Snort在win32环境下的安装
March 2003 by Rich Adamson ( radamson at routers dot com )
and updated in December 2004.

介绍
Snort入侵检测系统被开发在 Unix操作系统,其主要依赖有关Pcap的底层自由通信驱动.感谢许多支持者的努力,snort可以应用在32位新旧的NT, 2000, XP等Microsoft Windows操作系统上 .Snort为了实现Windows下的功能,要求使用相同的底层驱动——WinPcap。这个README文件是关于snort最小驱动的计划文件。
希望用户最好安装其他为snort所支持的文件,比如 IIS,Apache, 或者Snortsnarf。
可利用的:http://www.winsnort.com

Snort
如果使用snort,请按照安装说明书。

WinPcap Driver
为了实现其功能,Snort需要安装有WinPcap驱动。Snort与WinPcap v3.0已经得到广泛的测试。最近的可被下载的安装包在http://winpcap.polito.it/
在安装WinPcap中,将在system32目录下安装packet.dll 与 wpcap.dll 驱动文件。
 (注意:如果这两个文件的旧的版本存在,建议从你的系统手动删除它们,重新启动,然后安装更新的驱动。不要使用测试版的WinPcap,它可能会有错误。)

LibnetNT Driver
(Windows系统中的Libnet库。Libnet是用于构造网络包的API,LibnetNT是在Windows平台上的移植)
 确定snort的作用,特别是FlexResp的功能(允许Snort主动地关闭恶意的连接),为了完全操作snort同样需要安装合适版本的LibnetNT。Snort 2.0 与LibnetNT的测试从2003年5月开始。最近的可被下载的安装包在http://www.securitybugware.org/libnetnt/
 snort的安装包括 snort/bin目录下的 LibnetNT.dll驱动,它依赖于WinPcap驱动的运行。(注意:FlexResp程序编制于2004年12月,所以请使用前先检验它们。)

安装测试步骤:
下列步骤可以用来测试snort与其相关联的驱动的安装。
1.从命令提示符跳转到安装snort的目录  (cd \snort\bin)
2. 执行下列方法核实snort能够对WinPcap驱动进行访问: snort -W
该结果将提供可用的系统网卡列。
如果多于一个的适配器被列出,记录你希望snort 用来监测嗅探网卡的接口号;
如果该命令不能列出任何列表,那么WinPcap没有正确安装,WinPcap安装程序必须重新安装。
 (位于 http://winpcap.polito.it/的具体说明文档建议删除旧版本WinPcap 后重新启动安装最新的版本的WinPcap。)
3. 执行下列命令得出并记录已安装的 snort的版本:snort -V。
该版本号必须连同你所用的Windows操作系统种类在snort邮件列表中。
4. 下面用上面步骤2中记录下的接口号,执行snort -v -n 3 -i 2
    2可被记录下的接口号替换。
这样 snort工作在基本sniffer模式下(-v),显示从接口号(-i 2)得到的3个包头(-n 3)。
如果信息包被显示,snort可以发现底层WinPcap驱动;如果信息包无显示,驱动包未正确安装或者接口号错误。
5.如果snort功能正常,查读snort.conf配置文件。其默认安装在snort\etc目录。
更改其包含的内容:
var HOME_NET 10.1.1.0/27      (代替10.1.1.0/27为你的内部网络地址。)
 var EXTERNAL_NET !$HOME_NET   (告诉snort外部网络地址 )
 var RULE_PATH c:\snort\rules  (告诉snort安装规则的位置。)
保存该文件并执行( 调整目录路径与你的安装相匹配 )
C:\Snort\snort.exe -c "C:\snort\etc\snort.conf" -l "C:\snort\Log" -A full
                       -i 2 -d -e -X
注意:在执行上述命令前请确定在您的机器上建立c:\snort\log 目录。
如果上述命令执行后不能返回到命令提示符,运行snort监听所有在接口2(-i 2)的包,剪切匹配规则的包到C:\snort\Log目录。如果在执行后,snort终止并返回命令提示符,仔细阅读snort返回到屏幕的建议配置和规则错误等信息数据。
6. 仔细阅读包含在snort安装中的文件:snort\doc\snort_manual.pdf
 snort\doc\FAQ
注意:这2个参考文档应该可以回答你最初的95%的问题(连同其他的文本文件在snort\doc目录中)


技术笔记
1. Snort用C语言调用libpcap.lib 和 packet.lib库中的不同的程序。
如果在你的机器上卸载了老版本的WinPcap,新版本应该从上面给出的URL取得并安装。
在写这个文档的时候,snort v2.2很好的运行在 Windows 2000, 2003, 和 Windows XP上。
 有:
     system32\packet.dll     version reported: 3.0.0.18
                             dated April 4, 2003
                             size: 57,344 bytes
     system32\wpcap.dll      version reported: 3.0.0.18
                             dated April 4, 2003
                             size: 1208,896 bytes
     snort\bin\LibnetNT.dll  (no version reported)
                             dated May 2, 2003
                             size 68,161 bytes

2. 如果你打算将snort运行在多Intel处理器系统上,WinPcap v3.0是必须的。
早期的版本的库不能支持多处理器系统。不要使用测试版的WinPcap,它可能会有错误。
3.  如果你打算将snort作为系统服务始终从命令行运行,请首先保证没有配置或规则错误。当作为系统服务运行后Snort将不能报告错误,若异常中断后将没有错误的任何线索。作为系统服务运行snort的语法能简单从命令行实行snort(无命令参数)和返回显示最初的几行。

=============================================================
(1) README文件的撰写人
  Rich Adamson
    Chris Reid
(2) 其他有关安装Snort的叙述文件:
 Michael E. Steele( www.winsnort.com )准备整理和撰写了几个有关snort很好的资料。
这些文档可以从http://www.winsnort.com下载到。
2003年3月可用的安装与配置文档:
      Snort with IIS and Snortsnarf
      Snort with MySQL, IIS and ACID
      Snort with Apache and Snortsnarf
      Snort with MySQL, Apache and ACID
      Snort with Slave and Snortsnarf
      Snort with MySQL, Slave and ACID