先簡單說下Snort是什麼?Snort是一個多平台(Multi-Platform),實時(Real-Time)流量分析,網絡IP數據包(Pocket)記錄等特性的強大的入侵檢測/防御系統(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort基於GNU通用公共許可證(GPL)發布,您可以通過免費下載獲得Snort,並且只需要幾分鐘就可以安裝並開始使用它。這裡說的多平台就是它的優點,我在Windows環境下和Linux環境下進行了分別的設置;
Windows下Snort安裝配置
試驗環境:
操作系統:Windows 2003
硬件:普通的PC
軟件:PHP運行環境及Mysql以及snort用到的三種程序文件(包括Winpcap、adodb、base、jpgraph)
php運行環境這裡就不多說了,需要配合apache來進行工作,不會的請自己baidu找一下配置文檔。這裡我個人感覺snort分2塊配置,第一是php+mysql環境;第二是snort及相關軟件安裝配置。
那這裡面可以從網絡找個php+mysql的綠色包直接用,在確認php+mysql沒問題的情況下開始進行snort配置,首先安裝winpcap這個網絡抓包軟件,接著安裝snort,在這兩個安裝完以後要找到snort目錄下的C:\Snort\etc\snort.conf對其進行配置。
1.var HOME_NET 172.18.134.0/24改成自己網絡
2.var RULE_PATH c:\snort\rules確認規則包路徑沒問題
3.dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll原先是linux的.so文件改成對應路徑.dll這個。
4.output database: log, mysql, user=root password=123asd dbname=snort host=localhost改成自己mysql對應的配置。
5.include $RULE_PATH/local.rules打開相應的規則包如果規則包不對,在啟動加載的時候會抱錯。
6.建立數據庫
mysql> -uroot -p123456
create database snort;
grant INSERT,SELECT on root.* to snort@localhost;
exit
導入 mysql路徑為C:\Snort\schemas\create_mysql這個文件。
7.通過浏覽器訪問base所在相對路徑,如:http://localhost:8080/base
按提示一步一步進行下去。這裡就不多說了。能去動手配置snort的腦細胞還是很強的。(不確定修改jpgraph.php DEFINE(“CACHE_DIR”,”/tmp/jpgraph_cache/”); )之後是運行snort,需要添加一個環境變量PCAP_FRAMES=max;在命令行通過snort -c c:/snort/etc/snort.conf運行,不過最好添加為系統服務
snort /SERVICE /INSTALL -c d:\snort\etc\snort.conf -l d:\snort\log -K ascii -i2
linux環境下Snort安裝配置
通過安裝linux可以把php+mysql直接安裝進去,然後是准備幾個包,adodb、base、jpgraph、pcre-7.9.tar.gz、zlib-1.2.3.tar.gz、libpcap-1.0.0.tar.gz、snort-2.8.4.1-1.RH5.i386.rpm、snort-mysql-2.8.4.1-1.RH5.i386.rpm。
1.測試php+mysql沒問題,進入下一步。
2.先安裝libpcap-1.0.0.tar.gz、pcre-7.9.tar.gz、zlib-1.2.3.tar.gz
3.接著安裝snort-2.8.4.1-1.RH5.i386.rpm、snort-mysql-2.8.4.1-1.RH5.i386.rpm
4.同樣是對安裝後snort.conf進行配置
5.創建mysql中snort數據庫
6.把adodb、base、jpgraph放入web目錄通過訪問base對數據庫進行初始化。
7.設置環境變量
8.運行snort進行測試。
個人感覺環境很重要,其次是修改相關配置,再就是規則包了。祝你好運。
