本文介紹了如何在Windows系統(tǒng)中部署Snort入侵檢測工具，包括選擇Windows平臺的優(yōu)勢、安裝Snort的詳細(xì)步驟、配置Snort+Barnyard2+BASE日志分析系統(tǒng)的方法，以及設(shè)置開機(jī)自啟動(dòng)等內(nèi)容，旨在幫助初學(xué)者快速搭建Snort IDS平臺。

1.平臺選擇

1.1操作界面

     新手通常對 Windows 系統(tǒng)更為熟悉，作為全球廣泛使用的桌面操作系統(tǒng)，其具備直觀的圖形界面和便捷的操作流程。在 Windows 環(huán)境下，學(xué)習(xí)者能夠充分利用已有的文件管理、軟件安裝等知識基礎(chǔ)。例如，用戶可以輕松地在資源管理器中定位軟件安裝文件，運(yùn)用熟悉的操作習(xí)慣進(jìn)行文件管理等。使得學(xué)習(xí)者在學(xué)習(xí) Snort 過程中，可有效降低因操作系統(tǒng)不熟悉而帶來的額外學(xué)習(xí)成本，將主要精力集中于 Snort 本身功能的深入理解與掌握。

1.2圖形化工具支持

Windows 系統(tǒng)為 Snort 提供了多種配套的圖形化工具，這些工具極大地便利了，新手對網(wǎng)絡(luò)流量的直觀理解和分析。以 Snort - GUI（圖形用戶界面）工具為例，允許用戶在簡潔易用的界面中實(shí)現(xiàn)對 Snort 服務(wù)的啟動(dòng)、停止操作，并能夠便捷地查看規(guī)則、日志等關(guān)鍵信息。相較于 Linux 系統(tǒng)，盡管后者也存在圖形化工具，但多數(shù)情況下，Snort 在 Linux 系統(tǒng)中的配置與管理依賴于命令行操作，對于新手而言，這種復(fù)雜性可能會(huì)提高學(xué)習(xí)門檻。

     以上這些工具，允許用戶在簡潔易用的界面中實(shí)現(xiàn)對 Snort 服務(wù)的啟動(dòng)、停止操作，并能夠便捷地查看規(guī)則、日志等關(guān)鍵信息。相較于 Linux 系統(tǒng)，盡管后者也存在圖形化工具，但多數(shù)情況下，Snort 在 Linux 系統(tǒng)中的配置與管理依賴于命令行操作，對于新手而言，這種復(fù)雜性可能會(huì)提高學(xué)習(xí)門檻。

1.3 資源獲取與安裝

     在 Windows 系統(tǒng)下，獲取并安裝 Snort 相對簡單，從官方下載頁面 https://snort.org/downloads 獲取最新安裝包。大家在購《Windows 10環(huán)境快速安裝Snort可視化系統(tǒng)》課程后，通過網(wǎng)盤下載所有資源包，運(yùn)行安裝向?qū)?，按提示完成安裝即可，無需手動(dòng)輸入復(fù)雜參數(shù)，這一過程對新手十分友好。但需注意：Windows 環(huán)境在安全性、吞吐量、內(nèi)存占用、穩(wěn)定性及配置靈活性方面存在明顯局限。為深入掌握 Snort 并規(guī)避這些短板，作者專門開發(fā)了《手動(dòng)構(gòu)建 Snort 系統(tǒng)》課程，引導(dǎo)讀者在 Linux 等更優(yōu)平臺上搭建高性能、高可靠的 Snort 環(huán)境。

2、 Windows 10安裝Snort

    為了讓初學(xué)者在Windows 10  64位系統(tǒng)環(huán)境下快速安裝Snort系統(tǒng)，我們這里采用了批處理程序來實(shí)現(xiàn)。在進(jìn)行實(shí)驗(yàn)時(shí)，請務(wù)必仔細(xì)核對實(shí)驗(yàn)環(huán)境和要求，以確保實(shí)驗(yàn)的順利進(jìn)行。

2.1實(shí)驗(yàn)環(huán)境要求

以下軟件安裝要求是筆者在長期工作實(shí)踐中總結(jié)出的關(guān)鍵點(diǎn)，大家在實(shí)驗(yàn)前務(wù)必核對自己的實(shí)驗(yàn)環(huán)境是否滿足這些要求。

1）.宿主機(jī)（物理機(jī)）應(yīng)具備至少4G內(nèi)存和50G的剩余存儲空間，建議使用8G內(nèi)存配合SSD固態(tài)硬盤以獲得更佳性能；

2）.實(shí)驗(yàn)應(yīng)在獨(dú)立的專用實(shí)驗(yàn)局域網(wǎng)中進(jìn)行；

3）.每個(gè)虛擬機(jī)應(yīng)配置一塊虛擬網(wǎng)卡，并采用橋接模式與宿主機(jī)連接；

4）.宿主機(jī)應(yīng)通過有線網(wǎng)絡(luò)與交換機(jī)連接，盡量避免使用Wi-Fi或熱點(diǎn)方式聯(lián)網(wǎng)；

5）.確保Windows版本、Snort版本以及抓包工具npcap的版本位數(shù)保持一致；

例如，若操作系統(tǒng)安裝的是Windows 10 64位版本，則系統(tǒng)中的Snort也應(yīng)使用64位版本。在下載安裝包時(shí)需特別注意，未明確標(biāo)注64位的通常為32位安裝包，而標(biāo)注為x64的則為64位安裝包，兩者不可混用。具體區(qū)分方法如圖1所示。

Snort應(yīng)安裝在D:\winids目錄下。接下來，讓我們通過一個(gè)實(shí)例來了解如何從程序名上區(qū)分32位和64位的安裝包。

圖1 Snort 32/64位安裝軟件

在圖1中，箭頭所指的兩個(gè)安裝包均為64位安裝包，其余為32位安裝包，如果弄混淆了，安裝不會(huì)報(bào)錯(cuò)，但運(yùn)行Snort時(shí)會(huì)發(fā)生故障。

2.2 安裝軟件要求

軟件需求涵蓋以下6個(gè)關(guān)鍵環(huán)節(jié)：

• 操作系統(tǒng)必須是Windows 10 專業(yè)版，并且需要全新安裝（避免潛在的配置沖突）。硬盤應(yīng)劃分為兩個(gè)分區(qū)，即C盤和D盤，其中系統(tǒng)應(yīng)安裝在C盤，并創(chuàng)建一個(gè)新用戶賬戶名為Snort，登錄用戶名也應(yīng)為Snort。請勿使用舊系統(tǒng)來替代實(shí)驗(yàn)環(huán)境；
• 請勿啟用防火墻和AntiVirus軟件；
• 請勿安裝Microsoft IIS服務(wù)；
• 對于瀏覽器的選擇，建議使用谷歌瀏覽器進(jìn)行Web配置；
• 所有批處理程序需要以管理員權(quán)限執(zhí)行；

2.3 BASE運(yùn)行要求

BASE（Basic Analysis and Security Engine）是一套由PHP程序編寫的Web應(yīng)用程序，主要用來管理入侵檢測系統(tǒng)所產(chǎn)生的日志，讓管理者能夠有效地利用此Web界面管理入侵檢測系統(tǒng)所產(chǎn)生的事件。

BASE 用來查看Snort IDS告警的Web應(yīng)用程序，該程序運(yùn)行于PHP+MySQL+Apache環(huán)境，所以我們在Windows 10下搭建運(yùn)行環(huán)境使用。

下面最小實(shí)驗(yàn)環(huán)境，僅需一臺物理機(jī)，在這臺宿主機(jī)內(nèi)安裝兩臺虛擬機(jī)，一臺VM虛擬機(jī)安裝Win10+安裝Snort，用宿主機(jī)模擬Attack。

3.搭建Snort+Barnyard2+BASE日志分析系統(tǒng)

3.1工作流程

Snort在進(jìn)入IDS工作模式之前，首先要對snort.conf配置文件進(jìn)行基礎(chǔ)設(shè)置，對一些目錄和規(guī)則輸出插件等參數(shù)進(jìn)行初始化配置，對于初學(xué)者暫時(shí)不必關(guān)注如何設(shè)置，只需要執(zhí)行一條批處理程序就能完成任務(wù)，工作流程如圖2所示。該流程圖在實(shí)際工作中具有普遍性，不但適用于Windows環(huán)境中安裝，也適用于其他操作系統(tǒng)環(huán)境中安裝。

圖2 Snort IDS工作流程

Snort設(shè)置成功的標(biāo)志是在Snort日志目錄能夠輸出merged.log.timestamp報(bào)警文件，該文件即Snort的輸出結(jié)果，又是Barnyard2的輸入數(shù)據(jù)源，如果大家在實(shí)驗(yàn)過程中沒有發(fā)現(xiàn)merged.log文件，需對之前的操作步驟進(jìn)行核查。Barnyard2讀取Snort產(chǎn)生的日志文件之后會(huì)轉(zhuǎn)儲至MySQL數(shù)據(jù)庫，最后通過BASE程序讀取數(shù)據(jù)庫展示出來實(shí)現(xiàn)Snort報(bào)警可視化。

在介紹完IDS工作流程之后，接下來我們將開始安裝系統(tǒng)。

3.2安裝與設(shè)置

步驟1: 下載并安裝素材包（初始化系統(tǒng)）

首先，掃描二維碼下載素材包。隨后，檢查虛擬機(jī)的網(wǎng)卡連接模式，并確認(rèn)磁盤分區(qū)D盤有足夠的可用空間。將素材壓縮包解壓，并放置于D:\soft-install目錄下。請注意，從步驟1至步驟13，所有必需的安裝包和腳本均應(yīng)從D:\soft-install目錄中獲取。

接下來，安裝7z1900-x64和Notepad++程序，建議使用默認(rèn)的安裝路徑。素材功能的安裝詳情請參見表1。

表1   安裝素材清單（序號不代表安裝順序）

Windows 10以上系統(tǒng)，安裝操作掃碼學(xué)習(xí)視頻：

步驟2：安裝npcap.1.6.exe

Npcap為Windows下的一個(gè)抓包程序，目前最新版本為1.7，下載地址：https://npcap.com/#download，僅支持在Windows 7以上系統(tǒng)安裝，具體安裝過程按該程序提示安裝即可。

步驟3：安裝Snort 2.9.19

將Snort程序安裝到D:\winids\。安裝完成之后開始配置Snort。安裝過程都是圖形化提示，大家根據(jù)屏幕提示操作。當(dāng)安裝完成時(shí)，會(huì)在屏幕提示“Snort has successfully installed.”

步驟4：獲取系統(tǒng)IP及監(jiān)聽網(wǎng)卡名稱

以管理員身份打開命令提示符界面，獲取主機(jī)IP地址執(zhí)行以下命令。

c:\User\snort>ipconfig

獲取當(dāng)前主機(jī)網(wǎng)卡列表輸入以下命令。

從“snort.exe -W”命令執(zhí)行結(jié)果分析，我們需監(jiān)聽第一塊網(wǎng)卡（序號為1），有可能大家在自己的實(shí)驗(yàn)環(huán)境中，輸出結(jié)果和本書顯示的不一致，例如有可能監(jiān)聽網(wǎng)卡序號為2，大家需要根據(jù)自己的實(shí)驗(yàn)環(huán)境來確定有效網(wǎng)卡的編號，這一步非常重要。

步驟5：修改snort.conf

用思維導(dǎo)圖可以清晰標(biāo)記出有哪些地方需要修改，如圖3所示。

打開新的命令行CMD控制臺，進(jìn)入D盤soft-install目錄，輸入下面的批處理命令。

D:\soft-install>2.bat   

請注意，2.bat是一個(gè)用于配置Snort的腳本，必須在安裝Snort 2.9.19之后才能運(yùn)行此批處理程序。在本實(shí)驗(yàn)中，所有的批處理文件都不應(yīng)重復(fù)執(zhí)行，也不應(yīng)通過鼠標(biāo)雙擊來啟動(dòng)。

步驟6：以IDS模式運(yùn)行Snort

以管理員身份重新打開一個(gè)終端，并執(zhí)行批處理文件3.bat。

E:\soft-install>3.bat

該命令執(zhí)行完之后，見到以下輸出信息，表示該指令執(zhí)行成功。

與此同時(shí)，當(dāng)進(jìn)入D:\winids\snort\log目錄時(shí)，發(fā)現(xiàn)新增了三個(gè)文件：merged.log.1656055015、portscan和alert.ids。其中，merged.log是二進(jìn)制格式的文件，而portscan和alert.ids則是文本格式。alert.ids文件可以被第三方程序（例如Splunk）調(diào)用以進(jìn)行分析。隨后，在Attack 上執(zhí)行了ping命令，對Snort主機(jī)進(jìn)行了ICMP flood測試。

備注：如果在此步驟中未能接收到報(bào)警，請確認(rèn)系統(tǒng)中配置的監(jiān)聽網(wǎng)卡編號是否正確。

3.3安裝AMP集成環(huán)境

AMP（Apache、MySQL、PHP）最初是為Linux環(huán)境設(shè)計(jì)的程序，現(xiàn)已成功移植到Windows平臺。在當(dāng)前階段，讀者不必深入了解AMP的技術(shù)細(xì)節(jié)，只需按照以下步驟操作，即可輕松完成安裝，實(shí)現(xiàn)“即插即用”的便捷體驗(yàn)。

步驟7：安裝Apache+PHP+MySQL集成環(huán)境

為運(yùn)行BASE程序，我們首先安裝appserv-win32-8.6.0文件。安裝路徑為D:\winids\，安裝組件保持默認(rèn)選項(xiàng)。數(shù)據(jù)庫密碼輸入“12345678”，如圖4所示。

圖4 設(shè)置數(shù)據(jù)庫密碼

安裝指南與注意事項(xiàng)：

• 自動(dòng)服務(wù)啟動(dòng)：安裝程序完成后，Apache和MySQL服務(wù)將自動(dòng)啟動(dòng)。請確保您已經(jīng)記錄并安全存儲了root用戶的密碼，以防止未來訪問權(quán)限的問題。
• 版本兼容性：請注意，appserv-win32-8.6.0版本特別適合搭建Snort+BASE實(shí)驗(yàn)環(huán)境。如果您選擇使用更高版本的appserv-win32，可能會(huì)遇到BASE程序無法正常運(yùn)行的問題。
• 替代方案推薦：phpStudy2018（phpStudy2014同樣適用）提供了與appserver相似的功能，集成了最新版的Apache、PHP、MySQL、phpMyAdmin和ZendOptimizer。這個(gè)軟件包無需額外配置，即可直接使用，為您提供了一個(gè)便捷且實(shí)用的PHP集成開發(fā)環(huán)境。

3.4 自動(dòng)安裝腳本

    新手在初次接觸Snort IDS配置時(shí)，往往容易混淆配置文件和腳本文件，導(dǎo)致調(diào)試時(shí)出現(xiàn)故障。本節(jié)將介紹一個(gè)自動(dòng)安裝腳本，它能夠?qū)?fù)雜的調(diào)試過程變得更加精確和高效。需要注意的是，以下介紹的所有批處理程序，都必須以系統(tǒng)管理員權(quán)限執(zhí)行。

安裝AppServ完成后，您需要打開一個(gè)新的終端窗口，導(dǎo)航至安裝素材目錄d:\soft-install，并運(yùn)行核心批處理文件4.password=1-8.bat。在執(zhí)行腳本的過程中，系統(tǒng)會(huì)提示您輸入密碼，此時(shí)請輸入在數(shù)據(jù)庫設(shè)置步驟中設(shè)定的root密碼“12345678”。

注意：出于實(shí)驗(yàn)的便捷性考慮，此處root密碼設(shè)置為簡單密碼。然而，在實(shí)際的網(wǎng)絡(luò)測試環(huán)境中，強(qiáng)烈建議使用更為復(fù)雜的密碼以增強(qiáng)安全性。

接著，顯示更換PHP版本的提示，我們選擇“5) PHP 5.6”。

系統(tǒng)會(huì)切換當(dāng)前PHP版本為5.6。接下來，腳本會(huì)啟動(dòng)Barnyard2.1.14連接程序。

當(dāng)見到以上提示“database:Closing connection to database “snort”后表示腳本執(zhí)行成功。此時(shí)我們可以繼續(xù)以下步驟。

注意：這個(gè)批處理執(zhí)行完成之后BASE 站點(diǎn)開始初始化設(shè)置，如圖5所示。

圖 5

后續(xù)只需依照頁面提示進(jìn)行簡易設(shè)置，即可啟用BASE。

步驟9：啟動(dòng)Barnyard2

要啟動(dòng)Barnyard程序，我們需要打開一個(gè)新的終端窗口，并切換到D:\soft-install\目錄下執(zhí)行批處理文件5.barnyard2.bat。此時(shí)，屏幕上會(huì)彈出以下提示。

如觀察到上述信息，表示數(shù)據(jù)庫已成功接收到來自Snort的報(bào)警記錄。

步驟10：查看數(shù)據(jù)庫報(bào)警記錄

請進(jìn)入d:\soft-install目錄，并執(zhí)行批處理文件6.mysql-event.bat。

腳本會(huì)提示您輸入密碼，密碼為123456。當(dāng)您看到如下提示時(shí)，意味著Snort、Barnyard2與MySQL組合架構(gòu)的系統(tǒng)聯(lián)調(diào)已經(jīng)成功。如果輸出結(jié)果為0，請終止后續(xù)實(shí)驗(yàn)，并從步驟2開始重新檢查。

步驟11：檢查Apache和MySQL數(shù)據(jù)庫的運(yùn)行狀態(tài)

在Windows 10 主機(jī)中打開瀏覽器輸入網(wǎng)址：http://127.0.0.1/ 如圖6所示。

圖6 Appserv安裝成功界面

見到圖6中顯示的“Now you running on PHP 5.6.30”表示PHP切換正常。為了查看MySQL數(shù)據(jù)庫，我們打開phpMyAdmin工具，在瀏覽器里輸入網(wǎng)址http://127.0.0.1/phpmyadmin/，驗(yàn)證對話框中用戶名root，密碼為：12345678如圖7所示。

圖7  phpMyAdmin登錄界面

在左邊菜單中找到snort數(shù)據(jù)庫，event表，如圖8所示。

圖8 查看event表

3.5安裝和設(shè)置BASE

BASE，即Basic Analysis and Security Engine的縮寫，代表基礎(chǔ)的分析與安全引擎，是一個(gè)用于瀏覽Snort IDS告警的Web應(yīng)用程序。在Windows系統(tǒng)中配置好AMP集成環(huán)境后，接下來我們只需初始化BASE，便能開始使用。

步驟13：初始化BASE

在執(zhí)行了上述步驟后，正確運(yùn)行了4.password1-8.bat程序，接著在瀏覽器中輸入網(wǎng)址http://127.0.0.1/base/，即可顯示出BASE的配置界面，如圖9所示。

圖9 設(shè)置BASE

該步驟中系統(tǒng)會(huì)調(diào)用BASE源碼包中sql目錄下create_base_tbls_mysql.sql文件（文件注釋見附件），將它導(dǎo)入snort數(shù)據(jù)庫snort表。

此時(shí)，點(diǎn)擊Create BASE AG按鈕后，顯示界面如圖2-10所示。

Tips:該步驟中系統(tǒng)會(huì)調(diào)用BASE源碼包中sql目錄下create_base_tbls_mysql.sql文件（文件注釋見附件），將它導(dǎo)入snort數(shù)據(jù)庫snort表。

SHELL操作命令：

/usr/bin/mysql -u root -p"$myrootpass" < /var/www/htdocs/base/sql/create_base_tbls_mysql.sql snort

類比命令：

/usr/bin/mysql --user=root --password=123456 < /usr/local/src/barnyard2-2-1.14/schemas/create_mysql snort

圖10 配置BASE

此時(shí)，點(diǎn)擊Main page按鈕完成設(shè)置之后，系統(tǒng)顯示BASE正常工作界面如圖2-11所示。

步驟12: 安裝PEAR繪圖功能

為了使BASE具備可視化功能，您需要安裝PEAR組件（一個(gè)開源繪圖程序）。請以系統(tǒng)管理員權(quán)限打開一個(gè)新的終端窗口，導(dǎo)航至D:\soft-install\pear-install目錄，并執(zhí)行以下命令：

D:\soft-install\pear-install>php go-pear.phar

所有提示都保持默認(rèn)。

在進(jìn)入目錄d:\winids\AppServ\php5執(zhí)行下列命令

pear install d:\soft-install\pear-install\Numbers_Roman-1.0.2.tgz

pear install d:\soft-install\pear-install\Image_Color-1.0.4.tgz

pear install d:\soft-install\pear-install\Image_Canvas-0.3.5.tgz

pear install d:\soft-install\pear-install\Image_Graph-0.8.0.tgz

見到如下提示信息表示安裝成功。

PEAR組件安裝完成之后，必須重啟Apache服務(wù)，添加的PEAR畫圖組件才能生效。最后打開Web UI界面，點(diǎn)擊Graph Alert Data按鈕。圖12所示。

圖12 啟動(dòng)Graph Alert

在彈出界面中依次選擇數(shù)據(jù)類型、顯示大小，以及開始和結(jié)束時(shí)間，參考效果如圖13所示。

圖13

到此，BASE的可視化報(bào)警模塊安裝成功，如果沒有看到顯示的圖像可以檢測PEAR是否安裝成功。

3.6 設(shè)置開機(jī)啟動(dòng)

我們已經(jīng)配置了繼承環(huán)境，包括Apache、PHP和MySQL，這些服務(wù)在開機(jī)時(shí)能夠自動(dòng)啟動(dòng)。然而，Snort和Barnyard2這兩個(gè)程序需要手動(dòng)啟動(dòng)。如果遇到意外關(guān)機(jī)，重新啟動(dòng)這些程序可能會(huì)比較繁瑣。那么，如何設(shè)置系統(tǒng)以便在開機(jī)時(shí)自動(dòng)運(yùn)行Snort和Barnyard2呢？為了達(dá)到這個(gè)目的，我們需要進(jìn)行以下配置。

步驟14:設(shè)置Snort開機(jī)自啟動(dòng)

進(jìn)入命令行控制臺，執(zhí)行以下命令：

C:>cd D:\soft-install\add-service

D:>snort –W 

再次確認(rèn)監(jiān)聽網(wǎng)卡編號，修改snort-service批處理文件中有關(guān)監(jiān)聽網(wǎng)卡的字段，腳本內(nèi)容如圖14所示。

圖14 Snort服務(wù)器腳本

此處的“-i2”參數(shù)，需要根據(jù)當(dāng)前實(shí)驗(yàn)系統(tǒng)的具體數(shù)值進(jìn)行填寫。接下來，我們將檢查本地系統(tǒng)服務(wù)的狀態(tài)，以驗(yàn)證Snort服務(wù)是否正在運(yùn)行，如圖15所示。若需手動(dòng)啟動(dòng)服務(wù)，應(yīng)點(diǎn)擊并將其設(shè)置為自動(dòng)啟動(dòng)。

圖15  查看Snort服務(wù)

步驟15：設(shè)置Barnyard2開機(jī)啟動(dòng)

設(shè)置Barnyard2開機(jī)啟動(dòng)的方法和Snort，略有不同，我們進(jìn)入D:\soft-install\add-service>目錄執(zhí)行文件auto-local-barnyard2.reg，注冊表文件，在彈出對話框中，點(diǎn)擊Y，見到成功添加注冊表的提示表示此次操作成功，如圖16所示。

圖16 導(dǎo)入barnyard啟動(dòng)腳本

接著我們需要重啟系統(tǒng)來驗(yàn)證是否滿足要求，我們打開Windows任務(wù)管理器，如圖17，此時(shí)發(fā)現(xiàn)barnyard已經(jīng)自動(dòng)運(yùn)行。

圖17 查看barnyard2進(jìn)程

接下來，我們打開瀏覽器并輸入BASE的訪問地址，以驗(yàn)證是否能繼續(xù)接收到安全事件。如果未能收到新的報(bào)警，我們需要檢查snort服務(wù)是否已自動(dòng)啟動(dòng)，以及barnyard2進(jìn)程是否正在運(yùn)行。

4.安裝總結(jié)

      對于新手而言，通過上述步驟中所提及的批處理文件已在VMware虛擬機(jī)中成功安裝并進(jìn)行了測試，基本沒有難度，主要獲取資源包后，按流程操作即可，不過有兩個(gè)關(guān)鍵點(diǎn)還是需要各位留意。

4.1關(guān)于網(wǎng)卡選擇

   若在物理機(jī)上進(jìn)行實(shí)驗(yàn)，需查明機(jī)器的監(jiān)聽網(wǎng)卡，即參照步驟4中介紹的獲取當(dāng)前系統(tǒng)IP地址及監(jiān)聽網(wǎng)卡名稱的方法。在掌握IP地址和監(jiān)聽網(wǎng)卡信息后，必須調(diào)整批處理文件中“-i”參數(shù)后所跟的數(shù)字，以確保批處理文件能正確運(yùn)行。圖18展示了在Windows 2012 Server物理機(jī)上安裝Snort的截圖。

圖18 顯示系統(tǒng)當(dāng)前網(wǎng)卡列表

可以看，出監(jiān)聽的網(wǎng)卡顯示“6 Realtek PCIe GBE Family Controler”。

我們打開腳本3.bat，將下列命令進(jìn)行適當(dāng)修改：

原始配置：snort -c d:\winids\Snort\etc\snort.conf -l d:\winids\Snort\log -i 1

修改為：snort -c d:\winids\Snort\etc\snort.conf -l d:\winids\Snort\log -i 6

修改完成后保存退出3.bat腳本。也就是說如果大家如果直接將批處理不加修改，用到你的當(dāng)前系統(tǒng)，有可能導(dǎo)致Snort因找錯(cuò)網(wǎng)卡，無法得到報(bào)警。

4.2 Snort的報(bào)警目錄

所有Snort報(bào)警數(shù)據(jù)均存儲于snort的日志目錄中。該目錄通常被稱為Spool目錄，其中包含的文件被稱為Spool文件。這些文件主要分為兩類：一類是文本格式的報(bào)警文件，它們可以使用記事本等文本編輯工具直接打開；另一類是二進(jìn)制格式的報(bào)警文件，它們以“報(bào)警文件名_時(shí)間戳”的形式存在，無法直接用常規(guī)編輯器打開。以Windows系統(tǒng)下的Snort為例：

當(dāng)Barnyard2啟動(dòng)成功會(huì)在命令提示符后Waiting for new data，如果接收到新報(bào)警會(huì)不斷從光標(biāo)處彈出，正常啟動(dòng)的狀態(tài)如圖19所示：（全文內(nèi)容出自李晨光博客 https://blog.51cto.com/chenguang/ ）

5.總結(jié)

到此這篇關(guān)于Windows系統(tǒng)中部署Snort入侵檢測工具的文章就介紹到這了,更多相關(guān)Windows系統(tǒng)中部署Snort內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論