欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

Snort安装与配置可能遇到问题的解决方案

程序员文章站 2022-07-13 12:20:32
...

snort的安装配置csdn其他论坛都有,这里写一下我安装配置遇到的问题。

教程仅提供给部分学生学习入侵检测时做的相关实验,不保证能成功检测到相关攻击行为(当然,配置成功后可以检测出nmap的端口扫描),望知悉。

配置环境:Windows 7 SP1,snort 2.9.16
1、Snort 2.9 配合WinpPcap 4.1.3使用亲测可行,如果遇到提示DAQ版本不高的问题可不用例会。另外,WinPcap 4.1.3已经停止更新,理论上可以选择nmap(官网指引),但是实测snort 2.9好像配置不了,snort -W无法找到网卡。如果有成功的dalao可以留言告知,谢谢。

2、Snort没有GUI图形化界面,所有操作完全依赖CMD(终端)。安装完成官网下载的安装包后,记得下载相关的规则包,社区版的规则包不完整,建议注册个snort账户再下载完整版的(当然其他网站也能下载,不过可能没有更新),我这里用的规则包是snortrules-snapshot-2900.tar.gz,安装完成snort本体后,解压规则包到snort根目录,提示的文件全部覆盖。
Snort安装与配置可能遇到问题的解决方案
Snort安装与配置可能遇到问题的解决方案
3、完成安装snort和WinPcap后,cmd先定位到snort所在目录(如果是默认安装,就是C:/Snort/bin),用cd命令定位到文件夹后,先用snort -W命令检查是否安装完成,能否看到自己的网卡MAC地址,一般安装好WinPcap都可以看到。
Snort安装与配置可能遇到问题的解决方案
4、下面就是配置snort.conf的过程了。我估计snort最早是配置在linux等相关系统的软件,因此在snort.conf中所有的路径用的都是相对路径,在Windows中,这些相对路径全部都要改成绝对路径,下面展示一下一些关键的修改部分:
Snort安装与配置可能遇到问题的解决方案
Snort安装与配置可能遇到问题的解决方案
注意,这里第三个dynamicdetection directory,可能在部分规则包解压以后没有这个文件夹,先在lib下建立个同名的文件夹,然后将C:\Snort\so_rules\precompiled\FC-9\i386\2.9.0.1里的所有文件拷贝到C:\Snort\lib\snort_dynamicrules ,不一定能用,可以先试试,如果没在这里报错就可。
Snort安装与配置可能遇到问题的解决方案
Snort安装与配置可能遇到问题的解决方案
需要修改路径的差不多是这些地方,其他的(rules规则库等)部分也有需要修改路径的,但是不太影响实验,我就没管了。
做完这些,基本上可以说已经配置好了snort,但是在运行的时候还是会遇到很多问题,原因有很多,这里给个最简单的方法:加注释。

加注释可以解决50%的问题,当然也有加注释加多的,比如这种:
Snort安装与配置可能遇到问题的解决方案
这种就属于加多了,有些先行条件需要用到(比如声明变量),但是被注释了,就会报错,因此需要把注释去掉,再排查问题。图中红框显示的基本上是conf的行数出错位置,可以以此排查。

其他问题总结:
1、一些情况下,snort.conf文件有部分地方出错,是由于空格问题。可以在一些赋值处增加/删除空格,比如这段:
Snort安装与配置可能遇到问题的解决方案
2、有些命令要调整位置和填写绝对路径,比如snort –i3 -dev -l./log -h 192.168.1.0/24 -K ascii -c c:\Snort/etc/snort.conf,这条命令会报错,一个是-i3的位置,另一个是-l 命令后面需要绝对路径。可以修改为snort -dev -i3 -l C:/Snort/log -h 192.168.1.0/24 -K ascii -c c:\Snort/etc/snort.conf

3、alert.ids错误。有时候会遇到无法找到alert.ids错误,查阅资料后可能是一个软件bug。我的做法是新建一个空白文本文件,重命名为alert.ids,绕过这个报错。

4、端口扫描偶有报告说生成的portscan.log是空白的,可以再做一次nmap -sS 。

5、之前遇到了一个过多参数的错误,再nmap论坛上也没有解决方案,我这里是加了几个空格解决的,仅供参考。

总之,就像我们第一次学C语言一样,编写个hello world也能一堆报错,安装snort也一样,慢慢排查,查阅文献才能解决问题的态度,希望这篇博文可以帮助到你们,有其他问题欢迎在评论区留言。

                                                                                 ——2020.06.13