入侵检测实验二Snort的安装及使用
最近忙,好久没写博客了,果然写博客挺难坚持的,要好好养成习惯啊。
最近做了入侵检测实验,时Snort的安装及使用,安装用的是windows版的2_8_3_1
接下来直接上过程:
- 点击snort安装程序
然后一直点击下一步到这个页面就可以了
然后进入snort的安装问价夹中打开cmd 用snort -? 命令查看是否安装成功;
可以看到我们已经安装成功了。
然后接下来简单配置一下snort
先输入命令 snort -c c:\snort\etc\snort.conf –l c:\snort \log –d (然后每解决一个错误就运行一下这个命令)
然后出现第一个错误,如下图,这个错误的意思是找不到规则为文件,去下个相应版本的规则包,把其文件复制过来就行了
当然也可以去配置文件里后面的etc\snort.conf把要引入的规则注释掉就可以了,不过后面我们自己要写规则,再重新引入一个自己写的就可以了。
在inclede前加个井号,就是注释
第二个问题是也是找不到libsf_engine.so文件,去文件夹看看
发现有的是sf_engine.dll去配置文件把其改成sf_engine.dll如下图,还有要把相应的linux路径格式改为windows格式的。
下一个错误是缺少白名单规则文件,解决方法是去配置文件注释掉关于白名单的规则文件部分。
下一个是缺少黑名单规则文件,解决方法和上一个类似。
再下一个是未识别类:
解决方法将类的配置文件包含到源配置文件
然后就可以了:
总结:
在配置snort时遇到了很多错误,有的在网上找不到解决方法,于是我装了两个版本的snort,有一些错误我没能列出来,因为装的让人头疼,百度了好久都没有,最后还是自己慢慢摸索出来的,还有一个时做新版的错误,不能加载ids.alert文件,或者这个文件是空的,这个至今没能解决。还有一个就是在修改路径时文件夹的后面不要加\不然也会报错,还有新版的网卡和DQA不匹配,于是过滤器不能打开。当然安装只是第一步,还有后续实验,当然如果你在安装过程中遇到了什么问题不懂得也可以来问我。
