snort安装使用手册

通过 Windows 二进制安装程序安装 Snort

您下载的 Windows 安装程序的名字应类似于 Snort_2_8_0_2_Installer.exe。运行安装程序，在 Windows 提示时确认您信任该应用程序，接受 Snort 许可协议。

选择数据库支持

您的第一个决定就是希望提供哪种类型的数据库支持。图 1 展示的屏幕允许您在默认设置（即支持 SQL Server 的配置）与支持 Oracle 的配置之间做出选择。

图 1. 选择所需的数据库登录支持

此屏幕上的选项均应用于登录：Snort 在嗅探包时可以登录数据库。（如果您对此感到迷惑，在下文中将得到解释。）如果您不希望登录到数据库，而是希望仅登录到文件，或者希望登录到 MySQL 数据库以及 Microsoft Access 等 ODBC 可访问的数据库，则应选择第一个选项。否则选择用于 SQL Server 或 Oracle 的选项。

选择要安装的组件

接下来是选择要包含在安装之中的组件（参见图 2）。

图 2. 指出您希望安装哪些 Snort 组件

这里有四个选项：Snort 本身、动态模块、文档和模式。没有理由不全部安装，完全安装只需要大约 24 MB 的空间，因此应选中所有组件继续操作。

选择安装目录

默认情况下，Snort 将安装在 C:\Snort 中，如图 3 所示。

图 3. 选择 Snort 安装目录

这个默认目录是理想的首选目录。因为 Snort 并没有过多的 GUI 组件，它实际上不属于典型的 Windows 应用程序，安装目录也不在 C:\Program Files 之下。除非您能够为 Snort 这样的程序选择标准安装目录，否则应使用默认设置。

安装和关闭

奇怪的是，Snort 并未提供非常有用的“安装完成”屏幕。与之不同，您将看到一个已经完成的状态条和一个 Close 按钮（如图 4 所示）。

图 4. 安装在此时已经完成

单击Close按钮，您就会看到弹出窗口，表明 Snort（几乎）已经为运行做好了准备（如图 5 所示）。

图 5. Snort 指出一些安装后的任务

安装 WinPcap

Snort 明确地告诉您：在 Snort 能够使用之前，还有一些安装工作需要完成。第一项就是 WinPcap。WinPcap 是 Windows Packet Capture Library 的简写，它提供了某种类型的网络访问，而 Snort 的 IDS 和包嗅探功能需要这些访问。请访问 WinPcap 的 Web 站点（参见参考资料），单击Get WinPcap链接。

选择最新的稳定版本下载，在本文撰写之时，最新版本是 4.0.2。下载包括一个Windows 安装程序，可双击启动它（如图 6 所示）。

图 6. WinPcap 的安装很简单

安装非常简单，只要连续单击 Next 按钮即可。这样，WinPcap 就可随时运行了。

编辑路径

接下来的内容有些偏离主题，至少不是这篇文章关注的主题。Snort 的安装提示您编辑 snort.conf 文件，观察在哪里查找规则和其他配置文件。这非常重要，但应该是我们后面讨论的话题。目前，只要安装好 Snort 和 WinPcap 即可。

但是，这里还有一个步骤，需要处理之后才能继续。您需要将 Snort 可执行文件添加到 PATH 语句之中，它的位置是 C:\Snort\bin\snort.exe（假设您选择的是默认安装目录）。设置的位置与操作系统有关。您需要找到 System Properties 对话框（在“控制面板”中或者选择“控制面板” > “系统”），选择Advanced System Properties，注意观察一个名为 Environment Variables 的按钮或选项卡。

其中有两个框（类似于图 7）。您需要选择上边的框，也就是用户变量，它仅应用于您的用户。（您很可能不希望系统上的所有用户都能运行 Snort，而无视您竭尽全力为某些程序设定的安全性制约。）

图 7. Windows 提供两组环境变量

如果还没有用于 PATH 的项，请选择上方的New...按钮。如果您已经有了一个项，则应选择Edit..。在对话框中，输入PATH作为变量名，输入C:\Snort\bin 作为值。图 8 展示了在完成时的效果。

图 8. 创建一个 PATH 变量并在 Snort 的可执行文件中指向它

选择OK，然后关闭所有对话框。打开命令提示符，键入 snort，您应看到类似于图 9 所示的输出结果。

图 9. 通过命令提示符运行 Snort

,,_ -*> Snort! <*-

o" )~ Version 2.8.0.2 (Build 75)

'''' By Martin Roesch & The Snort Team:

/team.html

(C) Copyright 1998-2007 Sourcefire Inc., et al.

Using PCRE version: 7.6 2008-01-28

USAGE: snort [-options]

Options:

-A Set alert mode: fast, full, console, test or none (alert file alerts only)

"unsock" enables UNIX socket logging (experimental).

-b Log packets in tcpdump format (much faster!)

-B Obfuscated IP addresses in alerts and packet dumps using CIDR mask

-c Use Rules File

-C Print out payloads with character data only (no hex)

-d Dump the Application Layer

-D Run Snort in background (daemon) mode

-e Display the second layer header info

-f Turn off fflush() calls after binary log writes

-F Read BPF filters from file

-g Run snort gid as group (or gid) after initialization -G <0xid> Log Identifier (to uniquely id events for multiple snorts) -h Home network =

-H Make hash tables deterministic.

-i Listen on interface

-I Add Interface name to alert output

-k Checksum mode (all,noip,notcp,noudp,noicmp,none)

-K Logging mode (pcap[default],ascii,none)

-l Log to directory

-L Log to this tcpdump file

-M Log messages to syslog (not alerts)

-m Set umask =

-n Exit after receiving packets

-N Turn off logging (alerts still work)

-o Change the rule testing order to Pass|Alert|Log

-O Obfuscate the logged IP addresses

-p Disable promiscuous mode sniffing

-P Set explicit snaplen of packet (default: 1514)

-q Quiet. Don't show banner and status report

-r Read and process tcpdump file

-R Include 'id' in snort_intf.pid file name

-s Log alert messages to syslog

-S Set rules file variable n equal to value v

-t