2013年7月14日 星期日

Snort for Windows安裝紀錄

1. 作業系統環境 : Windows 7(64 bits)
2. 安裝WinPcap
3. 下載並安裝Snort http://www.snort.org/snort-downloads
4. 下載並安裝Kiwi Syslog Server http://www.kiwisyslog.com/products/kiwi-syslog-server/product-overview.aspx
5. 註冊Snort網站帳號 https://www.snort.org/signup,取得Oinkcode
6. 下載並更新Snort rules,將下載的Snort rules解壓縮至C:\Snort資料夾
7. 修改C:\Snort\etc\snort.conf設定檔
     var RULE_PATH c:\snort\rules
     var SO_RULE_PATH c:\snort\so_rules
     var PREPROC_RULE_PATH c:\snort\preproc_rules
     dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor
     dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll
     #dynamicdetection directory /usr………..
     output alert_syslog: host=127.0.0.1:514, LOG_AUTH LOG_ALERT

8. Disable "normalize_*"
     #preprocessor normalize+ip4
     #preprocessor normalize_tcp:  ips ecn stream
     #preprocessor normalize_icmp4
     #preprocessor normalize_ip6
     #preprocessor normalize_icmp6

9. 開啟cmd視窗(以系統管理員身分執行),執行C:\Snort\bin\snort -W,取得網路卡編號

10. 執行C:\Snort\bin\snort -v -iX  (X = 網路卡編號),成功後關閉此視窗

11. 執行C:\Snort\bin\snort -iX -s -l C:\Snort\log\ -c C:\Snort\etc\snort.conf -T,正常是不會有錯誤,應該會看到successfully並且正常exit,除非snort.conf設定錯誤。

12. 打開kiwi syslog server console,按下鍵盤[Ctrl]+T,測試是否有log產生。

13. 建個snort_start.bat檔,內容
       C:\Snort\bin\snort -iX -s -l C:\Snort\log\ -c C:\Snort\etc\snort.conf

14. 建立測試規則,編輯C:\Snort\rules\icmp.rules,新增規則如下
       alert icmp any any -> any any (msg:"ICMP Packet"; sid:477; rev:3)

15. 執行snort_start.batkiwi syslog server 視窗就會看到event囉。