Snort for Windows

1>安裝Winpcap。

2>安裝Snort for Windows。

3>安裝Kiwi Syslog Server。

• 免費版的Kiwi Syslog Server沒有Web Access的功能，不用裝。
• Kiwi Syslog Server可以設定syslog預設儲存的路徑還有檔案名稱，用日期和時間編號應該蠻好管理的。

4>設定Snort.conf：

• 清大anti-botnet計畫提供snort.conf下載，看完裡面的設定後，發現已經針對Windows系統進行調整，所以直接下載後丟進c:\snort\etc\snort.conf覆蓋原檔案就可以了。
• 除了php的BASE外，Kiwi Syslog Server也可以用來瀏覽Snort 發出的警訊。這部份要修改snort.conf的設定檔中的：

          output alert_syslog: host=127.0.0.1:514, LOG_AUTH LOG_ALERT

         

         *說明： 將Snort的log送到本機端的port 514，也就是Kiwi Syslog Server的預設值。

5>安裝Snort Rules：

這部份有兩個選擇，一個是使用Snort官方的rules，另外一個則是可以使用清大anti-Botnet計畫篩選過後的rules。下載成功後就丟到c:\snort\rules\中，rule的檔名要和snort.conf最下面標記的規則名稱相同才會有用。

6>啟動Snort：

• 確認Snort監聽的網卡編號(index)：

           c:\snort\bin\snort.exe -W

• 啟動Snort

            c:\snort\bin\snort -iX -s -l c:\snort\log\ -c c:\snort\etc\snort.conf 

         *上方紅色的X要修改為欲監聽的網卡號碼。

         *這個指令串可以另存成一個批次檔並加入啟動程序中，以後系統就會自動執行。

7>相關下載資訊：

• Winpcap： http://www.winpcap.org/
• Snort：  http://www.snort.org/snort-downloads?
• Kiwi Syslog Server： http://www.kiwisyslog.com/
• 清大Anti-Botnet計畫： http://www.anti-botnet.edu.tw/content/botnet_rule.php

7>參考資料：

• http://lignin278.blogspot.com/2010/10/snort-windows.html