在上一篇文章中，您了解到 Snort 是什么，以及如何在系统中安装并运行它。也看到了 Snort 如何执行三种关键的基本功能：

　　包嗅探：Snort 可以针对它所在的机器监视进入和出去的包。它还可以监视它所运行的网络中大量正在传输的包。这是 Snort 最基本的功能，以包的形式检测和观察网络通信量是所有其他功能的基础。

　　包记录：Snort 不仅可以实时监视包，还可以记录这些包。日志功能可以使您手动或自动处理这些包，并记录已发生的事件。不论是否正在清理旧包来检测入侵，或是 Snort 根据所记录的内容发出软件警告，包记录功能使 Snort 从一个实时工具转到一个可以以不同形式持久存储数据的工具。

　　入侵检测：从很大程度上讲，入侵检测实际上就是结合了包嗅探和记录功能，并在其上添加一层自动智能层。一个入侵检测系统（即 IDS）具有一个包含网络状态信息的规则集，可以针对网络中可疑的状态进行监视并发出响应。

　　在本文中，我将越过基本的安装和配置知识，讨论如何 设置 Snort，以检测与 Web 相关的入侵。您将了解如何用最新的规则配置 Snort，并在后台监控服务器的行为。

　　注意：本文并非从系统管理员的角度考虑 Snort。与 Snort 相关的知识很多，它可以检测各种入侵，包括对 IRC 服务的攻击、与 Web 相关的问题，以及试图通过受保护端口访问机器的恶意代码。但是，本文实际上专门针对 Web 设计者和开发人员，为保护他们的具体项目和应用程序提出改进建议。

　　使用 Snort 分析包

编缉推荐阅读以下文章

• Snort 使用手册，第 1 部分: 安装与配置