1. 프로그램 다운로드
Snort : http://www.snort.org/
WinPcap : http://www.winpcap.org/
2. 프로그램 설치
다운로드 받은 스노트 설치파일을 실행하여 설치한다.
설치 시 나오는 DB 설정 관련은 그냥 무시하고 제일 상단 옵션으로 설치한다.
그리고 설치경로는 이후 설정하기 편하게 기본설정인 "C:\Snort" 경로에 설치한다.
설치 후 Winpcap 설치를 하라는 메세지가 나온다. 확인 후 다운로드 받은 Winpcap 설치한다.
3. Snort 설정
Snort 설정파일은 C:\Snort\etc\snort.conf 이다.
이 파일을 수정하는데 기존 설정은 리눅스 환경으로 경로가 설정되어 있어 윈도우 환경에 맞게 수정하여야 한다.
수정할 부분은 dynamicpreprocessor, dynamicengine 항목이다.
[dynamicpreprocessor]
변경 전 : dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
변경 후 : dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor
[dynamicengine]
변경 전 : dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
변경 후 : dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll
4. Snort 실행
이제 Snort 설정이 끝났으므로 실행을 해보도록 하자. 먼저 현재 컴퓨터에 설치된 네트워크 카드를 알아보자.
실행파일 경로는 C:\Snort\bin\snort.exe 이다. 아래 명령어를 이용하여 네트워크 카드를 확인할 수 있다.
Snort.exe -W
이제 정상적으로 설정이 되었는지 확인해 보도록 하자. 명령어는 아래와 같다.
snort.exe -T -c C:\Snort\etc\snort.conf -l C:\Snort\log -i 2
각 옵션의 의미는 아래와 같다.
-T 옵션 : Snort 설정 파일 정상 여부 테스트
-l 옵션 : 로그 파일 경로
-c 옵션 : Snort 설정 파일 위치, 일반적으로 C:\Snort\etc\snort.conf.
-i 옵션 : 모니터링할 네트워크 카드의 번호. (-W 옵션을 통해 알 수 있음)
이제 테스트가 끝났으면 -T 옵션을 제외하고 실행하도록 한다. 만약 실행 시 "not using PCAP_FRAMES"이라는 메시지가 나타나면 그냥 무시.
