目录
- 0x01 前置环境
- 0x02修改配置文件
- 0x03 自测
- 0x04 使用
- 0x05 感言
0x01 前置环境
环境 | 描述 |
---|---|
windows10 | |
snort2.9.2 | https://www.snort.org/downloads |
先把上面环境下载好!
需要注意的是安装npcap这个软件
0x02修改配置文件
软件安装目录:C:/Snort/
配置文件snort.conf(建议备份一个)
主要修改7,就是自己的规则文件设置
紧接着往下滑,可以看到ipvar HOME_NET 192.168.5.0/24
这个改成自己所在网段即可,后面的端口也可以改
由于这个配置文件默认是linux下的,所以 所有的文件位置都需要改动,将原来的Linux文件目录改成windows即可
var RULE_PATH C:\Users\Administrator\Desktop\snort-rules
var SO_RULE_PATH C:\Snort\so_rules
var PREPROC_RULE_PATH C:\Snort\preproc_rules
以下改成这样
这是第7个,改成这种,那个自己建立的规则自己写上去,把其他的删掉/注释掉(注意:这些$变量要自己修改成对应的)
0x03 自测
snort -c c:\Snort/etc/snort.conf -T
在这里需要配置下环境变量,将C:/snort/bin
配置到path下(不会百度)
出现error不要怕,指定网卡即可
snort -W
再次测试成功
snort -c c:\Snort/etc/snort.conf -T -i4
0x04 使用
弄好上面,就可以开始写规则了,我把规则都写在1.rules中
下面的命令是指定网卡监测
snort -dve -i4 -l c:\Snort\log -c c:\Snort/etc/snort.conf
下面是指定pcap检测
snort -l c:\Snort\log -c c:\Snort/etc/snort.conf -r C:\Users\Administrator\Desktop\pcap\5.pcap
如果你的规则写的对,不会报错,并且会在c:/snort/log
下载产生一个ids文件,看一下就知道是否可以检测的到
附:一个规则测试是否可以正常检测
alert tcp any any -> any any (msg:"test rule"; content:"GET"; content:"/";nocase;sid:123;rev:1;)
0x05 感言
这个不怎么好用,suricata用起来比较舒服