Snort作為一個(gè)IDS（入侵檢測(cè)系統(tǒng)），是網(wǎng)絡(luò)安全防御系統(tǒng)的一個(gè)重要組件，這里，記錄下在windows 10下的安裝配置過(guò)程。
話不多說(shuō)，直接開(kāi)始吧！

環(huán)境

環(huán)境如下：

• windows 10
• Snort 2.9.17
• npcap 1.20

軟件下載

npcap下載

在官網(wǎng)點(diǎn)擊鏈接下載即可：

npcap下載

Snort下載

直接在官網(wǎng)，點(diǎn)擊鏈接下載即可:

Snort下載

規(guī)則下載

在官網(wǎng)注冊(cè)賬號(hào)并登陸，
點(diǎn)擊鏈接下載Snort規(guī)則：

規(guī)則下載

軟件安裝

npcap安裝

雙擊安裝包直接安裝即可，記得在殺軟攔截時(shí)選擇允許程序一切行為

snort安裝

同樣雙擊安裝即可

驗(yàn)證安裝結(jié)果

進(jìn)入到Snort的安裝目錄下的bin目錄，在當(dāng)前目錄下進(jìn)入cmd，輸入命令snort -ev，出現(xiàn)以下界面即為安裝成功：

驗(yàn)證snort是否安裝成功

Snort配置

規(guī)則配置

使用記事本或編輯器打開(kāi)安裝目錄下/etc/snort.conf文件，更改以下位置的配置代碼（其中的路徑改為自己的安裝目錄）：

規(guī)則配置1

規(guī)則配置2

規(guī)則配置3

規(guī)則配置4

將下載好的規(guī)則解壓，并將文件放至安裝目錄下的 rules文件夾中：

規(guī)則

Snort運(yùn)行

打開(kāi)cmd，進(jìn)入到安裝目錄下的bin目錄中，執(zhí)行命令snort -dev -l E:\softwares\Snort\log -h 192.168.1.0/24 -c E:\softwares\Snort\etc\snort.conf，即可成功運(yùn)行：

Snort運(yùn)行

錯(cuò)誤解決

• ERROR: ../etc/snort.conf(250) Missing/incorrect dynamic engine lib specifier.
  仔細(xì)檢查snort的配置是否正確，我這里是在規(guī)則配置圖2那里末尾多了個(gè)\，去掉就可以了

• Unable to open the IIS Unicode Map file './unicode.map'
  使用管理員權(quán)限運(yùn)行cmd即可，可在任意目錄執(zhí)行這個(gè)命令E:\softwares\Snort\bin\snort -dev -l E:\softwares\Snort\log -h 192.168.1.0/24 -c E:\softwares\Snort\etc\snort.conf
  

  管理員權(quán)限運(yùn)行cmd

• Unable to open address file E:\softwares\Snort\etc\../rules/white_list.rules, Error: No such file or directory
  在rules文件夾內(nèi)新建文件white_list.rules即可

• ERROR: E:\softwares\Snort\etc\snort.conf(512) => Unable to open address file E:\softwares\Snort\etc\../rules/black_list.rules, Error: No such file or directory
  同上，新建該文件即可