snort介绍
　　Snort是被设计用来填补昂贵的、探测繁重的网络侵入情况的系统留下的空缺。Snort是一个免费的、跨平台的软件包，用作监视小型TCP/IP网 的嗅探器、日志记录、侵入探测器。它可以运行在linux/UNIX和Win32系统上，你只需要几分钟就可以安装好并可以开始使用它。
　　　　Snort的一些功能：
　　　　- 实时通讯分析和信息包记录
　　　　- 包装有效载荷检查
　　　　- 协议分析和内容查询匹配
　　　　- 探测缓冲溢出、秘密端口扫描、CGI攻击、SMB探测、操作系统侵入尝试
　　　　- 对系统日志、指定文件、Unix socket或通过Samba的WinPopus 进行实时报警
　　　　Snort有三种主要模式：信息包嗅探器、信息包记录器或成熟的侵入探测系统。遵循开发/自由软件最重要的惯例，Snort支持各种形式的插件、扩充和定制，包括数据库或是XML记录、小帧探测和统计的异常探测等。
　　信息包有效载荷探测是Snort最有用的一个特点，这就意味着很多额外种类的敌对行为可以被探测到。
　　
　　二、所需软件包的安装以及安装
　　下在所需要的软件包
　　1.libcap
　　http://www.mirrors.wiretapped.net/security/packet-capture/libpcap/libpcap-0.8.3.tar.gz
　　2.snort
　　
　　3.snort trules
　　
　　4.openssl
　　
　　5.acid基于Web的入侵事件数据库分析控制台
　　
　　6.gd
　　
　　7.adodb为ACID提供便捷的数据库接口；
　　http://php.weblogs.com/ADODB
　　8.phplot ACID所依赖的制图库；
　　
　　9.apache
　　
　　10.mysql
　　
　　11.php(v>4.2)
　　
　　
　　开始安装：
　　
　　1.安装MySQL，
　　#addgroup mysql
　　#adduser mysql
　　然后，以mysql身份登录，执行下列命令：
　　$gzip -d -c mysql-3.23.49.tar.gz | tar xvf -
　　$cd mysql-3.23.49
　　$./configure
　　$make
　　$make install
　　
　　2.安装openssl
　　#tar zxvf openssl*
　　#cd openssl
　　#./configure
　　#make
　　#make test
　　#make install
　　
　　3.安装libpcap
　　#tar zxvf libpcap*
　　#cd libpcap-0.8.3
　　#./configure
　　如果出现：
　　configure: warning: cannot determine packet capture interface
　　configure: warning: (see INSTALL for more info)
　　说明需要编译系统内核，使其对CONFIG_PACKET支持
　　#make
　　#make install
　　
　　4.安装snort
　　#tar zxvf snort*
　　#cd snort-2.2.0
　　#./configure --enable-flexresp --with-mysql=/usr/local/mysql --with-openssl=/usr/local/ssl
　　支持mysql，持openssl 还有更多的一些选项，可以参见tarball文档　　
　　如果出现：
　　ERROR! Libpcre header not found, go get it from
　　请下载lib库安装即可。
　　如果出现：
　　ERROR! Libnet header not found
　　请下载安装即可。
　　如果已经安装，可以用--with-libnet-* 选项
　　#make
　　#make install
　　
　　5.安装apache
　　#./configure --prefix=/usr/local/apache --enable-so
　　#make
　　#make install
　　
　　6.安装gd
　　首先安装为PHP提供既时生成PNG和JPG图象功能的GD库：
　　#gzip -d -c gd-2.0.28.tar.gz | tar xvf -
　　#cd gd-2.0.28
　　#make
　　#make install
　　
　　7.安装php
　　#gzip -d -c php-4.3.2.tar.gz | tar xvf -
　　#cd php-4.3.2
　　#./configure -with-mysql=/usr/local/mysql \
　　--with-apxs=/usr/local/apache/bin/apxs \
　　--with-gd=/usr/local
　　#make
　　#make install
　　
　　8.安装ACID
　　该部分的安装工作具体包括三个软件包：adodb452.tar.gz、phplot-5.0rc1.tar.gz和acid- 0.9.6b23.tar.gz 。安装过程十分简单，只需分别将这三个软件包解压缩并展开在Apache服务器的文档根目录下即可，具体操作
　　如下所示：(本服务器的文档目录为/www/ids)
　　#cd /www/ids/
　　#gzip -d -c adodb452.tar.gz | tar xvf -
　　#gzip -d -c phplot-5.0rc1.tar.gz | tar xvf -
　　#gzip -d -c acid-0.9.6b23.tar.gz | tar xvf -
　　
　　然后开始配置工作，转到acid目录下编辑ACID的配置文件：acid_conf.php给下列变量赋值：
　　$Dblib_path="../adodb"
　　$DBtype="mysql"
　　$alert_dbname="snort"
　　$alert_host="localhost"
　　$alert_port="3306"
　　$alert_user="root"
　　$alert_password="123"
　　$archive_dbname="snort"
　　$archive_host="localhost"
　　$archive_port="3306"
　　$archive_user="root"
　　$archive_password="123"
　　$ChartLib_path="../phplot"
　　$Chart_file_format="png"
　　$portscan_file="/var/log/snort/portscan.log"
　　好，到此，所需软件安装完成，下面进入snort的设定与启动
　　
　　三、snort的设定与启动
　　我们可以把Snort运做在chroot的环境中，设定也是很简单，首先，可以选定一个有足够位置放置Snort的Log的地方，如果您会定期检查及清除Log文档，您可以把Snort的chroot环境放在/home/snort中，然后需要的是一个
　　snort使用者，执行以下的指令新增Snort这个用者：
　　# groupadd snort
　　# useradd -g "snort" -d "/home/snort" -s "/nonexists" -c "Snort User" snort
　　
　　然后，把snortrules.tar.gz这个文件解压在/home/snort中，解压了snortrules包后，在/home/snort/ 內有rules文件出现，这就是Snort使用的Ruleset，这些Ruleset就是供Snort用作侦测任何网络反映的基础。在rules中有一个 是"snort.conf"，它是Snort的配置文件，需要按实际情况修改snort.conf。
　　在 snort.conf 中，需要修改几个地方便可以执行 Snort，以下是可能需要修改的地方：
　　
　　- var HOME_NET
　　网络或是主机的 IP，例如只有这一台服务器，就可以只输入服务器的 IP 地址，如果机器有两个以上的 IP，
　　可以使用这个方法：
　　var HOME_NET [192.168.1.1,192.168.1.2]
　　或是
　　var HOME_NET 192.168.1.0/24
　　
　　-var SMTP [IP.Address]
　　SMTP 服服器的位置，如果与 HOME_NET 中的不同，只需把 $HOME_NET 移除，并加其指定 SMTP 机器的IP便可以。
　　- var HTTP_SERVERS
　　HTTP 服服器，与 SMTP 中的设定相同，如成为 Web Server 的不是 HOME_NET 机器，可以指定给其他的 IP。
　　- var DNS_SERVERS
　　DNS 服务器的IP地址，同时需要 Uncomment 以下一行：
　　preprocessor portscan-ignorehosts: $DNS_SERVERS
　　这可以防止因为 DNS 的 Lookup 而记录无用的 PortScan 。
　　
　　最后是有关记录部份的配置，刚才编译Snort时加入了"MySQL"的支持，为了使用 MySQL 记录，先要在 MySQL中
　　
　　建立 Snort 使用的 Databases、用者名及密码，执行以下命令：
　　# echo "CREATE DATABASE snort;" | mysql -u root -p
　　# grant INSERT,SELECT on snort.* to snort@localhost
　　然后在 Snort 的源始码內找到 "contrib/create_mysql"，再执行以下命令建立 Tables
　　# mysql -u root -p < create_mysql
　　
　　完成后，別忘记在 snort.conf 中也要启动 MySQL 的支持，简单地 Uncomment 以下：
　　在454行：
　　output database: log, mysql, user=snort password=123 dbname=snort host=localhost
　　在493行：
　　ruletype redalert
　　{
　　type alert
　　output alert_syslog: LOG_AUTH LOG_ALERT
　　output database: log, mysql, user=snort dbname=snort host=localhost
　　}
　　
　　四，执行snort
　　一切准备工作都做好了，那么现在开始让snort运行起来了哦：）
　　但在这之前请：
　　#mkdir /var/log/snort
　　#chown snort.snort /var/log/snort
　　现在开始 cd 进入 /home/snort 內，然后打入这个命令：
　　/home/snort #snort -b -d -i eth0 -u snort -g snort -c /home/snort/rules/snort.conf -l /var/log/snort &
　　-u 功能是使 snort 由 "snort" 这个使用者执行，进入 chroot 的用者环境
　　-c 指定使用的指定目录
　　& 只是在背景中执行 　
　　
　　五、SNORT规则编写简介
　　一条Snort规则可以分为前后两个部分，规则头和后面的选项部分。规则头包含有匹配后的动作命令、协议类型、以及选择流量的四元组（源目的IP及源 目的端口）。规则的选项部分是由一个或几个选项的符合，所有主要选项之间是与的关系。选项之间可能有一定的依赖关系，选项主要可以分为四类，第一类是数据 包相关各种特征的描述选项，比如：content、fla gs、dsize、ttl等；第二类是规则本身相关一些说明选项，比如：reference、sid、classtype、priority等；
　　
　　第三类是规则匹配后的动作选项，比如：msg、resp、react、session、logto、tag等；第四类是选项是对某些选项的修饰，比如 从属于content的nocase、offset、depth、regex等。由于snort的规则语言语法非常简单，所以可以对新发现的攻击作出快速 的反应，迅速开发新的snort规则。编写新的规则，最重要的是知道新攻击的特征码。要得到一个新的攻击的特征码，一般的方法就是进行实际的测试。对一个 测试网络进行攻击，使用snort记录在攻击主机和测试网络之间的数据流。然后，对记录的数据进行分析得到其唯一的特征码，最后把得到的特征码加入到规则 中。下面是IMAP缓冲区溢出攻击被记录下的数据包：
　　--------------------------------------------------------------------------
　　052499-22:27:58.403313 192.168.1.4:1034 -> 192.168.1.3:143
　　TCP TTL:64 TOS:0x0 DF
　　***PA* Seq: 0x5295B44E Ack: 0x1B4F8970 Win: 0x7D78
　　90 90 90 90 90 90 90 90 90 90 90 90 90 90 EB 3B ...............;
　　5E 89 76 08 31 ED 31 C9 31 C0 88 6E 07 89 6E 0C ^.v.1.1.1..n..n.
　　B0 0B 89 F3 6E 08 89 E9 6E 0C 89 EA CD 80 .....n....n.....
　　31 DB 89 D8 40 CD 80 90 90 90 90 90 90 90 90 90 1...@...........
　　90 90 90 90 90 90 90 90 90 90 90 E8 C0 FF FF FF ................
　　2F 62 69 6E 2F 73 68 90 90 90 90 90 90 90 90 90 /bin/sh.........
　　---------------------------------------------------------------------------
　　这个攻击的特征码就是/bin/sh字符串及其前面的机器代码。这实际上是一个shellcode。四用这些信息可以很快开发出一条新的规则：
　　alert tcp any any -> 192.168.1.0/24 143 (content:"|E8C0 FFF FF|/bin/sh";
　　msg:"New IMAP Buffer Overflow detected!"
　　其中的特征码含有文本和16进制两种形式，它们以|分割，snort运行时都被转换为二进制形式。
　　至此，LINUX下的Snort 安装建立成功。结果可以直接从WEB界面上看到，一套完整的IDS系统就可以正常运行了。
　　
　　六，结束语
　　Snort 的设定与安装都是很简单的，尽管 Snort 所做的不外是记录及提供侦测，可是这个工作却不可以忽視，很多公司都有设定有防火墙，而防火所做的是帮您防止多数的攻击，加上使用 Snort 的強大IDS功能，网络管理员可以即随时知道一切 Cracker、Lamer 对公司网络的攻击，而同时可以改变防火墙的Rules，阻止外来的攻击，这是单一防火墙不能为的。