まえがき
Snort はとても興味深いツールです。
ですが、動かせなければどんなに面白いツールであっても楽しさが分かりませんよね。
このドキュメントは、 Windows 上で Snort + IDScenter を動かす手助けになる事を目的としています。
ですので、本当に必要最小限の事しか書いていませんが、とりあえず、
このドキュメントの通りに作業すれば Snort を起動する所まではいけると思います。
Snort が動作するようになったら、後はいろいろ設定をカスタマイズして Snort で遊んでみて下さい。
そして、経験を積んだら IDScenter + Snort の設定編を書いて下さい。(笑)
本ドキュメントを書くにあたり使用したプログラムのバージョンは以下の通り
-Snort 2.0.6
-WinPcap 3.0
-IDScenter 1.1 RC4
注意:
IDScenter1.1RC4が発表された当時、Snortのバージョンは2.0.1でした。これはつまりIDScenter1.1RC4が完全に対応しているのはSnort2.0.1までという事です。そのため、IDScenter1.1RC4と最新のSnortと一緒に使おうとするとうまく動作しない可能性があります。
その場合は、エラーの原因となる設定を削除するかIDScenter1.1RC4が理解できる書式に修正する事で、2.1.x以降のSnortでもIDScenter1.1RC4と共に使用する事ができます。
現時点では、Snort2.1.x以降の設定ファイル(snort.conf)をそのまま使用した場合、IDScenterからSnortを起動しようとすると設定エラーが発生する事が確認されています。
この原因は、設定を複数行に記述するために使用する「\」をIDScenter1.1RC4が正しく処理しない事にあります。設定の行末に「\」があった場合、なんとIDScenter1.1RC4はその次の行を無視して処理をしてしまうようです。
snort.confに以下のような記述があった場合
preprocessor http_inspect: global \
iis_unicode_map unicode.map 1252
preprocessor http_inspect_server: server default \
profile all ports { 80 8080 8180 } oversize_dir_length 500
IDScenter1.1RC4が処理した結果、
preprocessor http_inspect: global \
preprocessor http_inspect_server: server default \
となってしまいます。
対応方法としてはIDScenter1.1RC4に処理させる前に「\」を除いて一行にしておくか、自分で書き直す事で正常に動作するようになります。
