Snort2.8.1在Windows上的简单使用

Snort是著名的开源入侵检测工具，不仅它的嗅探功能极佳，在服务器安全方面也可提供安全防护。

近期因为涉及此项内容，故记录下来。

使用的软件如下：

• Snort_2_8_6_Installer.exe（按照默认路进安装即可）
• WinPcap_4_1_2.exe
• snortrules-snapshot-2860.tar.gz（规则库，解压到Snort的安装目录，如果提示重复文件，可以选择不覆盖）

Snort是个命令行软件，相关指令今后介绍，先熟悉一下基本功能。

安装完成后，为了使用方便，在系统环境变量PATH添加(/\Snort\/)\bin，其中(/\Snort\/)为Snort的主目录。

在cmd中，运行snort -W，W大写。此命令可以作为Snort是否安装成功的标志，同时可以看到运行着的网卡信息。

在什么都不做的情况下，一个snort -v就可以实现简单的嗅探任务。CTRL+C可以结束嗅探。

比较复杂一点的是配置。RULE_PATH，SO_RULE_PATH，PREPROC_RULE_PATH，dynamicpreprocessor和dynamicengine的路径设置Windows上的绝对路径。有一点需要留意，dynamicpreprocessor的路径最后不要以斜杠或反斜杠结尾，原配置上有斜杠，如果有会造成引擎加载失败。

使用配置的命令方式为：snort -v -c (/\Snort\/)\etc\snort.conf；按此命令或出现ERROR: OpenAlertFile() => fopen() alert file log/alert.ids:No such file or directory。可能是此版本下的第二个BUG，希望以后官方能够提供修正。

既然无法运行，我们只能通过snort -l  (/\Snort\/)\mylogs  -c (/\Snort\/)\etc\snort.conf将文件写入指定目录中。

至此，snort算是简单使用了，之所以写这篇，一来为继续介绍snort做准备，二来上面的两个BUG，给初次使用的人带来的困惑，记录下来，以此说明。