<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE></TITLE>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2462.0" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial size=2>1.Search the web and install libpcap</FONT></DIV>
<DIV><FONT face=Arial size=2> - unpack it</FONT></DIV>
<DIV><FONT face=Arial size=2>Then run:</FONT></DIV>
<DIV><FONT face=Arial size=2>  - ./configure</FONT></DIV>
<DIV><FONT face=Arial size=2> - make</FONT></DIV>
<DIV><FONT face=Arial size=2> - make install</FONT></DIV>
<DIV><FONT face=Arial size=2>2. download snort (<A 
href="http://www.snort.org">www.snort.org</A>)</FONT></DIV>
<DIV><FONT face=Arial size=2> - unpack it (gzip -d <snort 
file.tar.gzip>, then tar -xvf <snortfile.tar></FONT></DIV>
<DIV><FONT face=Arial size=2>Then run</FONT></DIV>
<DIV><FONT face=Arial size=2> - ./configure</FONT></DIV>
<DIV><FONT face=Arial size=2> - make</FONT></DIV>
<DIV><FONT face=Arial size=2> - make install</FONT></DIV>
<DIV><FONT face=Arial size=2>3. Make sure when you run snort it sets your nic to 
promiscuous mode. If it doesn't then do the followingt manually before starting 
snort: ifconfig <yournic> promisc</FONT></DIV>
<DIV><FONT face=Arial size=2>4. In the installation directory find the 
snort.conf file and edit the following values:</FONT></DIV>
<DIV><FONT face=Arial size=2> - set $home_net to your lan</FONT></DIV>
<DIV><FONT face=Arial size=2> - set external_net to !$home_net</FONT></DIV>
<DIV><FONT face=Arial size=2> - set the logging to 
/var/snort/log</FONT></DIV>
<DIV><FONT face=Arial size=2> - include your dns server addresses in the 
list of ignored hosts</FONT></DIV>
<DIV><FONT face=Arial size=2> - in the bottom of the file (where you see a 
lot of 'include rules' provide a path to the rules. You'll have to download the 
rules from snort.org)</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>5. Create a 'snort' directory in the /var/log. Here 
IDS logs things.</FONT></DIV>
<DIV><FONT face=Arial size=2>6. Download snort_stat.pl from snort.org. This perl 
script will parse alert and portscan files and present it to you in nice html 
format.</FONT></DIV>
<DIV><FONT face=Arial size=2>7. Connect snort machine to internet or to internal 
lan (depends what you wanna sniff exactly)</FONT></DIV>
<DIV><FONT face=Arial size=2>8. On the switch or hub mirror firewall (or 
whatever you want to sniff)  port to port where snort machine is 
connected.</FONT></DIV>
<DIV><FONT face=Arial size=2>9.start snort like : snort -c /snort.conf 
</FONT></DIV>
<DIV><FONT face=Arial size=2>(it will automatically use full loggong feature and 
and will use default log directory /var/log/snort)</FONT></DIV>
<DIV><FONT face=Arial size=2>10. after a while run:</FONT></DIV>
<DIV><FONT face=Arial size=2>cat /var/log/snort | /snort_stat.pl -f -h > 
/alert.html (this one will create and alert.html file in the / , you can open it 
later with browser)</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>That's what I remember from the top of my head.This 
is a very basic setup, you can do much more complicated things, especially 
regarding representation of alert files.</FONT></DIV>
<DIV><FONT face=Arial size=2>hope this helps.</FONT></DIV>
<DIV><FONT face=Arial size=2>P.S. don't disregard reading FAQ on snort.org, 
though I think it misses quite a lot of things for newbies and can't be very 
useful for the bigginer.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<BLOCKQUOTE 
style="PADDING-RIGHT: 0px; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 2px solid; MARGIN-RIGHT: 0px">
  <DIV style="FONT: 10pt arial">----- Original Message ----- </DIV>
  <DIV 
  style="BACKGROUND: #e4e4e4; FONT: 10pt arial; font-color: black"><B>From:</B> 
  <A title=kw151002@...3461... 
  href="mailto:kw151002@...3461...">Wells, Kenneth L</A> </DIV>
  <DIV style="FONT: 10pt arial"><B>To:</B> <A 
  title=snort-users@lists.sourceforge.net 
  href="mailto:snort-users@lists.sourceforge.net">snort-users@...635...eforge.net</A> 
  </DIV>
  <DIV style="FONT: 10pt arial"><B>Sent:</B> Tuesday, November 06, 2001 1:56 
  PM</DIV>
  <DIV style="FONT: 10pt arial"><B>Subject:</B> [Snort-users] (no subject)</DIV>
  <DIV><BR></DIV><BR><BR>
  <UL>
    <P><I><FONT face="Courier New" color=#ff0000 size=1>Help!</FONT></I> </P>
    <P><I><FONT face="Courier New" color=#ff0000 size=1>Is there any instruction 
    on how to install Snort on Linux?</FONT></I> </P>
    <P><I><FONT face="Courier New" color=#ff0000 size=1>I'm a newbee and I need 
    help!!!</FONT></I> </P>
    <P><I><FONT face="Courier New" color=#ff0000 size=1>Please respond to <A 
    href="mailto:kw151002@...4012...">kw151002@...4012...</A></FONT></I> 
</P><BR></UL></BLOCKQUOTE></BODY></HTML>