【入侵检测】window下安装snort

目录

1、Snort介绍

2、实验环境

3、安装snort

4、snort嗅探器模式测试

5、简单的报警规则

---

 

1、Snort介绍

Snort是一个跨平台、轻量级的网络入侵检测工具，属于基于网络的误用检测。

Snort的软件模块组成：
　（1）数据包嗅探模块——负责监听网络数据包，对网络进行分；
　（2）预处理模块——该模块用相应的插件来检查原始数据包，从中发现原始数据的“行为”，如端口扫描，IP碎片等，数据包经过预处理后才传到检测引擎；
　（3）检测模块——该模块是Snort的核心模块。当数据包从预处理器送过来后，检测引擎依据预先设置的规则检查数据包，一旦发现数据包中的内容和某条规则相匹配，就通知报警模块；
　（4）报警/日志模块——经检测引擎检查后的Snort数据需要以某种方式输出。如果检测引擎中的某条规则被匹配，则会触发一条报警，这条报警信息会通过网络、UNIXsocket、WindowsPopup(SMB)、SNMP协议的trap命令传送给日志文件，甚至可以将报警传送给第三方插件（如SnortSam），另外报警信息也可以记入SQL数据库。

2、实验环境

Windows7pro

Snort_2_9_20_Installer.x86

WinPcap_4_1_3

（这里有个坑winpcap是32位的，snort必须下载对应的32位）

3、安装snort

3.1安装winPacp

默认安装

 

3.2安装snort

 

3.3启动snort

在dos下切换到snort\bin目录下，执行snort.exe，或执行snort --help查看帮助信息。

4、snort嗅探器模式测试

嗅探模式即snort从网络上读出数据包然后打印到控制台。
Snort -v 打印TCP/IP包头信息、Snort -d 打印应用层数据、Snort -e 打印链路层数据
1）查看网卡信息
C:\Snort\bin>snort -W

2）捕获数据
网卡1捕获不了数据包，不知道是啥网卡，小问题。
C:\Snort\bin>snort -dev -i2
使用Kali：192.168.12.128
ping实验机win7：192.168.12.131
结束捕获后查看分析报告，可以看到捕获了各种协议的数据包。

3）保存数据到日志文件

4）问题与反思
问题1：网卡无法抓取数据包
网卡设置不正确，或可更换网卡。实验机有两张网卡，一张是蓝牙网卡，禁用即可。

问题2：无法将DAQ BPF筛选器设置为“..\log”
参数设置错误

 

5、简单的报警规则

5.1自编写规则1

将下载的snort.conf文件替换c:\snort\etc\snort.conf
1）在snort\rules下新建新规则new.rule如下并添加如下2条规则：

alert icmp any any -> 192.168.12.132 any (msg:＂ICMP＂;sid:41409)
alert tcp any any -> 192.168.12.132 80 (msg:＂Telnet Login＂;sid:26287)

2）启动snort，运行snort -c ..\etc\snort.conf -l ..\log -K ascii进入入侵检测模式

3）测试效果
在另一台机器中ping实验机