|
先简单说下Snort是什么?Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort基于GNU通用公共许可证(GPL)发布,您可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它。这里说的多平台就是它的优点,我在Windows环境下和Linux环境下进行了分别的设置;
Windows下Snort安装配置
试验环境:
操作系统:Windows 2003
硬件:普通的PC
软件:PHP运行环境及Mysql以及snort用到的三种程序文件(包括Winpcap、adodb、base、jpgraph)
php运行环境这里就不多说了,需要配合apache来进行工作,不会的请自己baidu找一下配置文档。这里我个人感觉snort分2块配置,第一是php+mysql环境;第二是snort及相关软件安装配置。
那这里面可以从网络找个php+mysql的绿色包直接用,在确认php+mysql没问题的情况下开始进行snort配置,首先安装winpcap这个网络抓包软件,接着安装snort,在这两个安装完以后要找到snort目录下的C:\Snort\etc\snort.conf对其进行配置。
1.var HOME_NET 172.18.134.0/24改成自己网络
2.var RULE_PATH c:\snort\rules确认规则包路径没问题
3.dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll原先是linux的.so文件改成对应路径.dll这个。
4.output database: log, mysql, user=root password=123asd dbname=snort host=localhost改成自己mysql对应的配置。
5.include $RULE_PATH/local.rules打开相应的规则包如果规则包不对,在启动加载的时候会抱错。
6.建立数据库
mysql> -uroot -p123456
create database snort;
grant INSERT,SELECT on root.* to snort@localhost;
exit
导入 mysql路径为C:\Snort\schemas\create_mysql这个文件。
7.通过浏览器访问base所在相对路径,如:http://localhost:8080/base
按提示一步一步进行下去。这里就不多说了。能去动手配置snort的脑细胞还是很强的。(不确定修改jpgraph.php DEFINE(“CACHE_DIR”,”/tmp/jpgraph_cache/”); )之后是运行snort,需要添加一个环境变量PCAP_FRAMES=max;在命令行通过snort -c c:/snort/etc/snort.conf运行,不过最好添加为系统服务
snort /SERVICE /INSTALL -c d:\snort\etc\snort.conf -l d:\snort\log -K ascii -i2 |