【入侵检测】window下安装snort

最新推荐文章于 2024-04-27 02:07:31 发布
最新推荐文章于 2024-04-27 02:07:31 发布
阅读量2.2k 收藏 36
点赞数 5
分类专栏: # 入侵检测与数字取证 网络空间安全课程 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwm_20211031_475/article/details/127818998
版权

目录

1、Snort介绍

2、实验环境

3、安装snort

4、snort嗅探器模式测试

5、简单的报警规则

 

1、Snort介绍

Snort是一个跨平台、轻量级的网络入侵检测工具,属于基于网络的误用检测。

Snort的软件模块组成:
 (1)数据包嗅探模块——负责监听网络数据包,对网络进行分;
 (2)预处理模块——该模块用相应的插件来检查原始数据包,从中发现原始数据的“行为”,如端口扫描,IP碎片等,数据包经过预处理后才传到检测引擎;
 (3)检测模块——该模块是Snort的核心模块。当数据包从预处理器送过来后,检测引擎依据预先设置的规则检查数据包,一旦发现数据包中的内容和某条规则相匹配,就通知报警模块;
 (4)报警/日志模块——经检测引擎检查后的Snort数据需要以某种方式输出。如果检测引擎中的某条规则被匹配,则会触发一条报警,这条报警信息会通过网络、UNIXsocket、WindowsPopup(SMB)、SNMP协议的trap命令传送给日志文件,甚至可以将报警传送给第三方插件(如SnortSam),另外报警信息也可以记入SQL数据库。

2、实验环境

Windows7pro

Snort_2_9_20_Installer.x86

WinPcap_4_1_3

(这里有个坑winpcap是32位的,snort必须下载对应的32位)

3、安装snort

3.1安装winPacp

默认安装

d4bf5c9b24524fcf97fcb9230fac127e.png

 

3.2安装snort

c5f72cdfa8e44b87b5209664c42badd8.png

 

3.3启动snort

在dos下切换到snort\bin目录下,执行snort.exe,或执行snort --help查看帮助信息。

efb2020c20cb4858bc2f99d41d7fa57f.pngfdff7f285d1f407d867bf5e08e3b405b.png


4、snort嗅探器模式测试

嗅探模式即snort从网络上读出数据包然后打印到控制台。
Snort -v 打印TCP/IP包头信息、Snort -d 打印应用层数据、Snort -e 打印链路层数据
1)查看网卡信息
C:\Snort\bin>snort -W

ac9b2164a8c1452984c9a95d26c960ac.png

2)捕获数据
网卡1捕获不了数据包,不知道是啥网卡,小问题。
C:\Snort\bin>snort -dev -i2
使用Kali:192.168.12.128
ping实验机win7:192.168.12.131
结束捕获后查看分析报告,可以看到捕获了各种协议的数据包。

df342bd6be094f0fa7cc015356b9987b.png

e2fc1d26dbcd46408830d1c69fb140a4.pngd0464622acc34f53b2c78bad5eb3ea21.png
3)保存数据到日志文件

2d64eeb8168a46d3b6c18ca9ecdf38c4.png

4)问题与反思
问题1:网卡无法抓取数据包
网卡设置不正确,或可更换网卡。实验机有两张网卡,一张是蓝牙网卡,禁用即可。

870e3f513b0749fbb1db690227b8e28b.png

问题2:无法将DAQ BPF筛选器设置为“..\log”
参数设置错误

 

5、简单的报警规则

5.1自编写规则1

将下载的snort.conf文件替换c:\snort\etc\snort.conf
1)在snort\rules下新建新规则new.rule如下并添加如下2条规则:

alert icmp any any -> 192.168.12.132 any (msg:"ICMP";sid:41409)
alert tcp any any -> 192.168.12.132 80 (msg:"Telnet Login";sid:26287)

33797d7e74de4471b1b9a2ec11c109cf.png
2)启动snort,运行snort -c ..\etc\snort.conf -l ..\log -K ascii进入入侵检测模式

886ec2ea15e34659bee7f631136f8876.pngf5ba4723ef3b42bf8fed3f8c7d619346.png
3)测试效果
在另一台机器中ping实验机

945b38c9bc5e4b3c9d70267f55a4bb58.png7f62e14c3918481e9e45745f50787b9c.png20f2ff310fcb45a2954ab318fb637d44.png

 

 

 

 

c10udy_
关注
  • 5
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
windows下编译出的snort.exe
04-04
根据在snort官网上下载的snort-2.9.11.1源码,在windows下编译出来的snort.exe;
Windows 10环境中安装Snort+Barnyard2+MySQL
李晨光原创IT博客
03-09 1205
本文介绍如何在Windows10环境中安装Snort+Barnyard2+MySQL系统。
windows环境下snort安装
m0_53533553的博客
11-21 3834
windows环境下snort安装
网络安全实验】snort实现高级IDS
最新发布
2301_77121488的博客
04-27 424
保存配置并退出执行如下命令:执行如下命令:执行如下命令:make执行如下命令:sudo su安装LuaJIT:执行如下命令:报错:fatal error: rpc/types.h: No such file or directory执行如下命令:报错:fatal error: netconfig.h: No such file or directory执行如下命令:执行如下命令:snort已成功安装#Snort安装目录#存储过滤规则和服务器黑白名单#创建日志目录。
【超详细】Snort在Win-7下的安装配置及可视化
m0_58615368的博客
06-21 3243
实验做了那么久,不记录下过程都对不起我掉的头发
Windows下手把手教Snort安装与配置教程
热门推荐
橙留香Park的博客
02-07 1万+
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
Windows 10——安装Snort_2_9_16
无限迭代中......
05-26 7237
基本概念 Snort:在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共许可(GPL——GNU General Pubi
实验9-10 在Windows下搭建入侵检测平台
YkingH的博客
04-28 3907
掌握在Windows中搭建基于snort入侵检测系统(IDS),熟悉简单的配置方法,能够使用IDS检测并分析网络中的数据流。Snort是一个强大的基于误用检测的轻量级网络入侵检测系统,它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时警报。
入侵检测检测系统snort开源
03-19
而在在线入侵检测模式下,Snort会实时分析流量并作出反应。 在Snort的最新版本2.9.19中,可能包含了一系列的改进和新特性,比如: 1. **性能提升**:可能通过优化代码或引入更高效的算法来提高处理速度,以便应对...
Linux下安装snort入侵检测系统
08-05
Snort 是一款强大的开源网络入侵检测系统(IDS),它基于 libpcap 库,可以在多种操作系统上运行,包括 Linux。其主要功能是监控网络流量,通过匹配预定义的规则来识别潜在的攻击行为。Snort 不仅能进行模式匹配,还...
入侵检测系统snort安装与实验
09-22
随着科学技术的发展,互联网给人类社会带来了前所未有变化,对经济、文化、生产、生活等人类社会各领域都有重大的影响,并逐渐成为人们日常工作和生活的一部分,如电子商务、远程教育、信息共享、休闲娱乐等都逐步...
linux 入侵检测 snort安装实例
01-07
这是我自己整理的入侵检测系统配置文档。确保可以正确安装
一个轻量级入侵检测系统Snort和数据包采集工具daq.zip
12-29
一个轻量级入侵检测系统Snort和数据包采集工具daq.zip一个轻量级入侵检测系统Snort和数据包采集工具daq.zip一个轻量级入侵检测系统Snort和数据包采集工具daq.zip一个轻量级入侵检测系统Snort和数据包采集工具daq.zip...
最新Snort3和Snort2安装详细教程
橙留香Park的博客
01-17 7002
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
snortwindows下的安装配置
lurenyi0724的博客
01-07 4988
环境:win7+snort2.8.6 1.安装npcap或者winpcap 首先安装npcap,这是因为snort对网络数据包进行捕获,需要npcap。 2.安装snort 使用安装安装snort,这里直接向下安装即可,不过需要注意snort的版本,我们这里使用的是snort2.8.6。如下图所示。因为从2.9版本开始,snort将不再支持对数据库的输出,而是需要另一个插件来实现读取日志文件,为了实现图形化界面,我们需要输出到数据库中,所以这里选择snort2.8.6。 使用snort -W命令可以查看
【转】snort安装、配置和使用
tpriwwq的专栏
12-30 1090
方向操作符左边的ip地址和端口号被认为是流来自的源主机,方向操作符右边的ip地址和端口信息是目标主机,还有一个双向操作符"<>"。注意Snort的语法。规则的头包含了定义一个包的who,where和what信息,以及当满足规则定义的所有属性的包出现时要采取的行动。而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。
Windows环境下搭建Snort+BASE入侵检测系统
weixin_33767813的博客
01-17 1793
操作系统: Windows 7 (service pack 1) 所需软件: 虚拟机:VirtualBox 网络数据包截取驱动程序:WinPcap 4.1.3 (WinPcap_4_1_3.exe) Windows版本的Snort安装包:Snort 2.8.6 for Win32 (Snort_2_8_6_Installer.exe) 官方认证Snort规则库:snort...
【2023】Windows环境搭建Snort+BASE入侵检测系统
haohello_world的博客
12-21 1794
由于我们建立的是测试环境,所有的组件安装都在一台机器上完成。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8330
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
linux系统搭建入侵检测系统snort新手
12-05
搭建入侵检测系统snort是一项基于Linux系统的技术任务,对于新手来说,以下是一些简要的步骤和注意事项。 首先,确保你的Linux系统已经正确安装和配置,并具备网络连接功能。接下来,你可以按照以下步骤来搭建snort入侵检测系统。 1. 安装Snort: 首先,你需要从Snort官方网站下载Snort软件包,并按照官方文档提供的指导进行安装。在安装过程中,你需要确保安装所需的依赖库已满足,并按照文档进行逐步配置。 2. 配置Snort: 在安装完成后,需要对Snort进行配置。你需要创建一个配置文件,其中包括网络接口、规则文件路径等信息。你可以参考官方文档或其他教程来了解如何进行配置,并根据需求进行适当的调整。 3. 下载规则文件: snort的功能依赖于规则文件,这些规则文件用于定义和检测不同类型的入侵行为。你可以选择从Snort官方网站下载规则文件,也可以选择其他第三方来源。确保规则文件的路径正确,并按照需要进行更新。 4. 启动Snort: 成功配置后,你可以使用命令启动Snort,开始监听网络流量并进行入侵检测。你可以使用命令行选项来设置不同的参数,例如日志文件路径、报警级别等。 5. 分析日志和报警信息: Snort将检测到的入侵行为记录在日志文件中。你可以使用日志分析工具来查看和分析这些日志,以了解系统中的潜在安全问题。同时,Snort还会生成报警信息,你可以通过配置报警机制来通知系统管理员或采取其他必要的措施。 需要注意的是,snort是一款相对复杂的软件,对于新手来说,可能需要一些时间和经验来熟悉和理解其工作原理。因此,在搭建过程中,你可能需要查阅更多资料、阅读相关文档,并根据实际情况进行适当的调整和优化。 最后,值得一提的是,入侵检测系统是一个不断演进和改进的过程,在实际使用中,你可能还需要学习和了解其他相关技术,例如网络安全的基础知识、其他入侵检测工具的使用等,以构建一个完善的安全防护体系。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值