windows snort怎么进入入侵检测模式

[Windows是什么意思]1、英文，Window的复数形式翻译：窗，窗户。复数：windows 造句：He stood at the window, moodily staring out. 翻译：他站在窗前，忧郁地凝视着外面。 2、Windows操作系统，中文名：视窗操...+阅读

windows snort怎么进入入侵检测模式

假设你的snort.exe位于d:\snort\bin\snort.exe。按以下步骤：

开始——运行——cmd——d：——cd snort\bin——snort

但snort一般都是配合命令来用的，要加一些选项才有效果。如（这里的路径是我电脑上的）：

snort -c c:\snort\etc\snort.conf -l c:\snort\logs -d -e -v

如果要结束，可以用Ctrl+c，则退出snort。

说一下，snort轻量级入侵检测方案，在windows下安装、配置、调试成功还是不太容易的。特别是配置和调试，你要有心理准备。

回答不容易，希望能帮到您，满意请帮忙采纳一下，谢谢！

如何编写snort的检测规则

snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力，能够进行协议分析，对内容进行搜索/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。此外，snort具有很好的扩展性和可移植性。本文将讲述如何开发snort规则。1.基础 snort使用一种简单的规则描述语言，这种描述语言易于扩展，功能也比较强大。下面是一些最基本的东西：snort的每条规则必须在一行中，它的规则解释器无法对跨行的规则进行解析。注意：由于排版的原因本文的例子有的分为两行。 snort的每条规则都可以分成逻辑上的两个部分：规则头和规则选项。规则头包括：规则行为（rule's action）、协议（protocol）、源/目的IP地址、子网掩码以及源/目的端口。规则选项包含报警信息和异常包的信息（特征码，signature），使用这些特征码来决定是否采取规则规定的行动。

这是一个例子： alert tcp any any ->192.168.1.0/24 111(content:＂|00 01 86 a5|＂;msg:＂mountd access＂；) 表1.一条简单的snort规则从开头到最左边的括号属于规则头部分，括号内的部分属于规则选项。规则选项中冒号前面的词叫做选项关键词（option keywords）。注意对于每条规则来说规则选项不是必需的，它们是为了更加详细地定义应该收集或者报警的数据包。只有匹配所有选项的数据包，snort才会执行其规则行为。如果许多选项组合在一起，它们之间是逻辑与的关系。让我们从规则头开始。1.1 include snort使用的规则文件在命令行中指定，include关键词使这个规则文件可以包含其它规则文件中的规则，非常类似与C语言中的#include。snort会从被包含的文件读出其内容，取代include关键词。格式： include注意：行尾没有分号。

1.2 varriables 在snort规则文件中可以定义变量。格式： var 例子： var MY_NET 192.168.1.0/24,10.1.1.0/24] $MY_NET any (flags:S;msg:'SYNMETA packet＂；) 表2.变量的定义和使用规则变量名可以使用多种方式来修改，你可以使用$操作符来定义元变量（meta-variables）。这些修改方式可以结合变量修改操作符：？和-来使用。$var：定义元变量 $（var）：以变量var的内容作为变量名 $（var:-default）：以变量var的内容作为变量名，如果var没有定义就使用default作为变量名 $（var:?message）：使用变量var的内容作为变量名，如果不成功就打印错误信息message并退出。例如： var MY_NET $(MYU_NET:-192.168.1.0/24) tcp any any ->$(MY_NET:?MY_NET is undefined!) 23 表3.高级变量应用2.规则头（Rule Headers）2.1 Rule Action 规则头包含一些信息，这些信息包括：哪些数据包、数据包的来源、什么类型的数据包，以及对匹配的数据包如何处理。

每条规则的第一项就是规则行为（rule action）。规则行为告诉snort当发现匹配的数据包时，应该如何处理。在snort中，有五种默认的处理方式：alert、log、pass、activate和dynamic。alert：使用选定的报警方法产生报警信息，并且记录数据包 log：记录数据包 pass：忽略数据包 activate：报警，接着打开其它的dynamic规则 dynamic：保持空闲状态，直到被activete规则激活，作为一条log规则你也可以定义自己的规则类型，把它们和一个或者几个输出插件联系在一起。然后你就可以在snort规则中使用这些规则类型了。这个例子将建立一个类型，它将只以tcpdump格式输出日志： ruletype suspicious { type log output log_tcpdump: suspocious.log } 下面这个例子将建立一个类型，把日志发送到syslog和MySql数据库： ruletype redalert { type alert output alert_syslog:LOG_AUTH LOG_ALERT output database:log,user=snort dbname=snort host=localhost }2.2 协议每条规则的第二项就是协议项。

当前，snort能够分析的协议是：TCP、UDP和ICMP。将来，可能提供对ARP、ICRP、GRE、OSPF、RIP、IPX等协议的支持。2.3 IP地址规则头下面的部分就是IP地址和端口信息。关键词any可以用来定义任意的IP地址。snort不支持对主机名的解析。所以地址只能使用数字/CIDR的形式。/24表示一个C类网络；/16表示一个B类网络；而/32表示一台特定的主机地址。例如：192.168.1.0/24表示从192.168.1.1到192.168.1.255的地址。在规则中，可以使用使用否定操作符（negation operator）对IP地址进行操作。它告诉snort除了列出的IP地址外，匹配所有的IP地址。否定操作符使用！表示。例如，使用否定操作符可以很轻松地对表1的规则进行改写，使其对从外部网络向内的数据报警。 alert tcp !192.168.1.0/24 any ->192.168.1.0/24 111(content:＂|00 01 86 a5|＂;msg:＂external mountd access＂；) 表4.使用IP地址否定操作符的规则上面这条规则中的IP地址表示：所有IP源地址不是内部网络的地址，而目的地址是内部网络地址。

你也可以定义一个IP地址列表（IP list）。IP地址列表的格式如下： [IP地址1/CIDR,IP地址/CIDR，....] 注意每个IP地址之间不能有空格。例如： alert tcp ![192.168.1.0/24,10.1.1.1.0/24] any ->[192.168.1.0/24,10.1.1.0/24] 111 (content:＂|00 01 86 a5|＂;ms...

简单的android入侵检测系统需要怎样的知识储备

如果企业在已拥有防火墙基础之上部署入侵检测系统，应首先评考虑目前的网络规模和范围以及需要保护的数据和基础设施等，由于IDS只是一种安全硬件，而且由于IDS在行为检测过程中可能会占用比较多的资源，这对于一个极小的网络来说会成为很大的负担，甚至会影响网络的使用性能。用户只有根据自身的需求进行评估后，才可以对相关的IDS或IPS进行评测考证，随后才能讨论IDS如何融入现有的安全策略中。在小型企业中，配备好一个处理能力良好的防火墙会比完备的IDS更好控制，但是防火墙只能阻止已经被限制网络通信，并不能起到很好的防护效果。而对于IDS来说可以记录不必要的通信量，虽然有时不进行阻止，但在记录中发现不明规则的同时，可以利用防火墙新建策略对其进行阻止访问，所以防火墙与IDS是功能互补，相互依赖的。

通常恶意行为在入侵一台服务器时会先侵入较低保护的系统，然后通过提权获得更高的权限直至达到入侵目的。因此用户考虑是否部署IDS产品前，应对目前服务器中存储的信息进行风险分析，不仅要考虑数据安全性，也要考虑系统结构和低风险系统到高风险系统的可侵入性。如果仅靠IDS是不会达到很好的防护效果的，用户要想IDS对网络起到很好的保护，那其设备必须安装在防火墙的两边以及网关处，让其检测无论是内部的还是外部的所有通信量，并将不同网段的检测结果进行对比，那样才能确定攻击的来源或者试图入侵的恶意代码。而对于内部攻击，可通过IDS入侵检测系统对内部网段可疑活动的检测，找到病源。当然IDS可能会产生误报，管理人员可以从恶意程序试探网络的通信数据中找到入侵的路径。...