【入侵检测】window下安装snort

已于 2024-09-24 10:23:30 修改
阅读量4.8k 收藏 63
点赞数 7
分类专栏: # 入侵检测与数字取证 网络空间安全课程 文章标签: 网络安全
于 2022-11-12 13:21:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwm_20211031_475/article/details/127818998
版权

目录

1、Snort介绍

2、实验环境

3、安装snort

4、snort嗅探器模式测试

5、简单的报警规则

 

1、Snort介绍

Snort是一个跨平台、轻量级的网络入侵检测工具,属于基于网络的误用检测。

Snort的软件模块组成:
 (1)数据包嗅探模块——负责监听网络数据包,对网络进行分;
 (2)预处理模块——该模块用相应的插件来检查原始数据包,从中发现原始数据的“行为”,如端口扫描,IP碎片等,数据包经过预处理后才传到检测引擎;
 (3)检测模块——该模块是Snort的核心模块。当数据包从预处理器送过来后,检测引擎依据预先设置的规则检查数据包,一旦发现数据包中的内容和某条规则相匹配,就通知报警模块;
 (4)报警/日志模块——经检测引擎检查后的Snort数据需要以某种方式输出。如果检测引擎中的某条规则被匹配,则会触发一条报警,这条报警信息会通过网络、UNIXsocket、WindowsPopup(SMB)、SNMP协议的trap命令传送给日志文件,甚至可以将报警传送给第三方插件(如SnortSam),另外报警信息也可以记入SQL数据库。

2、实验环境

Windows7pro

Snort_2_9_20_Installer.x86

WinPcap_4_1_3

(这里有个坑winpcap是32位的,snort必须下载对应的32位)

3、安装snort

3.1安装winPacp

默认安装

81fd6c942c9397cbff8292451b3ad48e.png

 

3.2安装snort

38da5e420dd7ce7887611d321a3d1f88.png

 

3.3启动snort

在dos下切换到snort\bin目录下,执行snort.exe,或执行snort --help查看帮助信息。

5683e47e1b1de10602b8718ced616f56.pngd7fa8dd29c7f0a748a6a0b66a325129b.png


4、snort嗅探器模式测试

嗅探模式即snort从网络上读出数据包然后打印到控制台。
Snort -v 打印TCP/IP包头信息、Snort -d 打印应用层数据、Snort -e 打印链路层数据
1)查看网卡信息
C:\Snort\bin>snort -W

2e340e31bbc7ac292fa27e88333fb07c.png

2)捕获数据
网卡1捕获不了数据包,不知道是啥网卡,小问题。
C:\Snort\bin>snort -dev -i2
使用Kali:192.168.12.128
ping实验机win7:192.168.12.131
结束捕获后查看分析报告,可以看到捕获了各种协议的数据包。

6eaba7a88ff5793e6c1b10db1ee62293.png

512788a3aacb87ea5869bb59b27967b4.png7ef82ae85870892b7ccaf0e51f716355.png
3)保存数据到日志文件

2a7b72f8230cf13a0280e25c8fead410.png

4)问题与反思
问题1:网卡无法抓取数据包
网卡设置不正确,或可更换网卡。实验机有两张网卡,一张是蓝牙网卡,禁用即可。

94cab58bbe0336b7a152465d292806e3.png

问题2:无法将DAQ BPF筛选器设置为“..\log”
参数设置错误

 

5、简单的报警规则

5.1自编写规则1

将下载的snort.conf文件替换c:\snort\etc\snort.conf
1)在snort\rules下新建新规则new.rule如下并添加如下2条规则:

alert icmp any any -> 192.168.12.132 any (msg:"ICMP";sid:41409)
alert tcp any any -> 192.168.12.132 80 (msg:"Telnet Login";sid:26287)

7cec4a7714417621291dbc4660dc393e.png
2)启动snort,运行snort -c ..\etc\snort.conf -l ..\log -K ascii进入入侵检测模式

378afc66c9eaabf2efbd766e4d51d99b.pngd5742ffbe355bdf33a3a253dbccfb9d4.png
3)测试效果
在另一台机器中ping实验机

5cb0abdf38497f52a05d506cc82470da.png5b5e0e75c2f67363e8101f95a81d7512.pngf2da1c856d37bfd446767ef8e7b38183.png

 

 

 

 

 

 

SnortWindows下的安装
07-18
Snort 是一套非常优秀的IDS和网络监测系统,值得大中型网络管理者和网络安全爱好人员去学习使用。
Snort 2.9.0.1 网络入侵检测系统安装指南
最新发布
weixin_42588877的博客
04-24 626
在现代网络安全防御体系中,Snort以其开源、轻量级和高效的特性,成为许多安全专家和网络管理员的首选入侵检测系统。Snort 的核心功能在于提供实时网络流量分析和数据包记录,同时它能够执行对网络攻击和政策违规行为的检测。网络嗅探技术是一种在不干扰网络正常传输的前提下,监控和记录网络数据包的技术。其基本原理是将网络接口设置为混杂模式(promiscuous mode),允许该接口接收经过它的所有网络流量,包括那些并非发送给它的数据包。
揭秘最为知名的黑客工具之一:Snort,从零基础到精通,收藏这篇就够了!
Libra1313的博客
04-02 1084
Snort凭借其强大的功能和灵活的配置,成为了网络安全领域不可或缺的工具。无论你是网络管理员、安全专家,还是渗透测试员,掌握Snort的使用技巧都将大大提升你的网络安全能力。它就像一位时刻在线的“网络安全钢铁侠”,能实时监控你的网络流量,揪出那些偷偷摸摸搞破坏的家伙,并采取措施保护你的网络安全。在开始安装Snort之前,先确保你的系统已经安装了必要的依赖项。,根据预先设定的规则,识别各种潜在的安全威胁,保护你的网络安全。各种配置选项,满足你的个性化需求,打造专属的安全方案。
snortwindows下的安装配置
lurenyi0724的博客
01-07 5642
环境:win7+snort2.8.6 1.安装npcap或者winpcap 首先安装npcap,这是因为snort对网络数据包进行捕获,需要npcap。 2.安装snort 使用安装安装snort,这里直接向下安装即可,不过需要注意snort的版本,我们这里使用的是snort2.8.6。如下图所示。因为从2.9版本开始,snort将不再支持对数据库的输出,而是需要另一个插件来实现读取日志文件,为了实现图形化界面,我们需要输出到数据库中,所以这里选择snort2.8.6。 使用snort -W命令可以查看
Windows下手把手教Snort安装与配置教程
热门推荐
橙留香Park的博客
02-07 1万+
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
Snort windows 安装
zengliguang的专栏
09-19 1105
以下是在 Windows 系统上安装 Snort 的步骤:snort.conf。
【超详细】Snort在Win-7下的安装配置及可视化
m0_58615368的博客
06-21 5212
实验做了那么久,不记录下过程都对不起我掉的头发
windows下的snort安装
zhangxuejie的专栏
09-30 3207
这是snort官方的安装文档。The following is meant to be an easy guide to getting Snort up and running on a Windows XP PC.  Configuration of rules, deciphering Alerts and tailoring to your specific network is beyo
SNORT入侵检测系统
swordheart的博客
04-19 1万+
0x00 一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:”Web Access”; sid:1) alert:表示如果此条规则被触发则告警 tcp:协议类型 ip地址:源/目的IP地址 any/80:端口号 ->:方向操作符,还有<>双向。 msg:在告警和包日志中打印消息 sid:Snort规则id … 这条规则看字面意思就很容易理解。Snort就是利用规则来匹配数据包进行实时流量分析,网络数据包
windows环境下snort安装
m0_53533553的博客
11-21 4194
windows环境下snort安装
snort实现入侵检测功能
tlucky的博客
10-14 6762
一、安装 概念 用snort软件打造入侵监测系统: 入侵监测系统和防火墙关系 总结:从概念上我们可以看出防火墙是针对黑客攻击的一种被动的防御,IDS则是主动出击寻找潜在的攻击者;防火墙相当于一个机构的门卫,收到各种限制和区域的影响,即凡是防火墙允许的行为都是合法的,而IDS则相当于巡逻兵,不受范围和限制的约束,这也造成了IDS存在误报和漏报的情况出现。 IDS是继防火墙之后的又一道防线,防火墙是防御,IDS是主动检测,两者相结合有力的保证了内部系统的安全; IDS实时检测可以及时发现一些防火墙没有发现
snort入侵检测系统
11-10
snort在linux上的安装使用文档。在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共许可(GPL——GNU General Pubic License),在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它。snort基于libpcap。
windowssnort安装流程
06-17
windows详细安装过程,更易于初学着安装
一套非常完整的snort入侵检测
10-24
一套非常完整的snort入侵检测, 里面有完整的一套教程 软件包,珍藏版,非常实用。
windowssnort安装配置教程
03-29
windowssnort安装配置全过程
snort-system.rar_入侵检测
09-19
网上找到的几种在windowsnort布置入侵检测系统的具体方法
WindowsSnort入侵检测系统布署指南
在描述中提到“网上找到的几种在windowsnort布置入侵检测系统的具体方法”,意味着本资源将提供多种部署Snort的步骤和方法,为读者提供选择的灵活性和实践的多样性。文档可能包含配置网络、安装必要的软件组件、...
snort入侵检测/防御系统
duanbiren123的博客
05-10 4456
在现在越来越庞大的网络面前,我们的企业网络网络为了实现相对来说的安全都会在企业网与internet之间架设防火墙。但是在有些情况下,防火墙并不能发挥作用。如上图所示:企业内网与外网以及服务器所在的DMZ区域(1)来至于企业内网用户的攻击(2)内网用户绕过防火墙上网受到攻击,进而是攻击者攻击内网(3)攻击者通过病毒、木马.....实施攻击这时候就需要用一些策略来实施监控,让我们在网络出现异常时及时发...
Windows 平台下基于 snort入侵检测系统安装
zhangxuejie的专栏
10-21 2094
 这个写得很详细,不过软件版本不是最新的 可以从官方网站下载。---------------------------------------------------------------------------------------------------摘自 http://hi.baidu.com/flycisco/blog/item/9deabe01734462d5267fb5ae.htm
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值