Windows平台下基于snort的入侵检测系统安装详解

网络入侵检测系统的安装与配置手册第一章：介绍网络入侵是指未经授权的用户或系统对网络资源的非法访问、修改、删除或者使用。

为了提高网络的安全级别，我们需要安装和配置网络入侵检测系统（IDS）。

本手册将为您详细介绍网络入侵检测系统的安装与配置步骤，以及如何确保系统的有效性和稳定性。

第二章：准备工作在开始安装和配置网络入侵检测系统之前，您需要进行一些准备工作：1. 确认您的计算机符合系统要求，包括硬件和软件规格。

2. 下载最新版本的网络入侵检测系统软件，并保证其完整性。

3. 确保您的计算机已经连接到互联网，并具有正常的网络连接。

4. 确定您的网络拓扑结构和系统域。

第三章：安装网络入侵检测系统在本章中，我们将为您介绍网络入侵检测系统的安装步骤：1. 解压下载的网络入侵检测系统软件包。

2. 打开安装程序，并按照提示完成安装过程。

3. 选择您所需要的组件和功能，并根据您的需求进行配置。

4. 安装完成后，根据系统指引完成系统初始化设置。

5. 配置系统的管理员账户和密码，并确保其安全性。

第四章：配置网络入侵检测系统在本章中，我们将为您介绍网络入侵检测系统的配置步骤：1. 设定系统的网络参数，包括IP地址、子网掩码、网关等。

2. 配置系统的安全策略，包括过滤规则、用户权限等。

3. 配置系统的监控规则，以便检测和报告任何潜在的入侵行为。

4. 确保系统的日志记录功能正常运行，并设置相关参数。

5. 配置系统的警报机制，包括警报方式、警报级别等。

6. 定期更新系统的规则库和软件补丁，以确保系统的正常运行和最新的威胁识别能力。

第五章：测试和优化网络入侵检测系统在本章中，我们将为您介绍如何测试和优化网络入侵检测系统：1. 进行系统的功能测试，确保系统的所有功能和组件正常工作。

2. 使用测试工具模拟不同类型的入侵行为，并观察系统的检测和警报机制。

3. 根据测试结果，调整系统的监控规则和警报机制，以提高系统的准确性和反应速度。

4. 分析系统的日志信息，发现和排除可能存在的问题。

实验五：入侵检测技术一、实验目的通过实验深入理解入侵检测系统的原理和工作方式，熟悉入侵检测系统的配置和使用。

实验具体要求如下：1.理解入侵检测的作用和原理2.理解误用检测和异常检测的区别3.掌握Snort的安装、配置和使用等实用技术二、实验原理1、入侵检测概念及其功能入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测系统(intrusion detection system,IDS)是完成入侵检测功能的软件和硬件的集合。

入侵检测的功能主要体现在以下几个方面：1）. 监视并分析用户和系统的活动。

2）. 核查系统配置和漏洞。

3）. 识别已知的攻击行为并报警。

4）. 统计分析异常行为。

5）. 评估系统关键资源和数据文件的完整性。

6）. 操作系统的审计跟踪管理，并识别违反安全策略的用户行为。

2、入侵检测的分类根据IDS检测对象和工作方式的不同，可以将IDS分为基于网络的IDS(简称NIDS)和基于主机的IDS(简称HIDS)。

NIDS和HIDS互为补充，两者的结合使用使得IDS有了更强的检测能力。

1）. 基于主机的入侵检测系统。

HIDS历史最久，最早用于审计用户的活动，比如用户登录、命令操作、应用程序使用资源情况等。

HIDS主要使用主机的审计记录和日志文件作为输入，某些HIDS也会主动与主机系统进行交互以获得不存在于系统日志的信息。

HIDS所收集的信息集中在系统调用和应用层审计上，试图从日志寻找滥用和入侵事件的线索。

HIDS用于保护单台主机不受网络攻击行为的侵害，需要安装在保护的主机上。

2）. 基于网络的入侵检测系统。

NIDS是在网络中的某一点被动地监听网络上传输的原始流量，并通过协议分析、特征、统计分析等分析手段发现当前发生的攻击行为。

NIDS通过对流量分析提取牲模式，再与已知攻击牲相匹配或与正常网络行为原形相比较来识别攻击事件。

Snort使用报告一、软件安装安装环境:windows 7 32bit软件:Snort 2.9.5.5、WinPcap 4.1.1规则库: snortrules-snapshot-2970.tar.gz二、实验内容熟悉入侵检测软件Snort的安装与使用三、实验原理Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS四.安装步骤1.下载实验用的软件Snort、Snort的规则库snortrules 和WinPcap.本次实验使用的具体版本是Snort 2.9.5.5、snortrules-snapshot-2970.tar.gz 和WinPcap 4.1.3首先点击Snort安装点击I Agree.同意软件使用条款，开始下一步，选择所要安装的组件：全选后，点击下一步：选择安装的位置，默认的路径为c:/Snort/,点击下一步，安装完成。

软件跳出提示需要安装WinPcap 4.1.1以上2.安装WinPcap点击WinPcap安装包进行安装点击下一步继续：点击同意使用条款：选择是否让WinPcap自启动，点击安装：安装完成点击完成。

此时为了看安装是否成功，进入CMD，找到d：/Snort/bin/如下图：（注意这个路径是你安装的路径，由于我安装在d盘的根目录下，所以开头是d:）输入以下命令snort –W，如下显示你的网卡信息，说明安装成功了！别高兴的太早，这只是安装成功了软件包，下面还要安装规则库：3.安装Snort规则库首先我们去Snort的官网下载Snort的规则库，必须先注册成会员，才可以下载。

具体下载地址为https:///downloads，往下拉到Rules，看见Registered是灰色的，我们点击Sign in：注册成功后，返回到这个界面就可以下载了。

贵州大学实验报告学院：计信学院专业：班级:（10 ）测试snort的入侵检测相关功能实（1）装有Windows2000 或WindowsXP 操作系统的PC机；验（2）Apache_2.0.46、php-4.3.2、snort2.0.0、Mysql 、adodb、acid、jpgraph 库、仪win pcap 等软件。

器（1）Apache_2.0.46 的安装与配置（2）php-4.3.2 的安装与配置（3）sn ort2.0.0 的安装与配置实（4）Mysql数据库的安装与配置验（5）adodb的安装与配置步（6）数据控制台acid的安装与配置骤（7）jpgraph 库的安装（8）win pcap的安装与配置（9）snort规则的配置（10 ）测试snort的入侵检测相关功能（一）windows 环境下snort 的安装实1、安装 Apache_2.0.46验（1）双击 Apache_2.0.46-win32-x86-no_src.msi ，安装在默认文件夹C:\apache 内下。

安装程序会在该文件夹下自动产生一个子文件夹apache2 。

容Php)3、安装 snort安装snort-2_0_0.exe , snort 的默认安装路径在 C:\snort安装配置Mysql 数据库(1)安装Mysql 到默认文件夹 C:\mysql ，并在命令行方式下进入C:\mysql\bin ,输入下面命令： C:\mysql\bin\mysqld - install 这将使 mysql 在 Windows 中以服务方式运行。

(2)在命令行方式下输入 net start mysql ，启动mysql 服务(3 )进入命令行方式，输入以下命令 C:\mysql\b in> mysql -u root -p如下图:出现Enter Password 提示符后直接按"回车”，这就以默认的没有密码的 root 用户 登录mysql 数据库。

标题：Snort入侵检测系统的配置安装作者：CmdH4ck工作平台：VMware虚拟机服务平台：windows server2003（安装snort）辅助平台：windows xp（进行入侵测试）工具：Apache服务器Php语言Winpcap网络驱动Snort入侵检测系统MY SQL数据库adodb组件jgraph组件acid组件snort规则包具体操作步骤：在C盘新建一个IDS文件夹，所需的工具软件安装在此文件夹内1.安装Apache服务器（图1——图5）安装时先将iss的服务关闭，防止造成端口冲突，如图.1图1关闭IIS服务后即可安装Apache服务器（没有截图的，默认点击下一步）图2图3图4安装完成之后，打开浏览器，输入http://localhost，出现以下内容，则表示安装成功图52．安装php解压php-5.2.6-win32.zip到c:\ids\php5\下，如图6图6复制c:\ids\php5\目录下的php5ts.dll到C:\WINDOWS\system32目录下复制c:\ids\php5\目录下的php.ini-dist到c:\windows目录下，并重命名为php.ini。

修改C:\ids\apache\conf\httpd.conf文件，加入apache对php的支持。

加入loadmodule php5_module c:/ids/php5/php5apache2_2.dll(如图7)图7添加类型：加入:addtype application/x-httpd-php .php （如图8）图8修改c:\windows\php.ini文件，去掉extension=php_gd2.dll前面的分号，使之支持gd2图9复制c:\ids\php5\ext文件夹下的php_gd2.dll文件到c:\windows文件夹下以上配置完成后，重启下apache服务器。

然后在apache网页存放目录下(C:\ids\apache\htdocs)编写test.php,内容为<?php phpinfo(); ?> （用记事本编写，后缀改为php即可）图10然后打开浏览器，输入地址http://localhost/test.php，如果出现图11，则一切正常。

实验八入侵检测系统snort的安装与使用一、实验序号：8二、实验学时：2三、实验目的（1）理解入侵检测的作用和检测原理。

（2）理解误用检测和异常检测的区别。

（3）掌握Snort的安装、配置。

（4）掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。

四、实验环境每2位学生为一个实验组，使用2台安装Windows 2000/XP的PC机，其中一台上安装Windows平台下的Snort 2.9软件；在运行snort的计算机上，安装WinpCap4.1.2程序。

五、实验要求1、实验任务（1）安装和配置入侵检测软件。

（2）查看入侵检测软件的运行数据。

（3）记录并分析实验结果。

2、实验预习（1）预习本实验指导书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。

（2）复习有关入侵检测的基本知识。

六实验背景1 基础知识入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测系统（Intrusion Detection System， IDS）是完成入侵检测功能的软件和硬件的集合。

随着网络安全风险系数不断揭帖，防火墙作为最主要的安全防范手段已经不能满足人们对网络安全的需求。

作为对防火墙极其有益的补充，位于其后的第二道安全闸门IDS能够帮助网络系统快速发现网络攻击的发生，有效扩展系统管理员的安全管理能力及提高信息安全基础结构的完整性。

IDS能在不影响网络及主机性能的情况下对网络数据流和主机审计数据进行监听和分析，对可疑的网络连接和系统行为进行记录和报警，从而提供对内部攻击、外部攻击和误操作的实时保护。

2 入侵检测软件Snort简介Snort是一款免费的NISD，具有小巧、易于配置、检测效率高等我，常被称为轻量级的IDS。

Snort具有实时数据流量分析和IP数据包日志分析能力，具有跨平台特征，能够进行协议分析和对内容的搜索或匹配。

⽹络⼊侵检测系统（IDS）的安装部署安装snort⼊侵检测系统1、登录ids系统登录实验机后，打开桌⾯上的putty程序，输⼊10.1.1.106，再点击Open.。

输⼊⽤户名：root，密码：bjhit2、安装LAMP环境（省略）在putty⾥⾯输⼊如下命令进⾏安装apt-get install mysql-server libapache2-mod-php5 php5-mysql libphp-adodb注意：因为下载时间太长，会耽误过多的时间，所以提前已经安装好了。

这⾥给mysql的root⽤户，设置的密码是123456。

3、安装snort软件包(已安装)#apt-get install snort-mysql在安装过程中会提⽰下图所⽰信息。

（这⾥是填写监听的⽹段）4、创建snortdb数据库登录mysql mysql -u root -p123456进⼊数据库后，创建⼀个数据库命名为snortdb。

create database snortdb;grant create, insert, select, update on snortdb.* to snort@localhost;set password for snort@localhost=password('snortpassword');创建⼀个数据库⽤户，⽤户名为snort，密码为snortpassword。

将snort-mysql⾃带的软件包中附带的sql⽂件，导⼊到数据库中。

cd /usr/share/doc/snort-mysql/zcat create_mysql.gz | mysql snortdb -u snort -psnortpasswordrm /etc/snort/db-pending-config5、配置snort配置好了数据库后，需要配置Snort配置⽂件（/etc/snort/snort.conf），告诉snort以后⽇志写⼊到snortdb数据库中。

安装环境主要硬件：ProLiant DL365 G12200MHZ*21024MB667MHZ * 4主要软件：Windows Server 2003 + Sp2MS SQL 2000 + Sp4相关软件及下载地址：Apache_2.2.6-win32-x86 5.2.4 1.3.8 project/group_id=1033485.6.1adodb502a p roject/group_id=42718配置过程先看一下软件在安装的过程中需要选择安装路径或解压缩路径时的大致目录结构D:\win-ids>treeFolder PATH listingVolume serial number is 0006EE50 9C9B:B24BD:.+---adodb+---apache\_____D:\win-ids\apache\htdocs\base+---eventwatchnt+---oinkmaster+---perl+---php+---snort1 安装apache: 设置server information，根据自己的实际情况进行修改“For all user on port 80…”安装路径d:\win-ids\apache完毕后应该可以看到apache在系统托盘上的图标了，在浏览器中打开看是否有成功页面的提示编辑d:\win-ids\apache\conf\1.3.1注意，此步在和之间进行时操作。

因为我们所选择的软件均为当前最新版本。

而apache2.2.6与是有点小问题的。

解决方法：用下载的中的文件替换掉php目录下的同名文件，并将里面的改为,即下一条。

1.3.2在文件头插入以下三行：LoadModule php5_module "d:/win-id"AddType application/x-httpd-php .phpPHPIniDir "d:/win-ids/php"1.3.3搜索original内容，并变更为change内容Original: Order allow,denyChange: Order deny,allowOriginal: Allow from allChange: Deny from all1.3.4在“deny from all”之后插入两行:Allow fromDirectoryIndex2 安装php解压路径d:\win-ids\php拷贝文件copy d:\win-ids\php\ c:\windows\system32copy d:\win-ids\php\ d:\win-ids\php\编辑配置文件d:\win-ids\php\2.3.1搜索original内容，并变更为change内容Original: max_execution_time = 30Change: max_execution_time = 60Original: display_errors = OnChange: display_errors = OffOriginal: extension_dir = "./"Change: extension_dir = "d:\win-ids\php\ext"Original: ; extension=Change: extension=Original: ; extension=Change: extension=Original: ; file_uploads = onChange:file_uploads = offOriginal: ; = "/tmp"Change: = "c:\windows\temp"2.3.2 进行操作…测试apache 与php将下面一行代码保存为,并放在D:\win-ids\apache\htdocs 目录下<php phpinfo(); >在浏览器中打开看是否能正常显示服务器的相关信息3 安装pearPear插件的安装脚本默认包含在PHP的主目录下，运行对pear安装选项进行配置，安装前需要保证Internet 连接正常。

实验八入侵检测系统snort的使用【实验目的】1) 理解入侵检测的作用和检测原理。

2) 掌握Snort的安装、配置和使用等实用技术。

【实验环境】Windows系统、snort软件、nmap软件【实验重点及难点】重点：入侵检测的工作原理。

难点：snort的配置文件的修改及规则的书写。

【Snort简介】Snort是一套开放源代码的网络入侵预防软件与网络入侵检测软件。

Snort使用了以侦测签章（signature-based）与通讯协定的侦测方法。

截至目前为止，Snort的被下载次数已达到数百万次。

Snort被认为是全世界最广泛使用的入侵预防与侦测软件。

【实验步骤】1、从ftp上下载所需要的软包，winpcap，snort，nmap。

安装软件前请阅读readme文件。

2、注意安装提示的每一项，在选择日志文件存放方式时，请选择“不需要数据库支持或者snort默认的MySQL和ODBC数据库支持的方式”选项。

3、将snort.exe加入path变量中（该步骤可选，否则要切换到安装路径下执行命令）。

4、执行snort.exe，看能否成功执行，并利用“-W”选项查看可用网卡。

如下：上例中共有两个网卡，其中第二个是可用网卡，注意识别你自己机器上的网卡！注：snort的运行模式主要有3种：嗅探器模式（同sniffer）、数据包记录器模式和网络入侵检测模式。

5、嗅探器模式嗅探器模式就是snort从网络上读出数据包然后显示在你的控制台上。

可用如下命令启动该模式：snort –v –i2 //-i2 指明使用第二个网卡，该命令将IP和TCP/UDP/ICMP的包头信息显示在屏幕上。

如果需要看到应用层的数据，使用以下命名：snort –v –d –i2更多详细内容请参考/network/snort/Snortman.htm。

6、数据包记录器模式该模式将在屏幕上的输出记录在LOG文件中（需要事先建立一个log目录）。

命令格式如下：snort –vd –i2 –l d:\log //将数据记录在d盘下的log目录下，-l选项指定记录的目录运行该模式后，到log目录下查看记录的日志的内容。

网络安全课程设计报告学院：专业名称：学号：姓名：指导教师：时间：课程设计任务书1. 本课题的意义课程设计要求1、根据所给指导书的要求，从中选择题目，或者自选题目（必须与网络安全课程相关），综合应用所学知识，完成题目规定的各项要求。

2、课程设计报告要求内容完整、书写规范、阐述清晰。

3、课程设计报告要求能够综合运用所学的网络安全知识解决实际问题，内容必须包含：必要的理论分析、完整的设计文档、能够运行的程序或者演示系统、规范编写的源代码（含必要的注释）。

2.4、能够广泛查阅资料，可以参考借鉴网络上的资源、软件等。

一、课程设计题目：windows入侵检测系统部署要求：在windows平台下部署snort入侵检测系统，制定详细的入侵检测规则，给出检测报告。

至少给出5种以上不同类型的检测方法与结果。

二、Snort的工作原理1)包捕获，解码引擎：首先，利用Winpcap从网卡捕获网络上的数据包，然后数据包经过解码引擎填入到链路层协议的包结构体中，以便对高层次的协议进行解码，如TCP和UDP端口。

2)预处理器插件：接着，数据包被送到各种各样的预处理器中，在检测引擎处理之前进行检查和操作。

每个预处理器检查数据包是否应该注意、报警或者修改某些东西。

3)规则解析和检测引擎：然后，包被送到检测引擎。

检测引擎通过各种规则文件中的不同选项来对每个包的特征和包信息进行单一、简单的检测。

检测引擎插件对包提供额外的检测功能。

规则中的每个关键字选项对应于检测引擎插件，能够提供不同的检测功能。

4)输出插件：Snort通过检测引擎、预处理器和解码引擎输出报警。

三、规则解析Snort采取命令行方式运行。

格式为：snort -[options] 。

options中可选的参数很多，下面逐一介绍。

首先介绍-[options]的内容：-A 设置告警方式为full,fast或者none。

在full方式下，Snort将传统的告警信息格式写入告警文件，告警内容比较详细。

目录1 绪论 (3)1.1网络安全与入侵测 (3)1.2 Snort统 (4)1.2.1Snort系统介 (4)1.2.2Snort系统工作理 (4)1.2.3snort系统的特点 (4)1.2.4Snort系统的现状 (6)1.3本文研究成果及章节安排 (7)1.3.1本文主要研究成果 (8)1.3.2章节安排 (8)2 入侵检测系统 (9)2.1入侵检测系统的主要功能及构成 (9)2.1.1入侵检测系统的主要功能 (9)2.1.2入侵检测系统的构成 (9)2.1.3入侵检测系统的优缺点 (12)2.2入侵检测技术的分类 (13)2.2.1根据原始数据的来源 (13)2.2.2根据检测原理进行分类 (16)2.2.3根据体系结构进行分类 (17)2.3入侵检测技术的发展方向 (18)3 SNORT系统结构分析 (20)3.1S N O R T系统的工作流程 (20)3.2主模块 (21)3.2.1P V结构 (21)3.2.2主函数分析 (21)3.3命令行解析 (23)3.4数据包的截获 (23)3.4.1W i n p c a (23)3.4.2打开数据包接口 (26)3.4.3正式获取数据包 (27)3.5数据包的解析 (27)3.5.1主要作用 (27)3.5.2P a c k e t数据结构 (27)3.5.3T C P/I P协议的分层结构 (27)3.5.4主要函数 (27)3.5.5数据包解析模块的工作流程 (29)3.6 常规规则 (29)3.6.1主要功能 (29)3.6 .2 主要函数 (29)3.6.3检测引擎全流程 (30)3.7输出模块 (31)3.8.1输出模块 (31)3.8.2插件的使用 (31)3.9 WinXP下实现基于Snort的入侵检测系统 (32)4 SNORT系统的应用实例 (35)4.1SNORT系统与防火墙技术的配合使用 (35)4.1.1防火墙的局限性 (35)4.1.2Snort检测器(探针)的部署 (35)4.2一个基于SNORT的网站入侵检测系统实现方案 (36)4.2.1网站的物理结构 (36)4.2.2入侵检测系统的组成 (37)4.2.3入侵检测系统的物理布局 (38)4.2.4编写与配置相应规则 (38)5 总结与展望 (44)5.1 总结 (44)5.2 展望 (44)致谢 (44)参考文献 (44)第一章绪论本章首先介绍了典型的网络入侵检测系统Snort的基本知识，阐述了Snort 的发展现状及研究意义，最后介绍了本文的研究成果和章节安排。

Master/Stand Alone - Windows Intrusion Detection System(WinIDS)Windows 2000, XP, Vista and 2003 (All Versions)Written by Michael E. Steele现在关于Windows上安装Snort的文档相当稀少，我们尽力做到使Windows用户的Snort新手在Windows中部署Snort环境时时减少“痛苦”，这是我们希望做到的。

^_^介绍WinIDS以其安装的简便著称（-_-！）。

在大多数环境下安装Windows Instrusion Detection System （Windows入侵检测系统）是一个非常简单的过程，通常花费不到一个小时的时间来完成之。

本文介绍使用世界知名的SNORT入侵检测引擎、MySQL数据库、Apache Web服务器和BASE（Basic Analysis and Security Engine，Kevin Johnson）来部署一个Windows入侵检测系统的主控端或者单独的Windows入侵检测系统。

我们把所有相关需要的软件做成了一个AIO（即All IN ONE）软件包，下面是关于其中我们用到的主要软件包的描述。

Apache Web Server：这是主要的Internet Web 站点的服务器软件，为我们的BASE安全控制台提供运行平台。

Snort：Snort是一个轻量的网络入侵检测系统，用于在IP网络上实施实时的通讯分析和包日志记录。

这是我们用来在网络上收集信息的软件。

WinPcap:WinPcap 是由伯克利分组捕获库派生而来的分组捕获库，它是在Windows 操作平台上来实现对底层包的截取过滤。

WinPcap 为用户级的数据包提供了Windows 下的一个平台。

WinPcap 是 BPF 模型和 Libpcap 函数库在 Windows 平台下网络数据包捕获和网络状态分析的一种体系结构，这个体系结构是由一个核心的包过滤驱动程序，一个底层的动态连接库 Packet.dll 和一个高层的独立于系统的函数库 Libpcap 组成。

《网络安全技术》实验报告姓名系别实验地点A406学号年级班实验时间2012-5-24 成绩评定教师签字实验项目一、实验目的1. 通过实验进一步理解IDS的原理和作用；2. 学习安装、配置和使用Snort入侵检测系统；3. 学习分析Snort警报文件；4. 结合指定的攻击特征，学习如何创建检测规则。

二、实验内容1. 学习Snort基础知识；2. 安装工具软件（snort、winpcap和nmap）扫描工具；3. 使用snort进行Xmax扫描检测和目录遍历攻击；4. 创建和测试规则；三、实验步骤（一）软件安装1. 打开计算机安装nmap，安装时全部按照默认设置直至安装成功。

2. 如果计算机上没有安装winpcap4.1或以上版本，则需要安装，安装时全部按照默认设置直至安装成功。

3. 打开虚拟机，启动windows server 2003，安装snort，将snort安装在C盘，安装时全部按照默认设置直至安装成功。

4. 在虚拟机上安装winpcap，安装时全部按照默认设置直至安装成功。

（二）将snort用作嗅探器snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。

嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。

数据包记录器模式把数据包记录到硬盘上。

网路入侵检测模式是最复杂的，而且是可配置的。

我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。

在虚拟机上（IP：172.28.15.150）：1.单击[开始]-[运行]并输入cmd进入命令行。

2.在命令行中键入cd c:\snort\bin，回车确认。

3．键入snort –h，回车确认，这将显示可以与snort一起使用的命令行选项的帮助文件（认真看一下每一个选项的涵义）。

3.键入snort –vde，并回车确认。

在宿主机上（IP：172.28.15.151）：5.单击[开始]-[运行]并输入cmd进入命令行。

通过 Windows 二进制安装程序安装 Snort您下载的 Windows 安装程序的名字应类似于 Snort_2_8_0_2_Installer.exe。

运行安装程序，在 Windows 提示时确认您信任该应用程序，接受 Snort 许可协议。

选择数据库支持您的第一个决定就是希望提供哪种类型的数据库支持。

图 1 展示的屏幕允许您在默认设置（即支持 SQL Server 的配置）与支持 Oracle 的配置之间做出选择。

图 1. 选择所需的数据库登录支持此屏幕上的选项均应用于登录：Snort 在嗅探包时可以登录数据库。

（如果您对此感到迷惑，在下文中将得到解释。

）如果您不希望登录到数据库，而是希望仅登录到文件，或者希望登录到 MySQL 数据库以及 Microsoft Access 等 ODBC 可访问的数据库，则应选择第一个选项。

否则选择用于 SQL Server 或 Oracle 的选项。

选择要安装的组件接下来是选择要包含在安装之中的组件（参见图 2）。

图 2. 指出您希望安装哪些 Snort 组件这里有四个选项：Snort 本身、动态模块、文档和模式。

没有理由不全部安装，完全安装只需要大约 24 MB 的空间，因此应选中所有组件继续操作。

选择安装目录默认情况下，Snort 将安装在 C:\Snort 中，如图 3 所示。

图 3. 选择 Snort 安装目录这个默认目录是理想的首选目录。

因为 Snort 并没有过多的 GUI 组件，它实际上不属于典型的 Windows 应用程序，安装目录也不在 C:\Program Files 之下。

除非您能够为 Snort 这样的程序选择标准安装目录，否则应使用默认设置。

安装和关闭奇怪的是，Snort 并未提供非常有用的“安装完成”屏幕。

与之不同，您将看到一个已经完成的状态条和一个 Close 按钮（如图 4 所示）。

图 4. 安装在此时已经完成单击Close按钮，您就会看到弹出窗口，表明 Snort（几乎）已经为运行做好了准备（如图 5 所示）。

Windows平台下Snort的应用【实验背景】Snort是一种跨平台、轻量级、基于特征匹配的网络入侵检测系统。

系统采用灵活的体系结构，大量使用插件机制，具有很好的扩展性和可移植性。

本试验要实现采用流光软件对目标主机进行扫描；用Winpcap软件捕获数据包；用Snort进行分析，并介绍Windows平台下的Snort应用软件IDSCenter。

主要下载站点有/、/、/。

【实验目的】掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。

【实验条件】(1) WinPcap_3_01_a，Snort2.0，IDScenter1.1 RC2，Fluxay5；(2) HIDS主机A：Windows xp，IP地址10.136.42.10；(3) 攻击主机B：Windows xp，IP地址10.136.42.20。

注：IP地址可以根据实验室主机配置不同进行设置。

【实验任务】(1) 学习使用Snort数据包检测和记录功能；(2) 通过IDScenter配置功能加强对Snort原理的理解。

【实验步骤】1. 安装数据包捕获软件由于Snort本身没有数据包捕获功能，因此需要用其他软件来捕获数据包。

Winpcap是libpcap抓包库的Windows版本，它同libpcap具有相同的功能，可以捕获原始形式的包。

在HIDS主机上安装Winpcap过程如下：(1) 双击winpcap-2-3.exe 启动安装；(2) 屏幕出现欢迎对话框，单击“Next”按钮；(3) 下一个对话框提示安装过程完成，单击“OK”按钮完成软件安装。

(4) Winpcap安装成功，重新启动计算机。

（在实验室不要重启）2. 安装Snort软件在HIDS主机上安装Snort软件过程如下（安装到F盘）：(1) 双击Snort -2.0.exe，启动安装程序；(2) 启动安装以后，会看到关于Snort的一篇文献，阅读并单击“I Agree”按钮；(3) 出现的是安装选项对话框，单击“Next”按钮；(4) 将选择安装部件，选择完毕后单击“Next”按钮；(5) 现在提示安装位置，使用默认的，并单击“Install”按钮；(6) 安装完成，单击“Close”按钮。

在windows环境下snort的安装配置1.安装apache (2)2：安装 PHP5： (4)3）安装winpcap (7)4）安装snort (7)5）安装和设置mysql (8)5）安装adodb: (14)6）安装jpgrapg 库 (15)7）安装acid (15)8）建立acid 运行必须的数据库： (16)9）解压 snortrules-snapshot-CURRENT.tar.gz到c:\snort目录下 (16)10）启动snort (17)11）测试snort (17)Snort 是一套非常优秀的IDS和网络监测系统，值得大中型网络管理者和网络安全爱好人员去学习使用．安装平台: Windows Server 2003 + My SQL + Apache + PHP5需要软件包:(以下软件包都可以从ftp上直接下载获取)1）Snort_2_6_1_1_Installer.exe Windows 版本的Snort 安装包2）snortrules-snapshot-CURRENT.tar.gz snort规则库3）winpcap3.1 网络数据包截取驱动程序（4.0Beta 2 版也可）4）acid-0.9.6b23.tar.gz 基于php 的入侵检测数据库分析控制台5）mysql-5.0.27-win32.zip Windows 版本的mysql安装包6）apache.zip Windows 版本的vapache 安装包7）jpgraph-2.1.4.tar.gz 图形库for PHP8）adodb465.zip ADOdb（Active Data Objects Data Base）库for PHP 9）php-5.2.0-Win32.zip Windows 版本的php 脚本环境支持入侵检测系统的安装说明：（注：软件包较多。

需要细心，和耐心。

现在就开始我们的snort配置之旅吧，痛苦着并快乐着。

Snort使用报告一、软件安装安装环境:windows 7 32bit软件：Snort 2。

9。

5.5、WinPcap 4。

1。

1规则库: snortrules-snapshot—2970。

tar。

gz二、实验内容熟悉入侵检测软件Snort的安装与使用三、实验原理Snort是一个多平台（Multi—Platform),实时（Real—Time)流量分析，网络IP数据包（Pocket）记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System），即NIDS/NIPS四.安装步骤1。

下载实验用的软件Snort、Snort的规则库snortrules 和WinPcap.本次实验使用的具体版本是Snort 2。

9。

5。

5、snortrules—snapshot-2970.tar。

gz 和WinPcap 4。

1.3首先点击Snort安装点击I Agree。

同意软件使用条款，开始下一步，选择所要安装的组件:全选后，点击下一步：选择安装的位置，默认的路径为c：/Snort/，点击下一步,安装完成.软件跳出提示需要安装WinPcap 4.1.1以上2.安装WinPcap点击WinPcap安装包进行安装点击下一步继续：点击同意使用条款:选择是否让WinPcap自启动,点击安装：安装完成点击完成。

此时为了看安装是否成功，进入CMD，找到d：/Snort/bin/如下图：（注意这个路径是你安装的路径，由于我安装在d盘的根目录下，所以开头是d:）输入以下命令snort –W，如下显示你的网卡信息，说明安装成功了！别高兴的太早，这只是安装成功了软件包，下面还要安装规则库：3.安装Snort规则库首先我们去Snort的官网下载Snort的规则库，必须先注册成会员，才可以下载.具体下载地址为https://www。

/downloads，往下拉到Rules，看见Registered是灰色的，我们点击Sign in:注册成功后，返回到这个界面就可以下载了。