snort安装使用手册.docx

资源描述

snort安装使用手册.docx

《snort安装使用手册.docx》由会员分享，可在线阅读，更多相关《snort安装使用手册.docx（24页珍藏版）》请在冰豆网上搜索。

snort安装使用手册.docx

snort安装使用手册

通过Windows二进制安装程序安装Snort

您下载的Windows安装程序的名字应类似于Snort_2_8_0_2_Installer.exe。

运行安装程序，在Windows提示时确认您信任该应用程序，接受Snort许可协议。

选择数据库支持

您的第一个决定就是希望提供哪种类型的数据库支持。

图1展示的屏幕允许您在默认设置（即支持SQLServer的配置）与支持Oracle的配置之间做出选择。

图1.选择所需的数据库登录支持

此屏幕上的选项均应用于登录：

Snort在嗅探包时可以登录数据库。

（如果您对此感到迷惑，在下文中将得到解释。

）如果您不希望登录到数据库，而是希望仅登录到文件，或者希望登录到MySQL数据库以及MicrosoftAccess等ODBC可访问的数据库，则应选择第一个选项。

否则选择用于SQLServer或Oracle的选项。

选择要安装的组件

接下来是选择要包含在安装之中的组件（参见图2）。

图2.指出您希望安装哪些Snort组件

这里有四个选项：

Snort本身、动态模块、文档和模式。

没有理由不全部安装，完全安装只需要大约24MB的空间，因此应选中所有组件继续操作。

选择安装目录

默认情况下，Snort将安装在C:

\Snort中，如图3所示。

图3.选择Snort安装目录

因为Snort并没有过多的GUI组件，它实际上不属于典型的Windows应用程序，安装目录也不在C:

\ProgramFiles之下。

除非您能够为Snort这样的程序选择标准安装目录，否则应使用默认设置。

安装和关闭

奇怪的是，Snort并未提供非常有用的“安装完成”屏幕。

与之不同，您将看到一个已经完成的状态条和一个Close按钮（如图4所示）。

图4.安装在此时已经完成

单击Close按钮，您就会看到弹出窗口，表明Snort（几乎）已经为运行做好了准备（如图5所示）。

图5.Snort指出一些安装后的任务

安装WinPcap

Snort明确地告诉您：

在Snort能够使用之前，还有一些安装工作需要完成。

第一项就是WinPcap。

WinPcap是WindowsPacketCaptureLibrary的简写，它提供了某种类型的网络访问，而Snort的IDS和包嗅探功能需要这些访问。

请访问WinPcap的Web站点（参见参考资料），单击GetWinPcap链接。

选择最新的稳定版本下载，在本文撰写之时，最新版本是4.0.2。

下载包括一个Windows安装程序，可双击启动它（如图6所示）。

图6.WinPcap的安装很简单

安装非常简单，只要连续单击Next按钮即可。

这样，WinPcap就可随时运行了。

编辑路径

接下来的内容有些偏离主题，至少不是这篇文章关注的主题。

Snort的安装提示您编辑snort.conf文件，观察在哪里查找规则和其他配置文件。

这非常重要，但应该是我们后面讨论的话题。

目前，只要安装好Snort和WinPcap即可。

但是，这里还有一个步骤，需要处理之后才能继续。

您需要将Snort可执行文件添加到PATH语句之中，它的位置是C:

\Snort\bin\snort.exe（假设您选择的是默认安装目录）。

设置的位置与操作系统有关。

您需要找到SystemProperties对话框（在“控制面板”中或者选择“控制面板”>“系统”），选择AdvancedSystemProperties，注意观察一个名为EnvironmentVariables的按钮或选项卡。

其中有两个框（类似于图7）。

您需要选择上边的框，也就是用户变量，它仅应用于您的用户。

（您很可能不希望系统上的所有用户都能运行Snort，而无视您竭尽全力为某些程序设定的安全性制约。

）

图7.Windows提供两组环境变量

如果还没有用于PATH的项，请选择上方的New...按钮。

如果您已经有了一个项，则应选择Edit..。

在对话框中，输入PATH作为变量名，输入C:

\Snort\bin作为值。

图8展示了在完成时的效果。

图8.创建一个PATH变量并在Snort的可执行文件中指向它

选择OK，然后关闭所有对话框。

打开命令提示符，键入snort，您应看到类似于图9所示的输出结果。

图9.通过命令提示符运行Snort

提示：

下文将重复这一步骤，在运行Snort二进制文件一节中，但如果您使用的是Windows，那么值得立即学习，因为这些步骤能够纠正与环境变量设置相关的所有问题。

回页首

测试安装

在完成安装之后，您需要采取几个步骤，确保Snort可在系统上正常运行。

一切都很简单，但在每次安装新版本的Snort或在新机器上安装Snort时都需要执行这些步骤。

运行Snort二进制文件

可以执行的最简单的测试就是运行snort命令。

要开始测试，请切换到机器上的任意随机目录。

但为了安全起见，请不要在Snort安装目录中执行此命令。

您应得到类似于清单7所示的输出结果。

清单7.测试Snort二进制文件

[bdm0509:

~]snort

,_-*>Snort!

<*-

o"）~Version2.8.0.2（Build75）

''''ByMartinRoesch&TheSnortTeam:

http:

//www.snort.org/team.html

UsingPCREversion:

7.62008-01-28

USAGE:

snort[-options]

Options:

-ASetalertmode:

fast,full,console,testornone（alertfilealertsonly）

"unsock"enablesUNIXsocketlogging（experimental）.

-bLogpacketsintcpdumpformat（muchfaster!

）

-BObfuscatedIPaddressesinalertsandpacketdumpsusingCIDRmask

-cUseRulesFile

-CPrintoutpayloadswithcharacterdataonly（nohex）

-dDumptheApplicationLayer

-DRunSnortinbackground（daemon）mode

-eDisplaythesecondlayerheaderinfo

-fTurnofffflush（）callsafterbinarylogwrites

-FReadBPFfiltersfromfile

-gRunsnortgidasgroup（orgid）afterinitialization

-G<0xid>LogIdentifier（touniquelyideventsformultiplesnorts）

-hHomenetwork=

-HMakehashtablesdeterministic.

-iListenoninterface

-IAddInterfacenametoalertoutput

-kChecksummode（all,noip,notcp,noudp,noicmp,none）

-KLoggingmode（pcap[default],ascii,none）

-lLogtodirectory

-LLogtothistcpdumpfile

-MLogmessagestosyslog（notalerts）

-mSetumask=

-nExitafterreceivingpackets

-NTurnofflogging（alertsstillwork）

-oChangetheruletestingordertoPass|Alert|Log

-OObfuscatetheloggedIPaddresses

-pDisablepromiscuousmodesniffing

-PSetexplicitsnaplenofpacket（default:

1514）

-qQuiet.Don'tshowbannerandstatusreport

-rReadandprocesstcpdumpfile

-RInclude'id'insnort_intf.pidfilename

-sLogalertmessagestosyslog

-SSetrulesfilevariablenequaltovaluev

-t

Chrootsprocesstoafterinitialization

-TTestandreportonthecurrentSnortconfiguration

-uRunsnortuidasuser（oruid）afterinitialization

-UUseUTCfortimestamps

-vBeverbose

-VShowversionnumber

-wDump802.11managementandcontrolframes

-XDumptherawpacketdatastartingatthelinklayer

-yIncludeyearintimestampinthealertandlogfiles

-ZSettheperformonitorpreprocessorfilepathandname

Showthisinformation

arestandardBPFoptions,asseeninTCPDump

Longnameoptionsandtheircorrespondingsinglecharversion

--logid<0xid>Sameas-G

--perfmon-fileSameas-Z

--pid-pathSpecifythepathfortheSnortPIDfile

--snaplenSameas-P

--helpSameas-?

--versionSameas-V

--alert-before-passProcessalert,drop,sdrop,orrejectbeforepass,

defaultispassbeforealert,drop,...

--treat-drop-as-alertConvertsdrop,sdrop,andrejectrulesintoalert

rulesduringstartup

--process-all-eventsProcessallqueuedevents（drop,alert,...）,

defaultstopsafter1stactiongroup

--dynamic-engine-libLoadadynamicdetectionengine

--dynamic-engine-lib-dirLoadalldynamicenginesfromdirectory

--dynamic-detection-libLoadadynamicruleslibrary

--dynamic-detection-lib-dirLoadalldynamicruleslibrariesfrom