本文介紹了如何在Windows系統(tǒng)中部署Snort入侵檢測工具，包括選擇Windows平臺的優(yōu)勢、安裝Snort的詳細(xì)步驟、配置Snort+Barnyard2+BASE日志分析系統(tǒng)的方法，以及設(shè)置開機(jī)自啟動等內(nèi)容，旨在幫助初學(xué)者快速搭建Snort IDS平臺。

1.平臺選擇

1.1操作界面

     新手通常對 Windows 系統(tǒng)更為熟悉，作為全球廣泛使用的桌面操作系統(tǒng)，其具備直觀的圖形界面和便捷的操作流程。在 Windows 環(huán)境下，學(xué)習(xí)者能夠充分利用已有的文件管理、軟件安裝等知識基礎(chǔ)。例如，用戶可以輕松地在資源管理器中定位軟件安裝文件，運用熟悉的操作習(xí)慣進(jìn)行文件管理等。使得學(xué)習(xí)者在學(xué)習(xí) Snort 過程中，可有效降低因操作系統(tǒng)不熟悉而帶來的額外學(xué)習(xí)成本，將主要精力集中于 Snort 本身功能的深入理解與掌握。

1.2圖形化工具支持

Windows 系統(tǒng)為 Snort 提供了多種配套的圖形化工具，這些工具極大地便利了，新手對網(wǎng)絡(luò)流量的直觀理解和分析。以 Snort - GUI（圖形用戶界面）工具為例，允許用戶在簡潔易用的界面中實現(xiàn)對 Snort 服務(wù)的啟動、停止操作，并能夠便捷地查看規(guī)則、日志等關(guān)鍵信息。相較于 Linux 系統(tǒng)，盡管后者也存在圖形化工具，但多數(shù)情況下，Snort 在 Linux 系統(tǒng)中的配置與管理依賴于命令行操作，對于新手而言，這種復(fù)雜性可能會提高學(xué)習(xí)門檻。

     以上這些工具，允許用戶在簡潔易用的界面中實現(xiàn)對 Snort 服務(wù)的啟動、停止操作，并能夠便捷地查看規(guī)則、日志等關(guān)鍵信息。相較于 Linux 系統(tǒng)，盡管后者也存在圖形化工具，但多數(shù)情況下，Snort 在 Linux 系統(tǒng)中的配置與管理依賴于命令行操作，對于新手而言，這種復(fù)雜性可能會提高學(xué)習(xí)門檻。

1.3 資源獲取與安裝

     在 Windows 系統(tǒng)下，獲取并安裝 Snort 相對簡單，從官方下載頁面 https://snort.org/downloads 獲取最新安裝包。大家在購《Windows 10環(huán)境快速安裝Snort可視化系統(tǒng)》課程后，通過網(wǎng)盤下載所有資源包，運行安裝向?qū)В刺崾就瓿砂惭b即可，無需手動輸入復(fù)雜參數(shù)，這一過程對新手十分友好。但需注意：Windows 環(huán)境在安全性、吞吐量、內(nèi)存占用、穩(wěn)定性及配置靈活性方面存在明顯局限。為深入掌握 Snort 并規(guī)避這些短板，作者專門開發(fā)了《手動構(gòu)建 Snort 系統(tǒng)》課程，引導(dǎo)讀者在 Linux 等更優(yōu)平臺上搭建高性能、高可靠的 Snort 環(huán)境。

2、 Windows 10安裝Snort

    為了讓初學(xué)者在Windows 10  64位系統(tǒng)環(huán)境下快速安裝Snort系統(tǒng)，我們這里采用了批處理程序來實現(xiàn)。在進(jìn)行實驗時，請務(wù)必仔細(xì)核對實驗環(huán)境和要求，以確保實驗的順利進(jìn)行。

2.1實驗環(huán)境要求

以下軟件安裝要求是筆者在長期工作實踐中總結(jié)出的關(guān)鍵點，大家在實驗前務(wù)必核對自己的實驗環(huán)境是否滿足這些要求。

1）.宿主機(jī)（物理機(jī)）應(yīng)具備至少4G內(nèi)存和50G的剩余存儲空間，建議使用8G內(nèi)存配合SSD固態(tài)硬盤以獲得更佳性能；

2）.實驗應(yīng)在獨立的專用實驗局域網(wǎng)中進(jìn)行；

3）.每個虛擬機(jī)應(yīng)配置一塊虛擬網(wǎng)卡，并采用橋接模式與宿主機(jī)連接；

4）.宿主機(jī)應(yīng)通過有線網(wǎng)絡(luò)與交換機(jī)連接，盡量避免使用Wi-Fi或熱點方式聯(lián)網(wǎng)；

5）.確保Windows版本、Snort版本以及抓包工具npcap的版本位數(shù)保持一致；

例如，若操作系統(tǒng)安裝的是Windows 10 64位版本，則系統(tǒng)中的Snort也應(yīng)使用64位版本。在下載安裝包時需特別注意，未明確標(biāo)注64位的通常為32位安裝包，而標(biāo)注為x64的則為64位安裝包，兩者不可混用。具體區(qū)分方法如圖1所示。

Snort應(yīng)安裝在D:\winids目錄下。接下來，讓我們通過一個實例來了解如何從程序名上區(qū)分32位和64位的安裝包。

圖1 Snort 32/64位安裝軟件

在圖1中，箭頭所指的兩個安裝包均為64位安裝包，其余為32位安裝包，如果弄混淆了，安裝不會報錯，但運行Snort時會發(fā)生故障。

2.2 安裝軟件要求

軟件需求涵蓋以下6個關(guān)鍵環(huán)節(jié)：

• 操作系統(tǒng)必須是Windows 10 專業(yè)版，并且需要全新安裝（避免潛在的配置沖突）。硬盤應(yīng)劃分為兩個分區(qū)，即C盤和D盤，其中系統(tǒng)應(yīng)安裝在C盤，并創(chuàng)建一個新用戶賬戶名為Snort，登錄用戶名也應(yīng)為Snort。請勿使用舊系統(tǒng)來替代實驗環(huán)境；
• 請勿啟用防火墻和AntiVirus軟件；
• 請勿安裝Microsoft IIS服務(wù)；
• 對于瀏覽器的選擇，建議使用谷歌瀏覽器進(jìn)行Web配置；
• 所有批處理程序需要以管理員權(quán)限執(zhí)行；

2.3 BASE運行要求

BASE（Basic Analysis and Security Engine）是一套由PHP程序編寫的Web應(yīng)用程序，主要用來管理入侵檢測系統(tǒng)所產(chǎn)生的日志，讓管理者能夠有效地利用此Web界面管理入侵檢測系統(tǒng)所產(chǎn)生的事件。

BASE 用來查看Snort IDS告警的Web應(yīng)用程序，該程序運行于PHP+MySQL+Apache環(huán)境，所以我們在Windows 10下搭建運行環(huán)境使用。

下面最小實驗環(huán)境，僅需一臺物理機(jī)，在這臺宿主機(jī)內(nèi)安裝兩臺虛擬機(jī)，一臺VM虛擬機(jī)安裝Win10+安裝Snort，用宿主機(jī)模擬Attack。

3.搭建Snort+Barnyard2+BASE日志分析系統(tǒng)

3.1工作流程

Snort在進(jìn)入IDS工作模式之前，首先要對snort.conf配置文件進(jìn)行基礎(chǔ)設(shè)置，對一些目錄和規(guī)則輸出插件等參數(shù)進(jìn)行初始化配置，對于初學(xué)者暫時不必關(guān)注如何設(shè)置，只需要執(zhí)行一條批處理程序就能完成任務(wù)，工作流程如圖2所示。該流程圖在實際工作中具有普遍性，不但適用于Windows環(huán)境中安裝，也適用于其他操作系統(tǒng)環(huán)境中安裝。

圖2 Snort IDS工作流程

Snort設(shè)置成功的標(biāo)志是在Snort日志目錄能夠輸出merged.log.timestamp報警文件，該文件即Snort的輸出結(jié)果，又是Barnyard2的輸入數(shù)據(jù)源，如果大家在實驗過程中沒有發(fā)現(xiàn)merged.log文件，需對之前的操作步驟進(jìn)行核查。Barnyard2讀取Snort產(chǎn)生的日志文件之后會轉(zhuǎn)儲至MySQL數(shù)據(jù)庫，最后通過BASE程序讀取數(shù)據(jù)庫展示出來實現(xiàn)Snort報警可視化。

在介紹完IDS工作流程之后，接下來我們將開始安裝系統(tǒng)。

3.2安裝與設(shè)置

步驟1: 下載并安裝素材包（初始化系統(tǒng)）

首先，掃描二維碼下載素材包。隨后，檢查虛擬機(jī)的網(wǎng)卡連接模式，并確認(rèn)磁盤分區(qū)D盤有足夠的可用空間。將素材壓縮包解壓，并放置于D:\soft-install目錄下。請注意，從步驟1至步驟13，所有必需的安裝包和腳本均應(yīng)從D:\soft-install目錄中獲取。

接下來，安裝7z1900-x64和Notepad++程序，建議使用默認(rèn)的安裝路徑。素材功能的安裝詳情請參見表1。

表1   安裝素材清單（序號不代表安裝順序）

Windows 10以上系統(tǒng)，安裝操作掃碼學(xué)習(xí)視頻：

步驟2：安裝npcap.1.6.exe

Npcap為Windows下的一個抓包程序，目前最新版本為1.7，下載地址：https://npcap.com/#download，僅支持在Windows 7以上系統(tǒng)安裝，具體安裝過程按該程序提示安裝即可。

步驟3：安裝Snort 2.9.19

將Snort程序安裝到D:\winids\。安裝完成之后開始配置Snort。安裝過程都是圖形化提示，大家根據(jù)屏幕提示操作。當(dāng)安裝完成時，會在屏幕提示“Snort has successfully installed.”

步驟4：獲取系統(tǒng)IP及監(jiān)聽網(wǎng)卡名稱

以管理員身份打開命令提示符界面，獲取主機(jī)IP地址執(zhí)行以下命令。

c:\User\snort>ipconfig

獲取當(dāng)前主機(jī)網(wǎng)卡列表輸入以下命令。

從“snort.exe -W”命令執(zhí)行結(jié)果分析，我們需監(jiān)聽第一塊網(wǎng)卡（序號為1），有可能大家在自己的實驗環(huán)境中，輸出結(jié)果和本書顯示的不一致，例如有可能監(jiān)聽網(wǎng)卡序號為2，大家需要根據(jù)自己的實驗環(huán)境來確定有效網(wǎng)卡的編號，這一步非常重要。

步驟5：修改snort.conf

用思維導(dǎo)圖可以清晰標(biāo)記出有哪些地方需要修改，如圖3所示。

打開新的命令行CMD控制臺，進(jìn)入D盤soft-install目錄，輸入下面的批處理命令。

D:\soft-install>2.bat   

請注意，2.bat是一個用于配置Snort的腳本，必須在安裝Snort 2.9.19之后才能運行此批處理程序。在本實驗中，所有的批處理文件都不應(yīng)重復(fù)執(zhí)行，也不應(yīng)通過鼠標(biāo)雙擊來啟動。

步驟6：以IDS模式運行Snort

以管理員身份重新打開一個終端，并執(zhí)行批處理文件3.bat。

E:\soft-install>3.bat

該命令執(zhí)行完之后，見到以下輸出信息，表示該指令執(zhí)行成功。

與此同時，當(dāng)進(jìn)入D:\winids\snort\log目錄時，發(fā)現(xiàn)新增了三個文件：merged.log.1656055015、portscan和alert.ids。其中，merged.log是二進(jìn)制格式的文件，而portscan和alert.ids則是文本格式。alert.ids文件可以被第三方程序（例如Splunk）調(diào)用以進(jìn)行分析。隨后，在Attack 上執(zhí)行了ping命令，對Snort主機(jī)進(jìn)行了ICMP flood測試。

備注：如果在此步驟中未能接收到報警，請確認(rèn)系統(tǒng)中配置的監(jiān)聽網(wǎng)卡編號是否正確。

3.3安裝AMP集成環(huán)境

AMP（Apache、MySQL、PHP）最初是為Linux環(huán)境設(shè)計的程序，現(xiàn)已成功移植到Windows平臺。在當(dāng)前階段，讀者不必深入了解AMP的技術(shù)細(xì)節(jié)，只需按照以下步驟操作，即可輕松完成安裝，實現(xiàn)“即插即用”的便捷體驗。

步驟7：安裝Apache+PHP+MySQL集成環(huán)境

為運行BASE程序，我們首先安裝appserv-win32-8.6.0文件。安裝路徑為D:\winids\，安裝組件保持默認(rèn)選項。數(shù)據(jù)庫密碼輸入“12345678”，如圖4所示。

圖4 設(shè)置數(shù)據(jù)庫密碼

安裝指南與注意事項：

• 自動服務(wù)啟動：安裝程序完成后，Apache和MySQL服務(wù)將自動啟動。請確保您已經(jīng)記錄并安全存儲了root用戶的密碼，以防止未來訪問權(quán)限的問題。
• 版本兼容性：請注意，appserv-win32-8.6.0版本特別適合搭建Snort+BASE實驗環(huán)境。如果您選擇使用更高版本的appserv-win32，可能會遇到BASE程序無法正常運行的問題。
• 替代方案推薦：phpStudy2018（phpStudy2014同樣適用）提供了與appserver相似的功能，集成了最新版的Apache、PHP、MySQL、phpMyAdmin和ZendOptimizer。這個軟件包無需額外配置，即可直接使用，為您提供了一個便捷且實用的PHP集成開發(fā)環(huán)境。

3.4 自動安裝腳本

    新手在初次接觸Snort IDS配置時，往往容易混淆配置文件和腳本文件，導(dǎo)致調(diào)試時出現(xiàn)故障。本節(jié)將介紹一個自動安裝腳本，它能夠?qū)?fù)雜的調(diào)試過程變得更加精確和高效。需要注意的是，以下介紹的所有批處理程序，都必須以系統(tǒng)管理員權(quán)限執(zhí)行。

安裝AppServ完成后，您需要打開一個新的終端窗口，導(dǎo)航至安裝素材目錄d:\soft-install，并運行核心批處理文件4.password=1-8.bat。在執(zhí)行腳本的過程中，系統(tǒng)會提示您輸入密碼，此時請輸入在數(shù)據(jù)庫設(shè)置步驟中設(shè)定的root密碼“12345678”。

注意：出于實驗的便捷性考慮，此處root密碼設(shè)置為簡單密碼。然而，在實際的網(wǎng)絡(luò)測試環(huán)境中，強(qiáng)烈建議使用更為復(fù)雜的密碼以增強(qiáng)安全性。

接著，顯示更換PHP版本的提示，我們選擇“5) PHP 5.6”。

系統(tǒng)會切換當(dāng)前PHP版本為5.6。接下來，腳本會啟動Barnyard2.1.14連接程序。

當(dāng)見到以上提示“database:Closing connection to database “snort”后表示腳本執(zhí)行成功。此時我們可以繼續(xù)以下步驟。

注意：這個批處理執(zhí)行完成之后BASE 站點開始初始化設(shè)置，如圖5所示。

圖 5

后續(xù)只需依照頁面提示進(jìn)行簡易設(shè)置，即可啟用BASE。

步驟9：啟動Barnyard2

要啟動Barnyard程序，我們需要打開一個新的終端窗口，并切換到D:\soft-install\目錄下執(zhí)行批處理文件5.barnyard2.bat。此時，屏幕上會彈出以下提示。

如觀察到上述信息，表示數(shù)據(jù)庫已成功接收到來自Snort的報警記錄。

步驟10：查看數(shù)據(jù)庫報警記錄

請進(jìn)入d:\soft-install目錄，并執(zhí)行批處理文件6.mysql-event.bat。

腳本會提示您輸入密碼，密碼為123456。當(dāng)您看到如下提示時，意味著Snort、Barnyard2與MySQL組合架構(gòu)的系統(tǒng)聯(lián)調(diào)已經(jīng)成功。如果輸出結(jié)果為0，請終止后續(xù)實驗，并從步驟2開始重新檢查。

步驟11：檢查Apache和MySQL數(shù)據(jù)庫的運行狀態(tài)

在Windows 10 主機(jī)中打開瀏覽器輸入網(wǎng)址：http://127.0.0.1/ 如圖6所示。

圖6 Appserv安裝成功界面

見到圖6中顯示的“Now you running on PHP 5.6.30”表示PHP切換正常。為了查看MySQL數(shù)據(jù)庫，我們打開phpMyAdmin工具，在瀏覽器里輸入網(wǎng)址http://127.0.0.1/phpmyadmin/，驗證對話框中用戶名root，密碼為：12345678如圖7所示。

圖7  phpMyAdmin登錄界面

在左邊菜單中找到snort數(shù)據(jù)庫，event表，如圖8所示。

圖8 查看event表

3.5安裝和設(shè)置BASE

BASE，即Basic Analysis and Security Engine的縮寫，代表基礎(chǔ)的分析與安全引擎，是一個用于瀏覽Snort IDS告警的Web應(yīng)用程序。在Windows系統(tǒng)中配置好AMP集成環(huán)境后，接下來我們只需初始化BASE，便能開始使用。

步驟13：初始化BASE

在執(zhí)行了上述步驟后，正確運行了4.password1-8.bat程序，接著在瀏覽器中輸入網(wǎng)址http://127.0.0.1/base/，即可顯示出BASE的配置界面，如圖9所示。

圖9 設(shè)置BASE

該步驟中系統(tǒng)會調(diào)用BASE源碼包中sql目錄下create_base_tbls_mysql.sql文件（文件注釋見附件），將它導(dǎo)入snort數(shù)據(jù)庫snort表。

此時，點擊Create BASE AG按鈕后，顯示界面如圖2-10所示。

Tips:該步驟中系統(tǒng)會調(diào)用BASE源碼包中sql目錄下create_base_tbls_mysql.sql文件（文件注釋見附件），將它導(dǎo)入snort數(shù)據(jù)庫snort表。

SHELL操作命令：

/usr/bin/mysql -u root -p"$myrootpass" < /var/www/htdocs/base/sql/create_base_tbls_mysql.sql snort

類比命令：

/usr/bin/mysql --user=root --password=123456 < /usr/local/src/barnyard2-2-1.14/schemas/create_mysql snort

圖10 配置BASE

此時，點擊Main page按鈕完成設(shè)置之后，系統(tǒng)顯示BASE正常工作界面如圖2-11所示。

步驟12: 安裝PEAR繪圖功能

為了使BASE具備可視化功能，您需要安裝PEAR組件（一個開源繪圖程序）。請以系統(tǒng)管理員權(quán)限打開一個新的終端窗口，導(dǎo)航至D:\soft-install\pear-install目錄，并執(zhí)行以下命令：

D:\soft-install\pear-install>php go-pear.phar

所有提示都保持默認(rèn)。

在進(jìn)入目錄d:\winids\AppServ\php5執(zhí)行下列命令

pear install d:\soft-install\pear-install\Numbers_Roman-1.0.2.tgz

pear install d:\soft-install\pear-install\Image_Color-1.0.4.tgz

pear install d:\soft-install\pear-install\Image_Canvas-0.3.5.tgz

pear install d:\soft-install\pear-install\Image_Graph-0.8.0.tgz

見到如下提示信息表示安裝成功。

PEAR組件安裝完成之后，必須重啟Apache服務(wù)，添加的PEAR畫圖組件才能生效。最后打開Web UI界面，點擊Graph Alert Data按鈕。圖12所示。

圖12 啟動Graph Alert

在彈出界面中依次選擇數(shù)據(jù)類型、顯示大小，以及開始和結(jié)束時間，參考效果如圖13所示。

圖13

到此，BASE的可視化報警模塊安裝成功，如果沒有看到顯示的圖像可以檢測PEAR是否安裝成功。

3.6 設(shè)置開機(jī)啟動

我們已經(jīng)配置了繼承環(huán)境，包括Apache、PHP和MySQL，這些服務(wù)在開機(jī)時能夠自動啟動。然而，Snort和Barnyard2這兩個程序需要手動啟動。如果遇到意外關(guān)機(jī)，重新啟動這些程序可能會比較繁瑣。那么，如何設(shè)置系統(tǒng)以便在開機(jī)時自動運行Snort和Barnyard2呢？為了達(dá)到這個目的，我們需要進(jìn)行以下配置。

步驟14:設(shè)置Snort開機(jī)自啟動

進(jìn)入命令行控制臺，執(zhí)行以下命令：

C:>cd D:\soft-install\add-service

D:>snort –W 

再次確認(rèn)監(jiān)聽網(wǎng)卡編號，修改snort-service批處理文件中有關(guān)監(jiān)聽網(wǎng)卡的字段，腳本內(nèi)容如圖14所示。

圖14 Snort服務(wù)器腳本

此處的“-i2”參數(shù)，需要根據(jù)當(dāng)前實驗系統(tǒng)的具體數(shù)值進(jìn)行填寫。接下來，我們將檢查本地系統(tǒng)服務(wù)的狀態(tài)，以驗證Snort服務(wù)是否正在運行，如圖15所示。若需手動啟動服務(wù)，應(yīng)點擊并將其設(shè)置為自動啟動。

圖15  查看Snort服務(wù)

步驟15：設(shè)置Barnyard2開機(jī)啟動

設(shè)置Barnyard2開機(jī)啟動的方法和Snort，略有不同，我們進(jìn)入D:\soft-install\add-service>目錄執(zhí)行文件auto-local-barnyard2.reg，注冊表文件，在彈出對話框中，點擊Y，見到成功添加注冊表的提示表示此次操作成功，如圖16所示。

圖16 導(dǎo)入barnyard啟動腳本

接著我們需要重啟系統(tǒng)來驗證是否滿足要求，我們打開Windows任務(wù)管理器，如圖17，此時發(fā)現(xiàn)barnyard已經(jīng)自動運行。

圖17 查看barnyard2進(jìn)程

接下來，我們打開瀏覽器并輸入BASE的訪問地址，以驗證是否能繼續(xù)接收到安全事件。如果未能收到新的報警，我們需要檢查snort服務(wù)是否已自動啟動，以及barnyard2進(jìn)程是否正在運行。

4.安裝總結(jié)

      對于新手而言，通過上述步驟中所提及的批處理文件已在VMware虛擬機(jī)中成功安裝并進(jìn)行了測試，基本沒有難度，主要獲取資源包后，按流程操作即可，不過有兩個關(guān)鍵點還是需要各位留意。

4.1關(guān)于網(wǎng)卡選擇

   若在物理機(jī)上進(jìn)行實驗，需查明機(jī)器的監(jiān)聽網(wǎng)卡，即參照步驟4中介紹的獲取當(dāng)前系統(tǒng)IP地址及監(jiān)聽網(wǎng)卡名稱的方法。在掌握IP地址和監(jiān)聽網(wǎng)卡信息后，必須調(diào)整批處理文件中“-i”參數(shù)后所跟的數(shù)字，以確保批處理文件能正確運行。圖18展示了在Windows 2012 Server物理機(jī)上安裝Snort的截圖。

圖18 顯示系統(tǒng)當(dāng)前網(wǎng)卡列表

可以看，出監(jiān)聽的網(wǎng)卡顯示“6 Realtek PCIe GBE Family Controler”。

我們打開腳本3.bat，將下列命令進(jìn)行適當(dāng)修改：

原始配置：snort -c d:\winids\Snort\etc\snort.conf -l d:\winids\Snort\log -i 1

修改為：snort -c d:\winids\Snort\etc\snort.conf -l d:\winids\Snort\log -i 6

修改完成后保存退出3.bat腳本。也就是說如果大家如果直接將批處理不加修改，用到你的當(dāng)前系統(tǒng)，有可能導(dǎo)致Snort因找錯網(wǎng)卡，無法得到報警。

4.2 Snort的報警目錄

所有Snort報警數(shù)據(jù)均存儲于snort的日志目錄中。該目錄通常被稱為Spool目錄，其中包含的文件被稱為Spool文件。這些文件主要分為兩類：一類是文本格式的報警文件，它們可以使用記事本等文本編輯工具直接打開；另一類是二進(jìn)制格式的報警文件，它們以“報警文件名_時間戳”的形式存在，無法直接用常規(guī)編輯器打開。以Windows系統(tǒng)下的Snort為例：

當(dāng)Barnyard2啟動成功會在命令提示符后Waiting for new data，如果接收到新報警會不斷從光標(biāo)處彈出，正常啟動的狀態(tài)如圖19所示：（全文內(nèi)容出自李晨光博客 https://blog.51cto.com/chenguang/ ）

5.總結(jié)

到此這篇關(guān)于Windows系統(tǒng)中部署Snort入侵檢測工具的文章就介紹到這了,更多相關(guān)Windows系統(tǒng)中部署Snort內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論