Windows下手把手教Snort的安装与配置教程

原创 已于 2023-03-31 10:31:18 修改 · 2.1w 阅读 · 127
标签
#网络安全 #信息安全 #渗透测试
于 2022-02-07 02:53:33 首次发布
本文详细介绍了Windows下Snort的安装步骤,重点讲解了规则集的分类,包括各种应用检测、浏览器漏洞、恶意软件检测等,并指导读者如何配置snort.conf以加载规则。同时,还涵盖了黑白名单设置、动态规则库和配置文件路径调整等内容。
该文章已生成可运行项目,

也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大

少走了弯路,也就错过了风景,无论如何,感谢经历

转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球

感谢大家一直以来对我CSDN博客的关注和支持,但是我决定不再在这里发布新文章了。为了给大家提供更好的服务和更深入的交流,我开设了一个知识星球,内部将会提供更深入、更实用的技术文章,这些文章将更有价值,并且能够帮助你更好地解决实际问题。期待你加入我的知识星球,让我们一起成长和进步

Windows下手把手教Snort的安装与配置

0x01 Snort 规则集类别

  • app-detect.rules – 此类别包含查找和控制生成网络活动的某些应用程序的流量的规则。此类别将用于控制应用程序行为方式的各个方面
  • blacklist.rules – 此类别包含已确定为恶意活动指标的 URI、USER-AGENT、DNS 和 IP 地址规则。这些规则基于来自 Talos 病毒沙箱的活动、恶意 URL 的公共列表和其他数据源
  • browser-chrome.rules – 此类别包含对 Chrome 浏览器中存在的漏洞的检测。(这与“ browser-webkit ”类别是分开的,因为 Chrome 有足够的漏洞可以分解成它自己的,虽然它使用 Webkit 渲染引擎,但 Chrome 还有很多其他功能)
  • browser-firefox.rules – 此类别包含对 Firefox 浏览器或具有“Gecko”引擎的产品中存在的漏洞的检测(雷鸟电子邮件客户端等)
  • browser-ie.rules - 此类别包含对 Internet Explorer 浏览器(Trident 或 Tasman 引擎)中存在的漏洞的检测
  • browser-webkit – 此类别包含对 Webkit 浏览器引擎(Chrome 除外)中存在的漏洞的检测,包括 Apple 的 Safari、RIM 的移动浏览器、诺基亚、KDE、Webkit 本身和 Palm
  • browser-other – 此类别包含对上面未列出的其他浏览器中的漏洞的检测
  • browser-plugins – 此类别包含对浏览器中处理浏览器插件的漏洞的检测(例如:Active-x)
  • content-replace – 此类别包含任何利用 Snort 内部“替换”功能的规则
  • deleted – 当规则已被弃用或替换时,它会移至此类别。规则永远不会从规则集中完全删除,它们被移到这里
  • exploit -这是一个较旧的类别,很快就会被弃用。此类别以通用形式查找针对软件的漏洞利用
  • exploit-kit – 此类别包含专门用于检测漏洞利用工具包活动的规则。这不包括“妥协后”规则(因为那些将在indicator-comromise中)。由于访问漏洞利用工具包而丢弃的文件将位于其各自的文件类别中
  • file-executable – 此类别包含针对通过可执行文件发现或传递的漏洞的规则,无论平台如何
  • file-flash - 此类别包含针对通过闪存文件发现或传递的漏洞的规则。无论是被攻击的交付方式平台,压缩或未压缩
  • file-image - 此类别包含在图像文件中发现的漏洞的规则。无论交付方法、被攻击的软件或图像类型如何。(示例包括:jpg、png、gif、bmp 等)
  • file-identify - 此类别是通过文件扩展名、文件中的内容(文件魔术)或流量中找到的标头来识别文件。此信息通常用于然后设置要在不同规则中使用的流位
  • file-java - 此类别包含 Java 文件 (.jar) 中存在的漏洞规则
  • file-multimedia - 此类别包含多媒体文件(mp3、电影、wmv)内部存在的漏洞规则
  • file-office - 此类别包含属于 Microsoft Office 软件套件的文件中存在的漏洞规则。(Excel、PowerPoint、Word、Visio、Access、Outlook 等)
  • file-pdf – 此类别包含针对 PDF 文件内部发现的漏洞的规则。无论创建方法、交付方法或 PDF 影响的软件(例如,Adobe Reader 和 FoxIt Reader)
  • file-other – 此类别包含文件中存在的漏洞规则,不属于上述其他类别
  • indicator-compromise – 此类别包含的规则显然仅用于检测积极受损的系统,可能会出现误报
  • indicator-obfuscation– 此类别包含明确仅用于检测混淆内容的规则。就像编码的 JavaScript 规则一样
  • indicator-shellcode – 此类别包含的规则只是在流量中寻找简单的 shellcode 识别标记。这取代了旧的“shellcode.rules”
  • indicator-scan - 此类别包含仅在网络流量中寻找扫描指示的规则。这取代了旧的“ scan.rules ”
  • malware-backdoor – 此类别包含用于检测发往已知侦听后门命令通道的流量的规则。如果一个恶意软件打开一个端口并等待其控制功能的传入命令,这种类型的检测将在这里。一个简单的示例是检测 BackOrifice,因为它侦听特定端口,然后执行发送的命令
  • malware-cnc - 此类别包含已知的恶意命令和控制活动,
本文章已经生成可运行项目
最低0.47元/天 解锁文章
在Centos 7上安装Snort 2.9.15.1.pdf
07-08
在本教程中,我们展示了如何 在CentOS 7.7上安装配置snort 2.9.15.1&Swatch&ELK堆栈。 首先,更新操作系统:
27了解网络安全防护工具 Snort 的基本用法,包括数据捕获、报警
玩机科技社的博客
05-29 5848
要编写自己的规则,可以编辑/etc/snort/rules/local.rules文件并添加规则。此命令将在eth0接口上启动Snort,并使用/etc/snort/snort.conf配置文件和/var/log/snort/目录来存储日志文件。其中,-c 参数指定 Barnyard2 的配置文件,-d 参数指定 Snort 日志的存储路径,-f 参数指定 Snort 日志文件的名称。总之,Snort是一款非常强大的网络入侵检测系统,可以帮助网络管理员及时发现潜在的安全威胁,并采取相应的措施进行防御。
snort安装使用
最新发布
2301_79704829的博客
05-14 234
本文介绍了在Kali Linux中安装Snort入侵检测系统的两种方法。Snort3可通过apt直接安装,但存在规则配置问题难以解决。Snort2安装过程较为复杂,需要先安装多个依赖库,包括DAQ、LuaJIT等组件,并解决可能出现的头文件缺失问题。文中详细列出了安装步骤和常见错误的解决方法,如处理rpc.h和netdb.h缺失问题。最终通过snort-T命令测试配置有效性。作者建议使用Snort2稳定版本,Snort3的规则配置问题有待进一步探索。
Snort windows 安装
zengliguang的专栏
09-19 1881
以下是在 Windows 系统上安装 Snort 的步骤:snort.conf。
Snort 入侵检测系统搭建指南
lightningyang的博客
12-15 1461
本文详细介绍了在CentOS7系统上部署Snort入侵检测系统的完整流程。主要内容包括:1) 环境准备,安装基础依赖库和扩展包;2) 提供yum和源码两种安装方式;3) 详细配置NIDS模式,包括目录结构、权限设置和规则配置;4) 功能验证方法,包括测试规则添加和日志检查;5) 可视化平台搭建,包含MySQL数据库、Barnyard2日志转存和BASE Web管理界面的安装配置;6) 常见问题解决方案。该指南适用于网络安全人员快速部署功能完整的入侵检测系统,并提供实时监控和告警功能。
在 Ubuntu 18.04 上使用 Snort 的完整攻略
渗透测试
12-06 1144
创建并测试自定义检测规则,可以通过在 local.rules 文件中编写规则来进行。rev:1;rev:1;rev:1;itype:8;rev:1;flags:S;rev:1;nocase;规则说明:HTTP GET 请求检测:检测是否存在 HTTP GET 请求。HTTP POST 请求检测:检测是否存在 HTTP POST 请求。ICMP Ping 检测:检测是否有 ICMP Ping 请求。SSH 连接尝试检测:检测是否有 SSH 连接请求。
云安全技术——Snort安装配置
qq_53142796的博客
05-08 4146
Snort是一个开源的网络入侵检测系统,主要用于监控网络数据包并检测可能的攻击行为。它可以实时分析网络流量,识别多种类型的网络攻击,如端口扫描、DoS攻击、入侵尝试等,并对这些攻击进行警告或阻止。1.Snort的工作原理:Snort使用规则引擎来检测网络流量中的攻击行为。它可以在三个不同的模式下运行:嗅探模式、包记录模式和网络入侵检测模式。2.Snort配置文件:Snort配置文件包含全局设置、预处理器选项、输出选项以及规则集等。用户可以根据需要调整这些选项来满足自己的需求。3.
【超详细】Snort在Win-7下的安装配置及可视化
m0_58615368的博客
06-21 5973
实验做了那么久,不记录下过程都对不起我掉的头发
windows环境下snort安装
m0_53533553的博客
11-21 4749
windows环境下snort安装
Windows平台下Snort安装配置简单使用
TH_DL的博客
06-19 1万+
由于需要对网络底层进行操作,安装Snort前需要预先安装WinpCap(WIN32平台上网络分析和捕获数据包的链接库)。建议用虚拟机使用32位的系统进行操作。 若使用64位系统,尝试使用npcap替换Winpcap 相应的资源:链接:https://pan.baidu.com/s/1yIXpEOHu3vJuh2fUoDpTJA 提取码:ztcc 1.下载Windows平台下的Snort安装程序,选择安装目录为c:\Snort。进行到选择日志文件存放方式时,为简单起见,选择不需要数据库支持或者Snort默认的
snortwindows下的安装配置
lurenyi0724的博客
01-07 6060
环境:win7+snort2.8.6 1.安装npcap或者winpcap 首先安装npcap,这是因为snort对网络数据包进行捕获,需要npcap。 2.安装snort 使用安装安装snort,这里直接向下安装即可,不过需要注意snort的版本,我们这里使用的是snort2.8.6。如下图所示。因为从2.9版本开始,snort将不再支持对数据库的输出,而是需要另一个插件来实现读取日志文件,为了实现图形化界面,我们需要输出到数据库中,所以这里选择snort2.8.6。 使用snort -W命令可以查看
Snort安装配置可能遇到问题的解决方案
爱未央的博客
06-13 1万+
snort安装配置csdn其他论坛都有,这里写一下我安装配置遇到的问题。 教程仅提供给部分学生学习入侵检测时做的相关实验,不保证能成功检测到相关攻击行为(当然,配置成功后可以检测出nmap的端口扫描),望知悉。 配置环境:Windows 7 SP1,snort 2.9.16 1、Snort 2.9 配合WinpPcap 4.1.3使用亲测可行,如果遇到提示DAQ版本不高的问题可不用例会。另外,WinPcap 4.1.3已经停止更新,理论上可以选择nmap(官网指引),但是实测snort 2.9好像配置不了
WINDOWS安装Snort
热门推荐
可木的专栏
10-24 2万+
需要在WINDOWS安装Snort。过程比较麻烦,主要是配置麻烦。 有个专门介绍如何在windows安装Snort的网站,比较全面:http://www.winsnort.com/   网上有些文章介绍,但是都比较老,环境也很复杂,要用到mysql。我只想用命令行用用snort就OK了。 全面且官方的WinIDS Installation Guide:http://wenku.baid
Windows 10 系统中部署Snort
Java_fenxiang的博客
07-04 1133
本文介绍了如何在Windows系统中部署Snort入侵检测系统,包括选择Windows平台的优势、安装Snort的详细步骤、配置Snort+Barnyard2+BASE日志分析系统的方法,以及设置开机自启动等内容,旨在帮助初学者快速搭建Snort IDS平台。
windows下的snort安装
zhangxuejie的专栏
09-30 3331
这是snort官方的安装文档。The following is meant to be an easy guide to getting Snort up and running on a Windows XP PC.  Configuration of rules, deciphering Alerts and tailoring to your specific network is beyo
【入侵检测】window下安装snort
c10udz的博客
11-12 7199
Snort是一个跨平台、轻量级的网络入侵检测工具,属于基于网络的误用检测。Snort的软件模块组成:(1)数据包嗅探模块——负责监听网络数据包,对网络进行分;(2)预处理模块——该模块用相应的插件来检查原始数据包,从中发现原始数据的“行为”,如端口扫描,IP碎片等,数据包经过预处理后才传到检测引擎;(3)检测模块——该模块是Snort的核心模块。当数据包从预处理器送过来后,检测引擎依据预先设置的规则检查数据包,一旦发现数据包中的内容和某条规则相匹配,就通知报警模块;
snort 安装
qq_34272143的博客
03-12 1716
1、安装Vmware Workstation Pro 12 已完成 2、安装CentosCentOS-7-x86_64-Minimal-1511 已完成 3、安装Snort版本:snort-2.9.9.0 4、Barnyard2版本:barnyard2-1.9 5、Base版本:base-1.4.5 3月12日上午安装了CentOS,使用了linux下ld、cd、dir、cat(...
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

橙留香Park

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值