【超详细】Snort在Win-7下的安装配置及可视化

前排提示本人是个看到修改一大堆配置就头疼的菜狗，所以这篇教程尽可能减少了修改配置，包含了本人遇到的坑&解决方案，我尽力了

二编：如果同学们做的过程中遇到文章以外的问题，很抱歉作者本人现在也解决不了了——大学生结课后什么水平懂的都懂……如果朋友们成功解决了欢迎在评论区分享问题和方法

一、前期资源准备

1.win-7环境虚拟机

这个网上教程很多，我跟的是这个：

【超详细】| 使用Vmware 安装win7虚拟机

结果开局就遇到问题了……装完了虚拟机装vmtools发现装不上，真令大学牲悲伤

查了一下是版本问题，我用的是VMware Workstation Pro 17

解决方案：

下载一个VMware15的VMware Tools的光盘镜像文件到真实机里

下载链接点这儿： VMware 15.5版本的tools

 

下完之后在虚拟机设置里修改一下iso映像文件，从原先的win-7改成你刚刚下的这个东西：

还有别的解决方法，这个错不难解决，网上一搜很多教程，不一个个列了

2.WinPcap_4_1_3（或npcap）https://www.winpcap.org/install/default.htm

（显示停止开发没关系，点这个一样下载）

开始实验前请安装好这个

​

3.Snort（2.8.6）

必须是老版本，因为从2.9版本开始，snort将不再支持对数据库的输出，而是需要另一个插件来实现读取日志文件，为了实现图形化界面，我们需要输出到数据库中，所以这里选择snort2.8.6。

通过百度网盘分享的文件：
链接:https://pan.baidu.com/s/1RUxVIpF7LouxMCvsMpErsA
提取码:8668
复制这段内容打开「百度网盘APP 即可获取」

（这个资源我在网上找了好——久！或许可以看在我免费分享的份上点个赞吗阿里嘎多）

4.Mysql https://dev.mysql.com/downloads/mysql/

5.acid-0.9.6b23.tar http://acidlab.sourceforge.net/acid-0.9.6b23.tar.gz

6.adodb http://jaist.dl.sourceforge.net/sourceforge/adodb/adodb504.tgz

7.base-1.4.5.tar https://sourceforge.net/projects/secureideas/files/BASE%20Themes/

8.jpgraph-4.3.4.tar https://jpgraph.net/download/ 

9.phpstudy https://www.xiazaiba.com/html/27947.html

二、安装Snort

点击exe安装……这个没啥好说的

然后来配置环境变量：

C:\Snort\bin

 在path里加一点料：

%snort%;

（总之这个path格式就是：【%xxx%;%xxx%;%xxx%;……】。这个名字跟刚才新建的那个系统变量叫一个名字就行，我的就叫snort了）

恭喜你，收获了一只奔跑的猪猪！

 不添加环境变量也行，但snort就不能直接在终端里用了……会告诉你没有这个指令：

你得先这样：

 就 不嫌麻烦的话，也行（）

三、安装MySQL

我跟的是这个教程：

MySQL在Windows7环境下的安装

我前面给的下载版本跟这位博主的不太一样，不过做下去发现没什么问题

问题出在安装的时候

（花式报错，落泪了）

解决方案：

在虚拟机里安装Microsoft .NET Framework 4.5 https://www.microsoft.com/zh-cn/download/details.aspx?id=30653

环境变量

跟刚刚的Snort一样

系统变量：

C:\Program Files\MySQL\MySQL Server 8.0\bin

Path：

%Mysql%;

 

 （如果已经跟着上面那个教程里的环境变量改了就不用再改这个了！本质是一样的）

启动MySQL:

mysql -u root -p

四、创建数据库

create database snort

create database snort_archive

 

然后转到数据库，从snort安装目录下，schemas文件夹，（我们这里是默认处于C:\Snort\schemas\create_sql），对数据库进行数据的还原。

 use snort;

 C:\Snort\schemas\create_mysql;

 

五、图形化界面准备

 把开头准备的5、6、7、8解压好，打包一个文件夹plugin里，放到snort文件夹下

接下来我们将分别通过acid和base分别进行配置，实现两个图形化。我们先来对acid进行配置。进入acid文件夹，找到acid.conf.php对acid进行配置。

(建议在虚拟机里下个notepad++，不然看不到行数)

首先大致在12行，可以看到DBlib_path，将adodb的位置添加到引号中

（adobd文件夹叫啥这里就写啥，后面序号各人不一样是正常的）

 然后设置数据库的信息。

 （注意：这里改过之后，刚刚创建的两个数据库密码就变成root了）

 最后找到ChartLib_path位置，添加jpgraph的路径。

六、访问图形化界面

1.安装phpstudy

 phpstudy2014和php2018都可以，这里我用的是phpstudy2014

如果出现如下错误：（2018可能还缺VC11）

 下载一个VC9然后安装就好了：http://www.kkx.net/soft/53574.html

端口常规设置：

选择php版本

 因为这里存在版本兼容的问题，必须要使用php5.2才可以成功运行。

2.访问网站

http://127.0.0.1/acid

如果该页面报错：没有snort（忘截图了不好意思）

解决方案

启动Mysql（此时登陆密码为root），输入：

show databases;

查看一下是否有刚刚创建的两个数据库snort和snort_archive，如果没有，则重新创建数据库（即将四、创建数据库重新做一遍），然后刷新页面

如果得到这个页面，恭喜你，你离成功近在咫尺了

依次点击：

 得到：

刷新页面： 

 七、配置Snort

1.修改Snort.conf

 找到snort文件夹的etc文件夹下的配置文件，可以看到snort.conf

将rule和preproc_rules的路径添加到配置文件中

 第二处：

第三处：

（数据库的账号密码和你上面创建的那个snort数据库一致）

第四处：

第五处： 

然后把294~325行的这堆前面没有#的“include……rules”前面全都改成这样：

（如果你没有snort规则库的话，就把这30行全注释了）

第六处：

2.修改Snort规则

然后去下个snort规则集，解压之后得到包括local.rules在内的很多.rules文件。

在C:\Snort\etc中新建一个叫rules的文件夹，然后把这堆.rules文件扔进去：

如果没搞到规则集的话，请在rules文件夹中新建一个txt文件。

另存为→保存类型：所有文件→文件名：local.rules→保存

打开local.rules文件，输入：

alert tcp any any -> any any (msg:"SNORT：alert";  sid:1000000; rev:1;)
alert udp any any -> any any (msg:"SNORT：alert";  sid:1000001; rev:1;)
alert icmp any any -> any any (msg:"SNORT：alert";  sid:1000002; rev:1;)
alert ip any any -> any any (msg:"SNORT：alert";  sid:1000003; rev:1;)

保存。

八、抓包

cmd打开终端，使用命令：

snort -dev -c c:\snort\etc\snort.conf -i 1 -l c:/snort/log/

其中-i 1 -l中的1请改为自己的网卡号：

（刚刚的snort -W就是看这个用的，我的是1）

 抓到了：（妈呀写死我了）

 

参考

snort在windows下的安装配置