最近忙,好久沒寫博客了,果然寫博客挺難堅持的,要好好養成習慣啊。
最近做了入侵檢測實驗,時Snort的安裝及使用,安裝用的是windows版的2_8_3_1
接下來直接上過程:
- 點擊snort安裝程序
然后一直點擊下一步到這個頁面就可以了
然后進入snort的安裝問價夾中打開cmd 用snort -? 命令查看是否安裝成功;
可以看到我們已經安裝成功了。
然后接下來簡單配置一下snort
先輸入命令 snort -c c:\snort\etc\snort.conf –l c:\snort \log –d (然后每解決一個錯誤就運行一下這個命令)
然后出現第一個錯誤,如下圖,這個錯誤的意思是找不到規則為文件,去下個相應版本的規則包,把其文件復制過來就行了
當然也可以去配置文件里后面的etc\snort.conf把要引入的規則注釋掉就可以了,不過后面我們自己要寫規則,再重新引入一個自己寫的就可以了。
在inclede前加個井號,就是注釋
第二個問題是也是找不到libsf_engine.so文件,去文件夾看看
發現有的是sf_engine.dll去配置文件把其改成sf_engine.dll如下圖,還有要把相應的linux路徑格式改為windows格式的。
下一個錯誤是缺少白名單規則文件,解決方法是去配置文件注釋掉關於白名單的規則文件部分。
下一個是缺少黑名單規則文件,解決方法和上一個類似。
再下一個是未識別類:
解決方法將類的配置文件包含到源配置文件
然后就可以了:
總結:
在配置snort時遇到了很多錯誤,有的在網上找不到解決方法,於是我裝了兩個版本的snort,有一些錯誤我沒能列出來,因為裝的讓人頭疼,百度了好久都沒有,最后還是自己慢慢摸索出來的,還有一個時做新版的錯誤,不能加載ids.alert文件,或者這個文件是空的,這個至今沒能解決。還有一個就是在修改路徑時文件夾的后面不要加\不然也會報錯,還有新版的網卡和DQA不匹配,於是過濾器不能打開。當然安裝只是第一步,還有后續實驗,當然如果你在安裝過程中遇到了什么問題不懂得也可以來問我。