Bước 4: Cài đặt Sort_2_8_5_2_Installer.exe I Agree Next Next Chọn đường dẫn cho thư mục cài đặt là C:\Snort
Tiếp theo nhấn Next Close OK
Bước 5: Copy tất cả nội dung trong thư mục:
snortrules-snapshot-CURRENT.zip ngoài Desktop vào thư mục C:\Snort
Bước 6: Mở file snort.conf trong thư mục C:\Snort\etc thay đổi nội dung như sau: Triền khai Snort trên lớp mạng C với dãy địa chỉ 192.168.1.0/24:
- Thay dòng: var HOME_NET any
Bằng: var HOME_NET 192.168.255.0/24 - Thay dòng: var EXTERNAL_NET any
Bằng: var EXTERNAL_NET !$HOME_NET Khai báo đường dẫn đến các luật
- Thay dòng: var RULE_PATH …/rules Bằng: var RULE_PATH c:\snort\rules
- Thay dòng: var PREPROC_RULE_PATH ../preproc_rules Bằng: var PREPROC_RULE_PATH c:\snort\preproc_rules - Thay dòng:
dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
Bằng:
dynamicpreprocessor directory c:snort\lib\snort_dynamicpreprocessor
- Thay dòng:
dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
Bằng: dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll - Thay dòng:
# dynamicpreprocessor file <full path to libsf_ftptelnet_prepro.so>
Bằng: dynamicpreprocessor file
c:\snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dll
- Thay dòng:
# dynamicpreprocessor file <full path to libsf_ftptelnet_prepro.so>
Bằng: dynamicpreprocessor file
c:\snort\lib\snort_dynamicpreprocessor\sf_smtp.dll
- Thay dòng :
# memcap { 10000000 } \ # sense_level { low }
Bằng:
preprocessor sfportscan: proto { all } \ memcap { 10000000 } \
sense_level { low }\ logfile {portscan.log}
- Thay dòng: # dynamicpreprocessor file <full path to libsf_ssh_prepro.so> Bằng:
dynamicpreprocessor file c:\snort\lib\snort_dynamicpreprocessor\sf_ssh.dll
- Thay dòng:
# dynamicpreprocessor file <full path to libsf_dcerpc_prepro.so>
Bằng: dynamicpreprocessor file
c:\snort\lib\snort_dynamicpreprocessor\sf_dce2.dll
- Thay dòng:
# dynamicpreprocessor file <full path to libsf_dcerpc_prepro.so>
Bằng: dynamicpreprocessor file
c:\snort\lib\snort_dynamicpreprocessor\sf_dce2.dll
- Thay dòng: # dynamicpreprocessor file <full path to libsf_dns_prepro.so> Bằng: dynamicpreprocessor file
c:\snort\lib\snort_dynamicpreprocessor\sf_dns.dll
- Phía dưới dòng: # output log_tcpdump: tcpdump.log Thêm dòng: output alert_fast: alert.ids
- Thay dòng:
# output database: log, mysql, user=root password=test dbname=db
Bằng output database: log, mysql, user=snort password=123456
dbname=snort host=localhost sensor_name=WinIDS
Khai báo các biến include classification.config và reference.config - Thay dòng : include classification.config
- Thay dòng: # include $PREPROC_RULE_PATH/preprocessor.rules Bằng : include $PREPROC_RULE_PATH/preprocessor.rules - Thay dòng : # include $PREPROC_RULE_PATH/decoder.rules
Bằng : include $PREPROC_RULE_PATH/decoder.rules - Thay dòng: # include threshold.conf
Bằng : include c:\snort\etc\threshold.conf
Lưu và đóng file snort.conf. Ta đi kiểm tra cài đặt Snort
Bước 7: Mở cửa sổ DOS và gõ lệnh cd c:\snort\bin, xem thư mục cài đặt: Tại dấu nhắt lệnh gõ: dir
Xem nội dung tập tin snort.conf Gõ lệnh type c:\snort\etc\snort.conf
Bước 8: Tại dấu nhắc lệnh, gõ snort –W. Đây là câu lệnh cho phép ta xem số liệu card mạng.
Bước 9: Tại dấu nhắc lệnh, gõ snort –v –ix, x là số hiệu card mạng có được từ bước 8. Sau đó mở trình duyệt và truy cập vào 1 trang web bất kỳ. Việc làm này là để xuất hiện các gói tin đi qua card mạng.
Bước 10: Xem kết quả bắt gói tin Hiển thị IP và TCP/UDP/ICMP header Dùng lệnh snort –v –i1
Xem thông tin truyền của các ứng dụng Dùng lệnh snort –vd –i1
Hiển thị thêm các header của gói tin tại tầng Data Link Dùng lệnh snort –dev –i1
Bước 11: Hiển thị thêm các header của gói tin tại tầng Data Link: Thực hiện lệnh: snort – dev –i 1
Kết quả hiển thị sau khi máy client ping đến
Bước 12: Bắt gói tin và lưa vào tập tin log Dùng lệnh snort –i 1 –s –l c:\snort\log