snort的安装配置csdn其他论坛都有,这里写一下我安装配置遇到的问题。
教程仅提供给部分学生学习入侵检测时做的相关实验,不保证能成功检测到相关攻击行为(当然,配置成功后可以检测出nmap的端口扫描),望知悉。
配置环境:Windows 7 SP1,snort 2.9.16
1、Snort 2.9 配合WinpPcap 4.1.3使用亲测可行,如果遇到提示DAQ版本不高的问题可不用例会。另外,WinPcap 4.1.3已经停止更新,理论上可以选择nmap(官网指引),但是实测snort 2.9好像配置不了,snort -W无法找到网卡。如果有成功的dalao可以留言告知,谢谢。
2、Snort没有GUI图形化界面,所有操作完全依赖CMD(终端)。安装完成官网下载的安装包后,记得下载相关的规则包,社区版的规则包不完整,建议注册个snort账户再下载完整版的(当然其他网站也能下载,不过可能没有更新),我这里用的规则包是snortrules-snapshot-2900.tar.gz,安装完成snort本体后,解压规则包到snort根目录,提示的文件全部覆盖。
3、完成安装snort和WinPcap后,cmd先定位到snort所在目录(如果是默认安装,就是C:/Snort/bin),用cd命令定位到文件夹后,先用snort -W命令检查是否安装完成,能否看到自己的网卡MAC地址,一般安装好WinPcap都可以看到。
4、下面就是配置snort.conf的过程了。我估计snort最早是配置在linux等相关系统的软件,因此在snort.conf中所有的路径用的都是相对路径,在Windows中,这些相对路径全部都要改成绝对路径,下面展示一下一些关键的修改部分:
注意,这里第三个dynamicdetection directory,可能在部分规则包解压以后没有这个文件夹,先在lib下建立个同名的文件夹,然后将C:\Snort\so_rules\precompiled\FC-9\i386\2.9.0.1里的所有文件拷贝到C:\Snort\lib\snort_dynamicrules ,不一定能用,可以先试试,如果没在这里报错就可。
需要修改路径的差不多是这些地方,其他的(rules规则库等)部分也有需要修改路径的,但是不太影响实验,我就没管了。
做完这些,基本上可以说已经配置好了snort,但是在运行的时候还是会遇到很多问题,原因有很多,这里给个最简单的方法:加注释。
加注释可以解决50%的问题,当然也有加注释加多的,比如这种:
这种就属于加多了,有些先行条件需要用到(比如声明变量),但是被注释了,就会报错,因此需要把注释去掉,再排查问题。图中红框显示的基本上是conf的行数出错位置,可以以此排查。
其他问题总结:
1、一些情况下,snort.conf文件有部分地方出错,是由于空格问题。可以在一些赋值处增加/删除空格,比如这段:
2、有些命令要调整位置和填写绝对路径,比如snort –i3 -dev -l./log -h 192.168.1.0/24 -K ascii -c c:\Snort/etc/snort.conf,这条命令会报错,一个是-i3的位置,另一个是-l 命令后面需要绝对路径。可以修改为snort -dev -i3 -l C:/Snort/log -h 192.168.1.0/24 -K ascii -c c:\Snort/etc/snort.conf
3、alert.ids错误。有时候会遇到无法找到alert.ids错误,查阅资料后可能是一个软件bug。我的做法是新建一个空白文本文件,重命名为alert.ids,绕过这个报错。
4、端口扫描偶有报告说生成的portscan.log是空白的,可以再做一次nmap -sS 。
5、之前遇到了一个过多参数的错误,再nmap论坛上也没有解决方案,我这里是加了几个空格解决的,仅供参考。
总之,就像我们第一次学C语言一样,编写个hello world也能一堆报错,安装snort也一样,慢慢排查,查阅文献才能解决问题的态度,希望这篇博文可以帮助到你们,有其他问题欢迎在评论区留言。
2020.06.15更新:
https://download.csdn.net/download/weixin_40792413/12524662我上传了一份conf文件,一份lib,一份空白的alert.ids,各位可以下载参考。
2020.06.15