腳本之家服務(wù)器常用軟件

快捷導(dǎo)航

Snort(入侵檢測(cè)系統(tǒng)) v2.9.15 英文安裝版

Snort下載

投訴報(bào)錯(cuò)

軟件大?。?span>3.08MB
軟件語(yǔ)言：英文軟件
軟件類(lèi)型：國(guó)外軟件
軟件授權(quán)：免費(fèi)軟件
軟件類(lèi)別：系統(tǒng)監(jiān)視
應(yīng)用平臺(tái)：Windows平臺(tái)
更新時(shí)間：2019-12-01
網(wǎng)友評(píng)分：

360通過(guò) 騰訊通過(guò) 金山通過(guò)

3.08MB

詳情介紹

Snort是來(lái)自國(guó)外的一款功能強(qiáng)大的網(wǎng)絡(luò)入侵檢測(cè)/防御系統(tǒng)。支持實(shí)時(shí)(Real-Time)流量分析，網(wǎng)絡(luò)IP數(shù)據(jù)包(Pocket)記錄等特性。Snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤(pán)上。網(wǎng)絡(luò)入侵檢測(cè)模式是最復(fù)雜的，而且是可配置的。我們可以讓snort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶(hù)定義的一些規(guī)則，并根據(jù)檢測(cè)結(jié)果采取一定的動(dòng)作。

Snort通過(guò)在網(wǎng)絡(luò)TCP/IP的5層結(jié)構(gòu)的數(shù)據(jù)鏈路層進(jìn)行抓取網(wǎng)絡(luò)數(shù)據(jù)包，抓包時(shí)需將網(wǎng)卡設(shè)置為混雜模式，根據(jù)操作系統(tǒng)的不同采用libpcap或winpcap函數(shù)從網(wǎng)絡(luò)中捕獲數(shù)據(jù)包，然后將捕獲的數(shù)據(jù)包送到包解碼器進(jìn)行解碼。它的部署非常靈活，很多操作系統(tǒng)上都可以運(yùn)行，可以運(yùn)行在window xp，windows2003，linux等操作系統(tǒng)上。本站為大家提供的是Snort for windows客戶(hù)端版本，并附有詳細(xì)的安裝教程，有需求的用戶(hù)請(qǐng)下載！

Snort for windows

Snort for windows安裝教程

1、Snort在WINDOWS下安裝過(guò)程比較麻煩，主要是配置麻煩，下載軟件壓縮包文件，點(diǎn)擊“Snort_2_9_15_Installer.exe”根據(jù)提示安裝即可，如下圖所示：

2、安裝好后，需要配置etc里面的snort.conf文件：

①windows下snort.conf文件必須修改的幾處：

原: var RULE_PATH ../rules

改為: var RULE_PATH C:\Snort\rules

原: #dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/

改為:dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor(后面一定不要有/)

原: #dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so

改為:dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll

原：dynamicdetection directory /usr/local/lib/snort_dynamicrules

改為：dynamicdetection directory C:\Snort\lib\snort_dynamicrules

然后將C:\Snort\so_rules\precompiled\FC-9\i386\2.9.0.1里的所有文件拷貝到C:\Snort\lib\snort_dynamicrules //上面的FC-9不一定對(duì)，可以先試一下?？锤髯缘南到y(tǒng)都不一樣。

原: include classification.config

改為: include C:\Snort\etc\classification.config

原: include reference.config

改為: include C:\Snort\etc\reference.config

原: # include threshold.conf

改為: include C:\Snort\etc\threshold.conf

原：# Does nothing in IDS mode

#preprocessor normalize_ip4

#preprocessor normalize_tcp: ips ecn stream

#preprocessor normalize_icmp4

#preprocessor normalize_ip6

#preprocessor normalize_icmp6

在之前加上#，注釋掉。

原：preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 65535 decompress_depth 65535

改為：preprocessor http_inspect: global iis_unicode_map C:\Snort\etc\unicode.map 1252 compress_depth 65535 decompress_depth 65535

因?yàn)樵趙indows下unicode.map這個(gè)文件在etc文件夾下。

配置好后，保存。

②下載規(guī)則庫(kù)

windows下安裝好snort后默認(rèn)是沒(méi)有規(guī)則庫(kù)，需要自己下載。

③設(shè)置預(yù)處理器

在snort.conf里面可以直接設(shè)置某些檢測(cè)的預(yù)處理器，當(dāng)然也可以通過(guò)某些前端軟件來(lái)實(shí)現(xiàn)，比如下面將要提到的IDSCENTER。

比如：

設(shè)置端口掃描的預(yù)處理器，把第二行的注釋取消，并在最后加上log的保存文件。

# Portscan detection. For more information, see README.sfportscan

# preprocessor sfportscan: proto { all } memcap { 10000000 } sense_level { low }logfile { postscan.log }

設(shè)置arp欺騙的預(yù)處理器，同樣取消注釋?zhuān)袸P和MAC改為你的IP和MAC值。

# preprocessor arpspoof

# preprocessor arpspoof_detect_host: 172.26.75.114 BC:AE:C5:81:BE:95

其他預(yù)處理器設(shè)置類(lèi)似。

④設(shè)置輸出

在這下面設(shè)置你的輸出，需要輸出什么就注釋掉對(duì)應(yīng)的行。

###################################################

# Step #6: Configure output plugins

# For more information, see Snort Manual, Configuring Snort - Output Modules

###################################################

比如：

# syslog

# output alert_syslog: LOG_AUTH LOG_ALERT

# pcap

# output log_tcpdump: tcpdump.log

插入output alert_fast: alert.ids（輸出fast模式的報(bào)警日志）

⑤選擇網(wǎng)卡：

進(jìn)入命令行，在snort.exe文件所在目錄用snort -W查看系統(tǒng)可用網(wǎng)絡(luò)接口。記住需要監(jiān)視的網(wǎng)卡的編號(hào)，比如為2，那么在以后的使用中，用-i 2就可以選擇對(duì)應(yīng)的網(wǎng)卡。

#將snort安裝為系統(tǒng)服務(wù)：

C:\Snort\bin>snort /SERVICE /INSTALL -c ../etc/snort.conf -i 2 -l ../snort/log -de

[SNORT_SERVICE] Successfully added the Snort service to the Services database. 如果看到上面的提示說(shuō)明是成功的。

⑥將snort服務(wù)設(shè)置為自啟動(dòng)

可以在services.msc中設(shè)置snort為自動(dòng)啟動(dòng)。

⑦如果改變了snort.conf，則需要重啟snort來(lái)加載配置文件：

net stop snortsvc

net start snortsvc

⑧如果有誤，可以刪除snort服務(wù)：

sc delete snortsvc

完成后通過(guò)命令啟動(dòng)IDS模式的snort

snort -i2 -de -l ../log -c ../etc/snort.conf

也可以安裝IDSCENTER來(lái)進(jìn)行圖形界面的Snort管理。

Snort 入侵檢測(cè)

下載地址

下載錯(cuò)誤？【投訴報(bào)錯(cuò)】