windows环境下snort的安装

snort

（一） windows环境下snort的安装

1、MYSQL安装。

如下图所示。

安装成功后配置mysql服务器设置：

创建表snortdb，设置用户权限：

2、apache安装

输入计算机名称和邮箱：

配置完成图示：

3、php安装

验证php图示：

4、配置PHP

修改这两条语句如下图所示：

将这两条语句前的“；”去掉。

5、安装配置adodb

将后面的（‘ADODB_DIR’，dirnamc(FILE)）;修改为（‘ADODB_DIR’，‘c:\adodb’）;如下图所示：

6、安装配置acid

打开IE浏览器，输入http://localhost/acid,

点击 Setup page，出现如下所示界面：

点击Creat ACID AG后点击Main page,出现如下所示页面：

7、安装WinPcap_4_0.exe

安装成功图示：

8、安装snort

对配置文件进行修改：

输入命令，启动，进行抓包。

（二）Windows下snort的使用

完善配置文件
（1） 打开C:\snort\etc\snort.conf
（2） 配置snort的内、外网检测范围。
将snort.conf文件中var Home_NET any语句中的any改为自己所在的子网地址，即将snort监测的内网设置为本机所在局域网。如本地IP为192.168.1.10，则将any改为192.168.1.0/24。
并将var EXTERNAL_NET any语句中的any改为！192.168.1.1/24，即将snort监测的外网改为本机所在局域网以外的网络

（3） 设置监测包含规则。
找到snort.conf文件中描述规则的部分，前面加“#”表示该规则没有启用，将local.rules之前的“#”去掉，其余规则保持不变。

2．使用控制台查看结果

3． 配置snort规则
（1） 打开C:\snort\rules\local.rules文件。
（2） 在规则中添加一条语句，实现对内网的UDP协议相关流量进行检测，并报警：udp ids/dns-version-query。
语句如下：
Alert tcp any any->$Home_NET any（msg:”udp ids/dns-version-query”;content:”version”;）

（3）重启snort和acid检测控制台，使规则生效。