ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

Snort安装与配置可能遇到问题的解决方案

2020-06-14 23:06:09  阅读:352  来源: 互联网

标签:解决方案 配置 报错 Snort conf 安装 snort


snort的安装配置csdn其他论坛都有,这里写一下我安装配置遇到的问题。

教程仅提供给部分学生学习入侵检测时做的相关实验,不保证能成功检测到相关攻击行为(当然,配置成功后可以检测出nmap的端口扫描),望知悉。

配置环境:Windows 7 SP1,snort 2.9.16
1、Snort 2.9 配合WinpPcap 4.1.3使用亲测可行,如果遇到提示DAQ版本不高的问题可不用例会。另外,WinPcap 4.1.3已经停止更新,理论上可以选择nmap(官网指引),但是实测snort 2.9好像配置不了,snort -W无法找到网卡。如果有成功的dalao可以留言告知,谢谢。

2、Snort没有GUI图形化界面,所有操作完全依赖CMD(终端)。安装完成官网下载的安装包后,记得下载相关的规则包,社区版的规则包不完整,建议注册个snort账户再下载完整版的(当然其他网站也能下载,不过可能没有更新),我这里用的规则包是snortrules-snapshot-2900.tar.gz,安装完成snort本体后,解压规则包到snort根目录,提示的文件全部覆盖。
在这里插入图片描述
在这里插入图片描述
3、完成安装snort和WinPcap后,cmd先定位到snort所在目录(如果是默认安装,就是C:/Snort/bin),用cd命令定位到文件夹后,先用snort -W命令检查是否安装完成,能否看到自己的网卡MAC地址,一般安装好WinPcap都可以看到。
在这里插入图片描述
4、下面就是配置snort.conf的过程了。我估计snort最早是配置在linux等相关系统的软件,因此在snort.conf中所有的路径用的都是相对路径,在Windows中,这些相对路径全部都要改成绝对路径,下面展示一下一些关键的修改部分:
../rules,../so_rules等
在这里插入图片描述
注意,这里第三个dynamicdetection directory,可能在部分规则包解压以后没有这个文件夹,先在lib下建立个同名的文件夹,然后将C:\Snort\so_rules\precompiled\FC-9\i386\2.9.0.1里的所有文件拷贝到C:\Snort\lib\snort_dynamicrules ,不一定能用,可以先试试,如果没在这里报错就可。
在这里插入图片描述
在这里插入图片描述
需要修改路径的差不多是这些地方,其他的(rules规则库等)部分也有需要修改路径的,但是不太影响实验,我就没管了。
做完这些,基本上可以说已经配置好了snort,但是在运行的时候还是会遇到很多问题,原因有很多,这里给个最简单的方法:加注释。

加注释可以解决50%的问题,当然也有加注释加多的,比如这种:
在这里插入图片描述
这种就属于加多了,有些先行条件需要用到(比如声明变量),但是被注释了,就会报错,因此需要把注释去掉,再排查问题。图中红框显示的基本上是conf的行数出错位置,可以以此排查。

其他问题总结:
1、一些情况下,snort.conf文件有部分地方出错,是由于空格问题。可以在一些赋值处增加/删除空格,比如这段:
在这里插入图片描述
2、有些命令要调整位置和填写绝对路径,比如snort –i3 -dev -l./log -h 192.168.1.0/24 -K ascii -c c:\Snort/etc/snort.conf,这条命令会报错,一个是-i3的位置,另一个是-l 命令后面需要绝对路径。可以修改为snort -dev -i3 -l C:/Snort/log -h 192.168.1.0/24 -K ascii -c c:\Snort/etc/snort.conf

3、alert.ids错误。有时候会遇到无法找到alert.ids错误,查阅资料后可能是一个软件bug。我的做法是新建一个空白文本文件,重命名为alert.ids,绕过这个报错。

4、端口扫描偶有报告说生成的portscan.log是空白的,可以再做一次nmap -sS 。

5、之前遇到了一个过多参数的错误,再nmap论坛上也没有解决方案,我这里是加了几个空格解决的,仅供参考。

总之,就像我们第一次学C语言一样,编写个hello world也能一堆报错,安装snort也一样,慢慢排查,查阅文献才能解决问题的态度,希望这篇博文可以帮助到你们,有其他问题欢迎在评论区留言。

                                                                                 ——2020.06.13

标签:解决方案,配置,报错,Snort,conf,安装,snort
来源: https://blog.csdn.net/weixin_40792413/article/details/106732657

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有