Windows下Snort安装配置

Snort作为一个IDS（入侵检测系统），是网络安全防御系统的一个重要组件，这里，记录下在windows 10下的安装配置过程。
话不多说，直接开始吧！

环境

环境如下：

• windows 10
• Snort 2.9.17
• npcap 1.20

软件下载

npcap下载

在官网点击链接下载即可：

npcap下载

Snort下载

直接在官网，点击链接下载即可:

Snort下载

规则下载

在官网注册账号并登陆，
点击链接下载Snort规则：

规则下载

软件安装

npcap安装

双击安装包直接安装即可，记得在杀软拦截时选择允许程序一切行为

snort安装

同样双击安装即可

验证安装结果

进入到Snort的安装目录下的bin目录，在当前目录下进入cmd，输入命令snort -ev，出现以下界面即为安装成功：

验证snort是否安装成功

Snort配置

规则配置

使用记事本或编辑器打开安装目录下/etc/snort.conf文件，更改以下位置的配置代码（其中的路径改为自己的安装目录）：

规则配置1

规则配置2

规则配置3

规则配置4

将下载好的规则解压，并将文件放至安装目录下的 rules文件夹中：

规则

Snort运行

打开cmd，进入到安装目录下的bin目录中，执行命令snort -dev -l E:\softwares\Snort\log -h 192.168.1.0/24 -c E:\softwares\Snort\etc\snort.conf，即可成功运行：

Snort运行

要结束运行，按ctrl+C即可

错误解决

• ERROR: ../etc/snort.conf(250) Missing/incorrect dynamic engine lib specifier.
  仔细检查snort的配置是否正确，我这里是在规则配置图2那里末尾多了个\，去掉就可以了

• Unable to open the IIS Unicode Map file './unicode.map'
  使用管理员权限运行cmd即可，可在任意目录执行这个命令E:\softwares\Snort\bin\snort -dev -l E:\softwares\Snort\log -h 192.168.1.0/24 -c E:\softwares\Snort\etc\snort.conf
  

  管理员权限运行cmd

• Unable to open address file E:\softwares\Snort\etc\../rules/white_list.rules, Error: No such file or directory
  在rules文件夹内新建文件white_list.rules即可

• ERROR: E:\softwares\Snort\etc\snort.conf(512) => Unable to open address file E:\softwares\Snort\etc\../rules/black_list.rules, Error: No such file or directory
  同上，新建该文件即可