reference.config
改为: include C:Snortetcreference.config
原: # include threshold.conf
改为: include C:Snortetcthreshold.conf
原：# Does nothing in IDS mode
#preprocessor normalize_ip4
#preprocessor normalize_tcp: ips ecn stream
#preprocessor normalize_icmp4
#preprocessor normalize_ip6
#preprocessor normalize_icmp6
在之前加上#，注释掉。
原：preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 65535 decompress_depth 65535
改为：preprocessor http_inspect: global iis_unicode_map C:Snortetcunicode.map 1252 compress_depth 65535 decompress_depth 65535
因为在windows下unicode.map这个文件在etc文件夹下。
配置好后，保存。
②下载规则库
windows下安装好snort后默认是没有规则库，需要自己下载。
③设置预处理器
在snort.conf里面可以直接设置某些检测的预处理器，当然也可以通过某些前端软件来实现，比如下面将要提到的IDSCENTER。
比如：
设置端口扫描的预处理器，把第二行的注释取消，并在最后加上log的保存文件。
# Portscan detection. For more information, see README.sfportscan
# preprocessor sfportscan: proto { all } memcap { 10000000 } sense_level { low }logfile { postscan.log }
设置arp欺骗的预处理器，同样取消注释，把IP和MAC改为你的IP和MAC值。
# preprocessor arpspoof
# preprocessor arpspoof_detect_host: 172.26.75.114 BC:AE:C5:81:BE:95
其他预处理器设置类似。
④设置输出
在这下面设置你的输出，需要输出什么就注释掉对应的行。
###################################################
# Step #6: Configure output plugins
# For more information, see Snort Manual, Configuring Snort - Output Modules
###################################################
比如：
# syslog
# output alert_syslog: LOG_AUTH LOG_ALERT
# pcap
# output log_tcpdump: tcpdump.log
插入output alert_fast: alert.ids（输出fast模式的报警日志）
⑤选择网卡：
进入命令行，在snort.exe文件所在目录用snort -W查看系统可用网络接口。记住需要监视的网卡的编号，比如为2，那么在以后的使用中，用-i 2就可以选择对应的网卡。
#将snort安装为系统服务：
C:Snortbin>snort /SERVICE /INSTALL -c ../etc/snort.conf -i 2 -l ../snort/log -de[SNORT_SERVICE] Successfully added the Snort service to the Services database. 如果看到上面的提示说明是成功的。
⑥将snort服务设置为自启动
可以在services.msc中设置snort为自动启动。
⑦如果改变了snort.conf，则需要重启snort来加载配置文件：
net stop snortsvc
net start snortsvc
⑧如果有误，可以删除snort服务：
sc delete snortsvc
完成后通过命令启动IDS模式的snort
snort -i2 -de -l ../log -c ../etc/snort.conf
也可以安装IDSCENTER来进行图形界面的Snort管理。