0x01 前置环境

环境	描述
windows10
snort2.9.2	https://www.snort.org/downloads

先把上面环境下载好！

需要注意的是安装npcap这个软件

---

0x02修改配置文件

软件安装目录：C:/Snort/

配置文件snort.conf（建议备份一个）

主要修改7，就是自己的规则文件设置

紧接着往下滑，可以看到ipvar HOME_NET 192.168.5.0/24 这个改成自己所在网段即可，后面的端口也可以改

由于这个配置文件默认是linux下的，所以 所有的文件位置都需要改动，将原来的Linux文件目录改成windows即可

var RULE_PATH C:\Users\Administrator\Desktop\snort-rules
var SO_RULE_PATH C:\Snort\so_rules
var PREPROC_RULE_PATH C:\Snort\preproc_rules

以下改成这样

这是第7个，改成这种，那个自己建立的规则自己写上去，把其他的删掉/注释掉（注意：这些$变量要自己修改成对应的）

0x03 自测

snort -c c:\Snort/etc/snort.conf -T

在这里需要配置下环境变量，将C:/snort/bin配置到path下（不会百度）

出现error不要怕，指定网卡即可

snort -W

再次测试成功

snort -c c:\Snort/etc/snort.conf -T -i4

0x04 使用

弄好上面，就可以开始写规则了，我把规则都写在1.rules中
下面的命令是指定网卡监测

snort -dve -i4 -l c:\Snort\log  -c c:\Snort/etc/snort.conf

下面是指定pcap检测

snort  -l c:\Snort\log  -c c:\Snort/etc/snort.conf -r C:\Users\Administrator\Desktop\pcap\5.pcap

如果你的规则写的对，不会报错，并且会在c:/snort/log 下载产生一个ids文件，看一下就知道是否可以检测的到

附：一个规则测试是否可以正常检测

alert tcp any any -> any any (msg:"test rule"; content:"GET"; content:"/";nocase;sid:123;rev:1;)

0x05 感言

这个不怎么好用，suricata用起来比较舒服