SNORT到底是什么？

SNORT这是一个基于网络的入侵检测系统，采用C语言进行编写。 该软件由 Martin Roesch 在 1998 年开发而成。 现在，它由思科公司负责开发。 这是一款免费且开源的软件。 它还可以被用作数据包嗅探器，以实时监控系统状态。 网络管理员可以利用它来监控所有传入的数据包，从而识别出那些对系统有潜在威胁的数据包。 它基于图书馆数据包捕获工具构建的。 这些规则相对容易创建和实施，而且可以部署在任何类型的操作系统以及任何类型的网络环境中。 这款入侵检测系统之所以比其他同类产品更受欢迎，主要是因为它是一种免费且开源的软件。因此，任何用户都可以按照自己的意愿来使用它。
特点： 

• 实时交通监控
• 数据包记录
• 协议分析
• 内容匹配
• 操作系统指纹识别
• 可以安装在任何网络环境中。
• 创建日志文件
• 开源
• 这些规则很容易实施。

安装步骤： 
在Linux系统中：

• 步骤1：使用 wget 下载以下链接中的文件： https://www.snort.org/downloads/snort/snort-2.9.15.tar.gz
• 步骤2：使用 tar xvzf snort-2.9.15.tar.gz 命令来解压文件。
• 步骤3：切换到 snort-2.9.15 版本。
• 步骤4：执行以下命令： `./configure --enable-sourcefire` 然后，使用 `make` 命令进行编译。最后，使用 `sudo make install` 命令来安装该软件。

在Windows系统中：

• 步骤1：请从以下链接下载 SNORT 安装程序：https://www.snort.org/downloads/snort/Snort_2_9_15_Installer.exe
• 步骤1：执行 Snort_2_9_15_Installer.exe 文件。

不同的SNORT模式：

1. 嗅探模式 – 
   要打印 TCP/IP 头部，请使用相应的命令。./snort -v 
   若希望同时打印出IP地址以及标题信息，可以使用相应的命令。./snort -vd 
2. 数据包记录 – 
   要将数据包存储在磁盘上，你需要指定存储日志的路径。对于这条命令来说……./snort -dev -l./SnortLogs. 
3. 激活网络入侵检测模式—— 
   要开始这个模式，请使用以下命令：./snort -dev -l./SnortLogs -h 192.127.1.0/24 -c snort.conf 

SNORT中的规则类型：

在SNORT中，共有三种类型的规则。

1. 警报规则：这种方法利用了警报机制来发送通知。
2. 伐木规则：每当有警报产生时，系统就会立即将其记录下来。
3. 通过规则：如果数据包被认定为恶意文件，那么它将被忽略并丢弃。

基本用法：

• 数据包嗅探：可以通过收集在网络中传输的各个数据包，来彻底了解流量的传输方式。
• 生成警报：当检测到异常或恶意活动时，或者存在被利用的漏洞的可能性时，或者遇到可能危及组织安全政策的网络威胁时，该系统会根据配置文件中的规则发出警告。
• 调试流量：在记录下所有网络流量之后，会检查其中是否存在任何恶意数据包或配置问题。