Snort 使用手册，第 2 部分: 配置

　2010-01-25 00:00:00　来源：WEB开发网　　　

核心提示： 因此一个单个配置语句如下所示：preprocessorrpc_decode:11132771Snort 在这里使用了大量的关键字，但是为了配合本文的主题，Snort 使用手册，第 2 部分: 配置(6)，即提供一种实用的、基本的 Snort 方法，因此不会过多涉及这些内容，可以作为一种入侵检测程

因此一个单个配置语句如下所示：

preprocessor　rpc_decode:　111　32771

Snort 在这里使用了大量的关键字，但是为了配合本文的主题，即提供一种实用的、基本的 Snort 方法，因此不会过多涉及这些内容。但是，需要在这个文件中注意两项内容：

简短的 Snort 指令，通常包括 preprocessor 语句（关于查找内容）和用于发出警告的 output 语句（未显示在清单 4 中）。

默认的 snort.conf 文件实际上是一个功能完整的、有用的配置文件。这不是无用数据，它可用于 Snort 安装。

使用 Snort 检测入侵

准备好配置文件后，可以作为一种入侵检测程序运行 Snort（将在稍后添加规则），清单 5 展示了以 IDS 形式启动 Snort 的输出，并在前台运行。

清单 5. 作为 IDS 运行 Snort
bdm0509:/usr/local/snort-2.8.1]　sudo　snort　-de　-l　logs/　-c　etc/snort.conf　 Running　in　IDS　mode　　　　　　--==　Initializing　Snort　==--　 Initializing　Output　Plugins!　 Initializing　Preprocessors!　 Initializing　Plug-ins!　 Parsing　Rules　file　etc/snort.conf　 PortVar　'HTTP_PORTS'　defined　:　[　80　]　 PortVar　'SHELLCODE_PORTS'　defined　:　[　0:79　81:65535　]　 PortVar　'ORACLE_PORTS'　defined　:　[　1521　]　 Frag3　global　config:　　　Max　frags:　65536　　　Fragment　memory　cap:　4194304　bytes　 Frag3　engine　config:　　　Target-based　policy:　FIRST　　　Fragment　timeout:　60　seconds　　　Fragment　min_ttl:　　1　　　Fragment　ttl_limit　(not　used):　5　　　Fragment　Problems:　1　 Stream5　global　config:　　　Track　TCP　sessions:　ACTIVE　　　Max　TCP　sessions:　8192　　　Memcap　(for　reassembly　packet　storage):　8388608　　　Track　UDP　sessions:　INACTIVE　　　Track　ICMP　sessions:　INACTIVE　 Stream5　TCP　Policy　config:　　　Reassembly　Policy:　FIRST　　　Timeout:　30　seconds　　　Min　ttl:　1　　　Options:　　　　　Static　Flushpoint　Sizes:　YES　　　Reassembly　Ports:　　　　21　client　(Footprint)　　　　23　client　(Footprint)　　　　25　client　(Footprint)　　　　42　client　(Footprint)　　　　53　client　(Footprint)　　　　80　client　(Footprint)　　　　110　client　(Footprint)　　　　111　client　(Footprint)　　　　135　client　(Footprint)　　　　136　client　(Footprint)　　　　137　client　(Footprint)　　　　139　client　(Footprint)　　　　143　client　(Footprint)　　　　445　client　(Footprint)　　　　513　client　(Footprint)　　　　514　client　(Footprint)　　　　1433　client　(Footprint)　　　　1521　client　(Footprint)　　　　2401　client　(Footprint)　　　　3306　client　(Footprint)　 HttpInspect　Config:　　　GLOBAL　CONFIG　　　　Max　Pipeline　Requests:　　0　　　　Inspection　Type:　　　　　STATELESS　　　　Detect　Proxy　Usage:　　　　NO　　　　IIS　Unicode　Map　Filename:　etc/unicode.map　　　　IIS　Unicode　Map　Codepage:　1252　　　DEFAULT　SERVER　CONFIG:　　　　Server　profile:　All　　　　Ports:　80　8080　8180　　　　Flow　Depth:　300　　　　Max　Chunk　Length:　500000　　　　Max　Header　Field　Length:　0　　　　Inspect　Pipeline　Requests:　YES　　　　URI　Discovery　Strict　Mode:　NO　　　　Allow　Proxy　Usage:　NO　　　　Disable　Alerting:　NO　　　　Oversize　Dir　Length:　500　　　　Only　inspect　URI:　NO　　　　Ascii:　YES　alert:　NO　　　　Double　Decoding:　YES　alert:　YES　　　　%U　Encoding:　YES　alert:　YES　　　　Bare　Byte:　YES　alert:　YES　　　　Base36:　OFF　　　　UTF　8:　OFF　　　　IIS　Unicode:　YES　alert:　YES　　　　Multiple　Slash:　YES　alert:　NO　　　　IIS　Backslash:　YES　alert:　NO　　　　Directory　Traversal:　YES　alert:　NO　　　　Web　Root　Traversal:　YES　alert:　YES　　　　Apache　WhiteSpace:　YES　alert:　NO　　　　IIS　Delimiter:　YES　alert:　NO　　　　IIS　Unicode　Map:　GLOBAL　IIS　UNICODE　MAP　CONFIG　　　　Non-RFC　Compliant　Characters:　NONE　　　　Whitespace　Characters:　0x09　0x0b　0x0c　0x0d　 rpc_decode　arguments:　　　Ports　to　decode　RPC　on:　111　32771　　　alert_fragments:　INACTIVE　　　alert_large_fragments:　ACTIVE　　　alert_incomplete:　ACTIVE　　　alert_multiple_requests:　ACTIVE　 Portscan　Detection　Config:　　　Detect　Protocols:　TCP　UDP　ICMP　IP　　　Detect　Scan　Type:　portscan　portsweep　decoy_portscan　distributed_portscan　　　Sensitivity　Level:　Low　　　Memcap　(in　bytes):　10000000　　　Number　of　Nodes:　　36900　　 ERROR:　Unable　to　open　rules　file:　../rules/local.rules　or　etc/../rules/local.rules　 Fatal　Error,　Quitting..