snort中文手册

一、设置网络变量1、网络变量配置用户通过声明网络参数变量配置snort，variables可以包含字符串（路径）、IP和端口。

1）IP变量与IP列表IP有四声明方式：对IP具体声明、列表形式以及CIDR组，或者它们的任意组合。

IP变量以ipvar关键字声明。

示例：ipvar EXAMPLE [1.1.1.1,2.2.2.0/24,![2.2.2.2,2.2.2.3]]2）端口变量与列表端口列表支持端口声明及查找端口列表范围。

端口范围从0到65535.端口变量以portvar声明，示例：portvar EXAMPLE1 80portvar EXAMPLE3 anyportvar EXAMPLE4 [!70:90]portvar EXAMPLE5 [80,91:95,100:200]portvar pvar1 80portvar pvar2 [$pvar1,90]alert tcp any $EXAMPLE1 -> any $EXAMPLE2_PORT (msg:"Example"; sid:1;)alert tcp any $PORT_EXAMPLE2 -> any any (msg:"Example"; sid:2;)alert tcp any 90 -> any [100:1000,9999:20000] (msg:"Example"; sid:3;)配置服务器列表DNS服务：var DNS_SERVERS $HOME_NETSMTP服务：var SMTP_SERVERS $HOME_NETWeb 服务：var HTTP_SERVERS $HOME_NETSQL服务：var SQL_SERVERZ $HOME_NETTelnet服务：var TELNET_SERVERS $HOME_NETFTP服务：var FTP_SERVERS $HOME_NETSNMP服务：var SNMP_SERVERS $HOME_NET配置服务端口这使得snort去跟踪针对特点端口应用的攻击，如web server在端口8180上，则应这样配置：portvar HTTP_PORTS 8180不过这个值通常为80，因此定义为：portvar HTTP_PORTS 80如果希望定义多HTTP端口：portvar HTTP_PROTS [80,8080] 或者portvar HTTP_PROTS[80,8000:8080]eg：定义希望发现SHELLCODE的端口：portvar SHELLCODE_PORTS !80可能发现对ORACLE的攻击：portvar ORACLE_PORTS 1521针对FTP服务的端口：portvar FTP_PORTS 21配置rules文件路径这个可以是一个相对路径var RULE_PATH /etc/snort/rulesvar PREPROC_RULE_PATH /etc/snort/preproc_rules二、配置解码器解码器解码是数据包进入snort的第一个处理过程。

Snort简明使用手册2007-03-22 22:28Snort2.6——USAGE（中文）1.0 开始使用snortSnort不是很难使用，但是也存在着很多的命令行选项需要掌握，并且它们中许多很多时候并不能一起使用。

这个文件的目的就是使新人能够更简单的使用snort。

在我们进行下一步之前，有一些关于snort的基本概念需要了解。

snort能够配置成三种模式运行:嗅探器(sniffer)，包记录器(packet logger)和网络入侵检测系统(NIDS)。

嗅探模式（sniffer mode）简单的读取网络中的数据包，并以连续的数据流显示在控制台上。

包记录模式（packet logger mode）把捕获的数据包记录在磁盘上。

网络入侵检测模式(NIDS mode)是最复杂的、有机的配置，在这个模式下，snort分析网络中的数据，并通过使用用户自定义的规则集进行模式匹配，并根据匹配的结果执行多种操作。

2.0 嗅探模式（sniffer mode）首先，让我们从基础开始。

如果你只是想要在屏幕上打印出TCP/IP的包头信息（嗅探模式），使用下面的命令：./snort –v使用这个命令运行snort，将只显示IP和TCP/UDP/ICMP头信息，而不显示任何其它信息。

如果你想要查看传输的有效负载信息，可以使用如下命令：./snort –vd这条命令在打印协议头信息的同时也打印相应的包数据。

如果你想要一个更详细的现实，可以使用下面的命令来打印出数据链路层头信息：./snort –vde（注：这些选项参数能够分开或者拆散成任和结合的方式。

比如上一个命令也可以写做这种方式：./snort -d -v –e来达到同样的效果）3.0 包记录模式（PACKET LOGGER MODE）好的，上面的命令运行的都相当的好。

但是如果你想要记录包到磁盘上，你需要指定一个记录目录，然后snort将自动的进入包记录模式：./snort -dev -l ./log当然，这里假设你在当前目录下有一个叫做―log‖的目录。

1．在Windows环境下安装snort。

（1）安装Apache_2.0.46①双击apache_2.0.46-win32-x86-no_src.msi，安装在文件夹C:\apache下。

安装程序会在该文件夹下自动产生一个子文件夹apache2。

②为了避免Apache Web服务器的监听端口与Windows IIS中的Web服务器的80监听端口发生冲突，这里需要将Apache Web服务器的监听端口进行修改。

打开配置文件C:\apache\apache2\conf\httpd.conf，将其中的Listen 80，更改为Listen50080。

如图3.34所示。

图3.34修改apache的监听端口③单击“开始”按钮，选择“运行”，输入cmd，进入命令行方式。

输入下面的命令：C:\>cd apache\apache2\binC:\apache\apache2\bin\apache –k install这是将apache设置为以Windows中的服务方式运行。

如图3.35所示。

图3.35Apache以服务方式运行（2）安装PHP①解压缩php-4.3.2-Win32.zip里面的文件至C:\php\。

②复制C:\php下php4ts.dll至%systemroot%\System32，复制C:\php下php.ini-dist 至%systemroot%\，然后修改文件名为：php.ini。

③添加gd图形库支持，把C:\php\extensions\ php_gd2.dll拷贝到%systemroot%\System32，在php.ini中添加extension=php_gd2.dll。

如果php.ini有该句，将此语句前面的“；”注释符去掉。

如图3.36所示图3.36修改php.ini配置文件④添加Apache对PHP的支持。

在C:\apache\apache2\conf\httpd.conf中添加：LoadModule php4_module "C:/php/sapi/php4apache2.dll"AddType application/x-httpd-php .php如图3.37和图3.38所示。

windows下Snort的配置与使用实验1：Snort的配置与使用1实验目的和要求学习Snort的配置与使用，要求：1）掌握Snort入侵检测环境的搭建；2）掌握Snort的配置与使用；3）熟悉Snort的工作原理。

2实验设备及材料1）系统环境：Windows XP/Windows 20032）软件安装：JDK：jdk-6u17-windows-i586.exe（可选）TOMCAT：apache-tomcat-5.5.30.exe（可选）MySQL：mysql-5.5.15-win32.msiWinPcap：WinPcap_4_1_2.exeSnort：Snort_2_9_1_Installer.exeIDSCenter：idscenter109b21.zip3实验内容3.1软件安装与配置3.1.1 JDK安装与配置软件版本：jdk-6u17-windows-i586.exe双击jdk-6u17-windows-i586.exe安装JDK，安装完后设置环境变量：变量名变量值java_home C:\Program Files\Java\jdk1.6.0_17classpath C:\Program Files\Java\jdk1.6.0_17\jre\libpath C:\Program Files\Java\jdk1.6.0_17\binjava –version // 查看软件版本信息，确定软件是否安装成功3.1.2 Tomcat安装与配置软件版本：apache-tomcat-5.5.30.exe、apache-tomcat-5.5.30-admin.zip 1）安装apache-tomcat-5.5.30.exe安装过程中会要求指定JRE的安装目录，确定端口，用户名和密码（用于可视化配置界面登录）。

启动Tomcat：验证安装是否成功：http://localhost:8088/http://127.0.0.1:8088/2）安装pache-tomcat-5.5.30-admin.zip首先解压apache-tomcat-5.5.30-admin.zip，用解压后的文件替换以下tomcat 文件。

Snort命令参数详解用法：snort -[options]选项：-A 设置报警模式，alert = full/fast/none/unsock，详解上一篇snort简介。

-b 用二进制文件保存网络数据包，以应付高吞吐量的网络。

-B 将IP地址信息抹掉，去隐私化。

-c 使用配置文件，这会使得snort进入IDS模式，并从中读取运行的配置信息。

-d 显示包的应用层数据。

-D 以后台进程运行snort。

如无指定，Alerts将写到/var/log/snort/alert。

-e 显示数据链路层的信息。

-E 保存报警日志为windows事件日志。

-f 激活PCAP行缓冲（line buffering）。

-F 指定BPF过滤器。

-g 初始化Snort后以组ID（group ID）运行。

-G 为事件生成设置一个基础事件id值。

-h 设置本地网络为hn，如192.168.1.0/24。

-i 设置网络接口为。

可以用-W选项查询网络接口列表，然后用接口序号index指定接口。

如-i 2-I 报警时附加上接口信息。

-J 当以in-line模式运行时，这个选项将只捕获端口的报文。

-k 为all，noip，notcp，noudp，noicmp，or none设置校验和模式。

-K 设置保存文件的格式：pcap，ascii，none。

pcap是默认格式，同于-b选项的格式。

ascii是老的模式格式。

none则关闭数据包记录。

-l 设置数据包文件存放目录。

默认目录是/var/log/snort.-L 设置二进制输出文件的文件名为。

-M 当以非后台模式daemon运行时，保存信息到syslog。

-m 设置snort输出文件的权限位。

-n 出来个报文后终止程序。

-N 关闭保存日志包功能。

-o 改变应用规则的顺序。

从Alert-->Pass-->Log顺序改为Pass-->Alert-->Log，避免了设置大量BPF命令行参数来过滤alert规则。

如何在Ubuntu上安装Snort入侵my检测系统首先介绍一下可能用到的命令：1.Ubuntu默认的在图形界面下root是不能登录的，要想登录，首先：用普通用户登录，在命令行下输入：sudopasswd root重新为root设置密码。

然后:重启系统，即可用root登录。

这份文档主要描述了在 Ubuntu 7.10 上安装部署 Snort 入侵检测系统和 acid 基于 PHP 的网页入侵检测数据库分析控制台的过程。

Snort作为一款优秀的开源主机入侵检测系统，在windows和Linux平台上均可安装运行。

Ubuntu作为一个以桌面应用为主的Linux操作系统，同样也可以安装Snort。

2.详细的Snort安装过程[安装LAMP，Snort和一些软件库]由于 Ubuntu 是 Debian 系的 Linux，安装软件非常简单，而且 Ubuntu 在中国科技大学有镜像，在教育网和科技网下载速度非常快(2~6M/s)，就省掉了出国下载安装包的麻烦，只需要一个命令即可在几十秒钟内安装好所有软件。

这里使用 Ubuntu 默认命令行软件包管理器apt 来进行安装。

$ sudo apt-get install libpcap0.8-dev libmysqlclient15-dev mysql-client-5.0 mysql-server-5.0 bison flex apache2 libapache2-mod-php5 php5-gd php5-mysql libphp-adodbphp-pear pcregrep snort snort-rules-default需要注意的是在安装 MySQL 数据库时会弹出设置 MySQL 根用户口令的界面，临时设置其为“nfx(也可以自己设置)”。

[在 MySQL 数据库中为 Snort 建立数据库]Ubuntu 软件仓库中有一个默认的软件包 snort-mysql 提供辅助功能，用软件包管理器下载安装这个软件包。

Snort 使用手册，安装与配置在Linux 上通过RPM 安装SnortRPM 表示RPM Package Manager。

（没错，这个缩写实际上是循环的。

并不是很有意义，但符合事实。

）RPM on Linux 是可以轻松安装的软件包，因为RPM 支持是市面上所有Linux 发布版的核心。

从Snort Web 站点下载了一个RPM 之后，只需将您下载的文件名作为参数运行rpm 命令即可，如清单6 所示。

清单 6. 在Snort RPM 上调用rpm[bdm0509@pegasus]# rpm -ivh snort-2.8.0.2-1.RH5.i386.rpmPreparing... ################################################ [100%] 1:snort ################################################ [100%]与通过源代码安装Snort 类似，您可能需要作为root 用户登录来运行此命令，或使用sudo 命令来作为超级用户安装RPM。

Snort 希望其二进制文件能够置于受保护的目录中，如/usr/bin、/usr/local/bin，因此标准系统上的安装需要高于大多数普通用户账户的权限。

测试安装在完成安装之后，您需要采取几个步骤，确保Snort 可在系统上正常运行。

一切都很简单，但在每次安装新版本的Snort 或在新机器上安装Snort 时都需要执行这些步骤。

运行Snort 二进制文件可以执行的最简单的测试就是运行snort 命令。

要开始测试，请切换到机器上的任意随机目录。

但为了安全起见，请不要在Snort 安装目录中执行此命令。

您应得到类似于清单7 所示的输出结果。

清单7. 测试Snort 二进制文件[bdm0509:~] snort,,_ -*> Snort! <*-o" )~ Version 2.8.0.2 (Build 75)'''' By Martin Roesch & The Snort Team: /team.html(C) Copyright 1998-2007 Sourcefire Inc., et al.Using PCRE version: 7.6 2008-01-28USAGE: snort [-options] <filter options>Options:-A Set alert mode: fast, full, console, test or none (alert file alerts only)"unsock" enables UNIX socket logging (experimental).-b Log packets in tcpdump format (much faster!)-B <mask> Obfuscated IP addresses in alerts and packet dumps using CIDR mask-c <rules> Use Rules File <rules>-C Print out payloads with character data only (no hex)-d Dump the Application Layer-D Run Snort in background (daemon) mode-e Display the second layer header info-f Turn off fflush() calls after binary log writes-F <bpf> Read BPF filters from file <bpf>-g <gname> Run snort gid as <gname> group (or gid) after initialization-G <0xid> Log Identifier (to uniquely id events for multiple snorts)-h <hn> Home network = <hn>-H Make hash tables deterministic.-i <if> Listen on interface <if>-I Add Interface name to alert output-k <mode> Checksum mode (all,noip,notcp,noudp,noicmp,none)-K <mode> Logging mode (pcap[default],ascii,none)-l <ld> Log to directory <ld>-L <file> Log to this tcpdump file-M Log messages to syslog (not alerts)-m <umask> Set umask = <umask>-n <cnt> Exit after receiving <cnt> packets-N Turn off logging (alerts still work)-o Change the rule testing order to Pass|Alert|Log-O Obfuscate the logged IP addresses-p Disable promiscuous mode sniffing-P <snap> Set explicit snaplen of packet (default: 1514)-q Quiet. Don't show banner and status report-r <tf> Read and process tcpdump file <tf>-R <id> Include 'id' in snort_intf<id>.pid file name-s Log alert messages to syslog-S <n=v> Set rules file variable n equal to value v-t <dir> Chroots process to <dir> after initialization-T Test and report on the current Snort configuration-u <uname> Run snort uid as <uname> user (or uid) after initialization-U Use UTC for timestamps-v Be verbose-V Show version number-w Dump 802.11 management and control frames-X Dump the raw packet data starting at the link layer-y Include year in timestamp in the alert and log files-Z <file> Set the performonitor preprocessor file path and name-? Show this information<Filter Options> are standard BPF options, as seen in TCPDumpLongname options and their corresponding single char version--logid <0xid> Same as -G--perfmon-file <file> Same as -Z--pid-path <path> Specify the path for the Snort PID file--snaplen <snap> Same as -P--help Same as -?--version Same as -V--alert-before-pass Process alert, drop, sdrop, or reject before pass,default is pass before alert, drop,...--treat-drop-as-alert Converts drop, sdrop, and reject rules into alertrules during startup--process-all-events Process all queued events (drop, alert,...),default stops after 1st action group--dynamic-engine-lib <file> Load a dynamic detection engine--dynamic-engine-lib-dir <path> Load all dynamic engines from directory--dynamic-detection-lib <file> Load a dynamic rules library--dynamic-detection-lib-dir <path> Load all dynamic rules libraries fromdirectory--dump-dynamic-rules <path> Creates stub rule files of all loaded rules libraries--dynamic-preprocessor-lib <file> Load a dynamic preprocessor library--dynamic-preprocessor-lib-dir <path> Load all dynamic preprocessor libraries fromdirectory--dump-dynamic-preproc-genmsg <path> Creates gen-msg.map files of all loadedpreprocessor libraries--create-pidfile Create PID file, even when not in Daemon mode--nolock-pidfile Do not try to lock Snort PID file--disable-inline-initialization Do not perform the IPTables initialization in inlinemode.--loop <count> In combination with the -r <tf> option,this will read the tcpdump file continuouslyfor <count> times. A value of 0 will read the pcapuntil Snort is killed.ERROR:Uh, you need to tell me to do something...Fatal Error, Quitting..最后出现了错误，但在这个过程中完成了一些重要的事情：1它确认了Snort 二进制文件已正确安装到了您的路径中。

S n o r t用户手册S n a i l.W 第一章s n o r t简介snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。

嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。

数据包记录器模式把数据包记录到硬盘上。

网路入侵检测模式是最复杂的，而且是可配置的。

我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。

嗅探器所谓的嗅探器模式就是snort从网络上读出数据包然后显示在你的控制台上。

首先，我们从最基本的用法入手。

如果你只要把TCP/IP包头信息打印在屏幕上，只需要输入下面的命令：./s n o r t-v 使用这个命令将使snort只输出IP和TCP/UDP/ICMP的包头信息。

如果你要看到应用层的数据，可以使用：./s n o r t-v d 这条命令使snort在输出包头信息的同时显示包的数据信息。

如果你还要显示数据链路层的信息，就使用下面的命令：./s n o r t-v d e 注意这些选项开关还可以分开写或者任意结合在一块。

例如：下面的命令就和上面最后的一条命令等价：./s n o r t-d-v– e数据包记录器如果要把所有的包记录到硬盘上，你需要指定一个日志目录，snort就会自动记录数据包：./s n o r t-d e v-l./l o g 当然，./log目录必须存在，否则snort就会报告错误信息并退出。

当snort在这种模式下运行，它会记录所有看到的包将其放到一个目录中，这个目录以数据包目的主机的IP 地址命名，例如：192.168.10. 1 如果你只指定了-l命令开关，而没有设置目录名，snort有时会使用远程主机的IP地址作为目录，有时会使用本地主机IP地址作为目录名。

为了只对本地网络进行日志，你需要给出本地网络：./s n o r t-d e v-l./l o g-h192.168.1.0/24 这个命令告诉snort把进入C类网络192.168.1的所有包的数据链路、TCP/IP以及应用层的数据记录到目录./l o g中。

Snort安装与配置Snort是免费NIPS及NIDS软件，具有对数据流量分析和对网络数据包进行协议分析处理的能力，通过灵活可定制的规则库(Rules)，可对处理的报文内容进行搜索和匹配，能够检测出各种攻击，并进行实时预警。

Snort支持三种工作模式：嗅探器、数据包记录器、网络入侵检测系统，支持多种操作系统，如Fedora、Centos、FreeBSD、Windows等，本次实训使用Centos 7，安装Snort 2.9.11.1。

实训任务在Centos 7系统上安装Snort 3并配置规则。

实训目的1．掌握在Centos 7系统上安装Snort 3的方法；2．深刻理解入侵检测系统的作用和用法；3．明白入侵检测规则的配置。

实训步骤1．安装Centos 7 Minimal系统安装过程不做过多叙述，这里配置2GB内存，20GB硬盘。

2．基础环境配置根据实际网络连接情况配置网卡信息，使虚拟机能够连接网络。

# vi /etc/sysconfig/network-scripts/ifcfg-eno16777736TYPE="Ethernet"BOOTPROTO="static"DEFROUTE="yes"IPV4_FAILURE_FATAL="no"NAME="eno16777736"UUID="51b90454-dc80-46ee-93a0-22608569f413"DEVICE="eno16777736"ONBOOT="yes"IPADDR="192.168.88.222"PREFIX="24"GATEWAY="192.168.88.2"DNS1=114.114.114.114~安装wget，准备使用网络下载资源：# yum install wget –y将文件CentOS-Base.repo备份为CentOS-Base.repo.backup，然后使用wget下载阿里yum 源文件Centos-7.repo：# mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup#wget –O /etc/yum.repos.d/CentOS-Base.repo /repo/Centos-7.repo更新yum源，并缓存：# yum clean all# yum makecache# yum -y update3．安装Snort安装epel源：# yum install -y epel-release安装依赖：经过前面的设置阿里源、源更升级后，将能够很顺利的安装完依赖。

8.4 入侵检测系统Snort8.4.1 Snort概述Snort是一个功能强大、跨平台、轻量级的网络入侵检测系统，从入侵检测分类上来看，Snort应该是个基于网络和误用的入侵检测软件。

它可以运行在Linux、OpenBSD、FreeBSD、Solaris、以及其它Unix 系统、Windows等操作系统之上。

Snort是一个用C语言编写的开放源代码软件，符合GPL(GNU通用公共许可证GNU General Public License)的要求，由于其是开源且免费的，许多研究和使用入侵检测系统都是从Snort开始，因而Snort在入侵检测系统方面占有重要地位。

Snort的网站是。

用户可以登陆网站得到源代码，在Linux和Windows环境下的安装可执行文件，并可以下载描述入侵特征的规则文件。

Snort对系统的影响小，管理员可以很轻易地将Snort安装到系统中去，并且能够在很短的时间内完成配置，方便地集成到网络安全的整体方案中，使其成为网络安全体系的有机组成部分。

虽然Snort是一个轻量级的入侵检测系统，但是它的功能却非常强大，其特点如下：1、跨平台性可以支持Linux、Solaris、UNIX、Windows系列等平台，而大多数商用入侵检测软件只能支持一、两种操作系统，甚至需要特定的操作系统。

2、功能完备具有实时流量分析的能力，能够快速地监测网络攻击，并能及时地发出警报。

使用协议分析和内容匹配的方式，提供了对TCP、UDP、ICMP等协议的支持，对缓冲区溢出、隐蔽端口扫描、CGI扫描、SMB探测、操作系统指纹特征扫描等攻击都可以检测。

3、使用插件的形式方便管理员根据需要调用各种插件模块。

包括输入插件和输出插件，输入插件主要负责对各种数据包的处理，具备传输层连接恢复、应用层数据提取、基于统计的数据包异常检测的功能，从而拥有很强的系统防护功能，如使用TCP流插件，可以对TCP包进行重组：输出插件则主要用来将检测到的报警以多种方式输出，通过输出插件可以输出Mysql、SQL等数据库中，还可以以XML格式输出，也可以把网络数据保存到TCPDump 格式的文件中；按照其输出插件规范，用户甚至可以自己编写插件，自己来处理报警的方式并进而作出响应，从而使Snort具有非常好的可扩展性和灵活性。