Snort详细安装步骤的说明.docx

Snort详细安装步骤的说明.docx

《Snort详细安装步骤的说明.docx》由会员分享，可在线阅读，更多相关《Snort详细安装步骤的说明.docx（14页珍藏版）》请在冰豆网上搜索。

Snort详细安装步骤的说明

Snort使用报告

一、软件安装

安装环境：

windows732bit

软件：

Snort2.9.5.5、WinPcap4.1.1

规则库：

snortrules-snapshot-2970.tar.gz

二、实验内容

熟悉入侵检测软件Snort的安装与使用

三、实验原理

Snort是一个多平台（Multi-Platform）,实时（Real-Time）流量分析，网络IP数据包（Pocket）记录等特性的强大的网络入侵检测/防御系统（NetworkIntrusionDetection/PreventionSystem）,即

NIDS/NIPS

四.安装步骤

1•下载实验用的软件Snort、Snort的规则库snortrules和WinPcap.

本次实验使用的具体版本是Snort2.9.5.5、snortrules-snapshot-2970.tar.gz和WinPcap4.1.3

首先点击Snort安装

点击IAgree.同意软件使用条款，开始下一步，选择所要安装的组件:

全选后，点击下一步:

选择安装的位置，默认的路径为c:

/Snort/,点击下一步，安装完成。

软件跳出提示需要安装

WinPcap4.1.1以上

点击下一步继续:

'"sPcdp

WinPcap^.1.3Setup

1〃inPcdp

LicenseAgreement

PleasereviewthekenseternsbeforeinstallingWinPcapA.

PressPageDawntoseetherestoftheagreement.

Copyright"c；19^9-2005NetGrpLiprPolitEcnicpdiTorino（Ital-y）.

Copyright（c）2005-2010CACETedmolc^eSjDa'u'isCCalifornia）.

匚opYTight（c）2010-2013RiverbedTechnology,5印Frandsco[Califixnia）-

Allri/itsreserved-

Redistributionanduseinscurcieandbinaryihrms,v?

ittiorwilhcujtinodificatiorii.arepermittedprovidedthatthefbllovviiguoncfitionsmet:

1.Redistributionsofsourcecodemustretain廿叱abovecoDyrightnotirerthislistofcorditioristhefiolo'/jingdisdairrier.

2.Redistributonsnbinaryformmustreproducetheabovecopyri^itnoticertiislistof

Tfyouacceptthetermsoftheagr&ementjdid;JAgreetocontinue,ITcumustaccepttheagreemerittoinstalWinPcap无1鼻

Ui期Ify2<^6

点击同意使用条款:

Instdl^tionoptions

PleasereviewthefallowingoptionsbelbreinstallingWinPcap

4.L3

BAutomaticallystarttheWinPcapdrveratbDOttme

NulVoftinstullSystemv2W

选择是否让WinPcap自启动，点击安装:

安装完成点击完成。

此时为了看安装是否成功，进入CMD，找到d:

/Snort/bin/如下图：

（注意这个路径是你安

装的路径，由于我安装在d盘的根目录下，所以开头是d:

）

^3■=^.-8：

C:

\wjndcsws\syst&m3iicrnd.fexe

MicrosoftWindows【版本6-1.7601J

版权所有2069MicrosoftCorporatione保留所有权利*

C：

'JJscfs\Administrate^>（1:

D:

\>cdSnor七

D：

\Snort>cdbin

D：

XSncrtXbin>_

输入以下命令snort-W,如下显示你的网卡信息，说明安装成功了！

别高兴的太早，这只是

安装成功了软件包，下面还要安装规则库：

ElC■"•wiradcws-systerngilcrrideafe

Microsoft^indowsr【版本6.1.7601J

版杈所有Cc>200?

HicroBoFtCorpoHtion»保留所有权弄l]o

C：

\IJsfli*s\Ad«iinistt

D«\>udSuorlf

E：

\Snort>cdbin

D：

\Snoi*t\bin>sno^t-W

一”_-*>5?

nnt*f*<«-

o">*Uopoion2-9.5.E-U1N32CRE

uaii

DyHa^CiiiRaettuh*IlicSticrtTcar*AiivrL.ur^/snurlZirkurtt

Copyright（C>1^9B-aU13Sourc«fIna・》etal.UsingPOPEversion:

S.102010-0&-25

Usin^ZL1Bversion-1.2.3

Ind*K

Ph£|£ica]Adilt^fe^SIPAddreifulteNameDefC-PdptIdn

09：

00：

00：

30：

0b=aeHoes=0C00srcQd：

oeas:

oaa»：

eeos：

cdeaiS9ic如亡=

NFF-C67TECB89-B4CB-4?

47-?

E£8一丄96DDB6DF36B>MUrusuft

2U»：

EU：

4C：

lM：

Bk：

J40U09:

UMMH:

teHU:

VMUU:

UOa»：

0M»M：

2cUS:

b»HbXDeuiCftX

HPF_C365F2CDE-A2?

4-4839-BF?

B-0FBE4E74FW>RealtekPCleQBEFanil^Contrail

er

D:

Vfinovt\hin>

3•安装Snort规则库

首先我们去Snort的官网下载Snort的规则库，必须先注册成会员，才可以下载。

具体下载

地址为https:

//www.snort.org/downloads，往下拉到Rules，看见Registered是灰色的，我们

点击Signin：

Snort的安装文件

注册成功后，返回到这个界面就可以下载了。

下载成功后将压缩包解压到

下列文件已经存花

D:

VSaiortVrulesVVRT_Lice.txt

你是否确实要将己经存在的文件：

\19,574

_|備锁于2014/1L/253:

31

替换芮这个吗？

|修改于S014/U/2S3:

51

新的规则库。

4•修改配置文件

用文件编辑器打开d:

\snort\etc\snort.conf，这里用的是Notepad++，用win自带的写字板也是可以的。

找到以下四个变量varRULE_PATHdynamicpreprocessor，dynamicengine，

alert_syslog分别在后面添加如下路径：

varRULE_PATHd:

\snort\rules

varSO_RULE_PATHd:

\snort\so_rules

varPREPROC_RULE_PATHd:

\snort\preproc_rules

#othervariableSftheseshouldnotbemodified

AIMSERVERS【££・12.24*0/23,6^.12.25.0/23,64.12.161.0/24^€4*12

100

#Fath匸口yourrulesfiles（thiscanbearelativepacii）

#MateforWindows口/um;Youareadviseato亓且牙亡thisan

#suchas:

c:

\sncrtXrule^RULE_PATHd:

\snort\rkiles

夏麻SO.RULEPATHd;\3TLOrt.\sorules

V旦工PREPROC_RULE_PATEd:

\snoxt;\preproc_i：

Ljle5

103

104

105

IQ石

107

#Ifyouareusingreputationpieprocessorthese

1j-varWHITELISIPATH../rules

dynamicpreprocessorfiled:

\snort\lib\snort_dynamicpreprocessor\sf_dcerpc.dlldynamicpreprocessorfiled:

\snort\lib\snort_dynamicpreprocessor\sf_dns.dlldynamicpreprocessorfiled:

\snort\lib\snort_dynamicpreprocessor\sf_ftpteInet.dll

dynamicpreprocessorfiled:

\snort\lib\snort_dynamicpreprocessor\sf_smtp.dll

dynamicpreprocessorfiled:

\snort\lib\snort_dynamicpreprocessor\sf_ssh.dlldynamicengined:

\snort\lib\snort_dynamicengine\sf_engine.dll

文件㈢ta辑㈢攫索⑸视鈕巧格式呦iSB（L）宏2｝运行网描件（円窗口m；r

耳

心•□©。

血B丨Ji•曾丨支宅丨电曰丨気n匡□于

_|snort.conQ

paf_niax:

1€OQO

236

#Step+4:

Configuredynamicloadedlibraries.

#

ForTuorei"fonration,seeSnort2-IfiTL.ialfConfiguringSnort-Dynair

outputalert_syslog:

host=127.0.0.1:

514,LOG_AUTHLOG_ALERT

文件⑺骗辑（E.;搜索⑸视圏［Vj格或岡语曹（L）设養⑴宏0运行㈣插件f窗口

。

由厨曹刍曲91囲陲1忙|囲摩］I国品I希n圍圈18

l_|snort.conQ

*E匸皀p+6：

Configureoutput

+FormoreinforttacicinrseeSnoreManual,亡onflguringSnort-Ouupu

522

tunified

+Recorrm皀nd已dformos匸inst■占丄1鼻

+ctiT-pucunified^:

爲废蜩merged,leg,limit128r加克珈血.n^]lB_ev526

tAdditionalconfigurationforspecifictypesofinstalls

#outputalert_unified2:

殴snort.alert,limit丄28,删抿题口

扌outputlcg^ified2:

snort.lcgflur.it123r

53Q

531*諏或朋

toutputalertflyslog:

host-12'7-0・0・l1514^LOG_AUTHLOGA1ERT

S33

到现在位置配置完成，同样回到cmd中找到d:

/Snort/bin/运行snort—-1（1是指你联网的网卡编号默认是1）开始捕获数据，如下：

53注年〒c,wic.；z■：

-I-.1.■=：

±

：

4G-E4E390192.1（8.1.10G：

24S91->123.11&：

^2&2

LDPT7L:

&4TOS；0m0ID：

28Z7丄DynLtjii：

30

Len:

2

=+=+=+=*=+=+=+=+=+=+=+=+=■»=+=+=+=+=+=+=*=+=+=+=+=*=+=+=+^1=+=*=+=+

11/27-1$:

5H:

«_54E732192.lfifl.l.1BC:

24891->B7.ll.24B.157:

^200

UDPT7L：

t4TOEtOxlBID：

202?

2lPLen：

20DgnLen^Q

Leri-2

=+=•+=+=<-=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+-=*-•=+=+=+=+=*-=+=+=-•-=-*=+=■•-=+=+

11/27-19：

S8：

45_E45920192.ltS.1.1%：

24881->116.17-220-9:

6264

UDPT1TL：

ft4TOS：

BxflTP：

28273IpLen：

a0DpnLen汁0

Len-2

—-t—+—+—1-—■-t-—-It-—-fr■=■++—=—1=♦=■+

11/27-1?

：

b8：

4b-b4blttl191!

.16S.l.ltib：

248Ul->221.^32.223.12*：

^>b226UDPTTL：

64TOSzBxBID：

282?

4IpLen：

2SDgnLen：

30

Len；2

11/27-1?

=58546364192.16V.1.106；248»1->218.19.101.159^6263

UDPT7L：

&4Tl>S：

MxOID：

28275lpLeo：

2QD卵Len：

30

Len:

2

■+=+»+=t=+=+=+=+=<■=+=+=+=+=+»i-=+=+=+=+™<-^+=+=+=+=*=+=+=+=+=+=+=+■+»+■+=+=+

11^27-19seeslS.litte?

192.16@.1.10G：

2^ei->02.40.119.196:

1242UD?

T7Li64TOS^0m0IDs28Z76IpLeiuZQI>yiiLeii>30

Len:

2

11/27-19:

58!

4R_S4（；792192.1Gfi.1.->125.29t4t72

UDPT7LJ&4100；0«0ID：

2B2?

7lPLon!

2SD^nLoh^O

Lcn：

2

=+=+=+=«-=+=+=+=4=4-=+^+=+^4^+=^^+=+=4=+=*=+=#=+=->=*=4^-1-^4=+^4-4=4=4-=+

11/27-1?

：

58：

45.54^013192.168.1.10G=24881->22B.lfi9.91.162：

6265UDPTTL:

G4T0£：

QxB10:

20270lplen：

2QngnLen：

3Q

Lcn:

2

***Caught1nt—£isrna1

RuntFoi*parkfttpfgcrssinoruas2793■seconds

运行一段时间后按Ctrl+c中断出来可以看见日志报告:

Cr\

3E尝二壬二.!

iwin□oxtsy:

temjz\tnd.sKe

***C«tight]nt-SifiinAl

Jlufttineffltpn.c.'kc.tproccasingwat2793-?

8G000Snortpruces^Eil422?

8packtits.

Snot*tranfop（4事hnuiF£4bminutes33seconds

Pkts/hin:

919

Pltszseci15

PAckotTotals

Huuvj-ved：

HnaLi/zed：

Dropped：

Filtered：

On^^tnnd-inff：

1Tijected.:

42327

42Z?

8

9.®84Z>

0<0.S0B^>

0

49<

0

protocol

42278

Q

41477<98,105X>

»

5323<12.59®m>2685?

<

11®7<21.73«X>

3S3<0.906Z>

3S3<0.V0fc^>

0<口-胸毗〉

0（0.SO0^>

0<0.的盼

3S3<0.?

06z>

&

E）<0.6QBZ）

Q<0.e0Oz>

R（

0<0.03DQ

<0.60Bx;>

<（J.UUWZ>

<0.80脑》

<歐60脑>

<0.Q0B^>