安裝要領：
假如你安裝好了libpcap后，對snort安裝將是很簡樸，關于libpcap的安裝說明，你可以看看blackfire(http://go.163.com/~bobdai/的一些文章，關于WINDOWS下的winpcap你可以看我站上的SNIFFERFORNT上的安裝說明。裝好libpcap后，你可以利用凡是的呼吁：

1.)./configure
2.)make
3.)makeinstall
裝好后你可以利用makeclean排除一些安裝時候發生的文件。（有些系統如freebsd已經支持了libpcap，所以很輕松，不消再裝了）。
而WINDOWS更簡樸，只要解包出來就可以了；

參數先容：
呼吁行是snort-[options]
選項：

-A配置的模式是full,fast,照舊none;full模式是記錄尺度的alert模式到alert文件中；Fast模式只寫入時間戳，messages,IPs,ports到文件中，None模式封鎖報警。
-a是顯示ARP包；
-b是把LOG的信息包記錄為TCPDUMP名目，所有信息包都被記錄為兩進制形式，名字如[email protected]，這個選項對付FAST記錄模式較量好，因為它不需要耗費包的信息轉化為文本的時間。 Snort在100Mbps網絡中利用"-b"較量好。
-c利用設置文件,這個法則文件是匯報系統什么樣的信息要LOG，可能要報警，可能通過。
-C在信息包信息利用ASCII碼來顯示，而不是hexdump，
-d解碼應用層。
-D把snort以守護歷程的要領來運行，默認環境下ALERT記錄發送到/var/log/snort.alert文件中去。-e顯示并記錄2個信息包頭的數據。
-F從文件中讀BPF過濾器（filters），這里的filters是尺度的BPF名目過濾器，你可以在TCPDump里看到，你可以查察TCPDump的man頁奈何利用這個過濾器。
-h配置網絡地點，如一個C類IP地點192.168.0.1可能其他的，利用這個選項，會利用箭頭的方法數據收支的偏向。-I利用網絡接口參數 -lLOG信息包記錄到目次中去。
-M發送WinPopup信息到包括文件中存在的事情站列表中去，這選項需要Samba的支持，wkstn文件很簡樸，每一行只要添加包括 在SMB中的主機名即可。（留意不需要兩個斜杠）。
-n是指定在處理懲罰個數據包退卻出。
-N封鎖LOG記錄，但ALERT成果仍舊正常。
-o改變所回收的記錄文件，如正常環境下回收Alert->Pass->Logorder，而回收此選項是這樣的順序：Pass->Alert->Logorder，個中Pass是那些答允通過的法則而不記錄和報警，ALERT是不答允通過的法則， 指LOG記錄，因為有些人就喜歡奇奇怪怪，象CASPER，QUACK就喜歡反過來操縱。
-p封鎖混亂模式嗅探方法，一般用來更安詳的調試網絡。
-r讀取tcpdump方法發生的文件,這個要領用來處理懲罰如獲得一個Shadow(ShadowIDS發生)文件，因為這些文件不能用一般的EDIT來編輯查察。
-sLOG報警的記錄到syslog中去，在LINUX呆板上，這些告誡信息會呈此刻/var/log/secure,在其他平臺大將呈此刻/var/log/message中去。
-S這個是配置變量值，這可以用來在呼吁行界說Snortrules文件中的變量，如你要在Snortrules文件中界說變量HOME_NET,你可以在呼吁行中給它預界說值。
-v利用為verbose模式，把信息包打印在console中，這個選項利用后會使速度很慢，香港站群服務器 美國服務器，這樣功效在記錄多的是時候會呈現丟包現象。
-V顯示SNORT版本并退出；
-？顯示利用列表并退出；

下面是一些呼吁的組合先容，雖然更多的組合你可以本身去測試：

Snort存在較量多的呼吁選項和參數，先來先容一些根基的一些呼吁，假如你想要把信息包的頭顯示在屏幕上，你可以利用：

./snort-v

這個呼吁會運行Snort和顯示IP和TCP/UDP/ICMP頭信息。我利用了ping192.168.0.1就顯示了如下信息：
06/10-10:21:[email protected];192.168.0.1
ICMPTTL:64TOS:0x0ID:4068
ID:20507Seq:0ECHO

06/10-10:21:[email protected];192.168.0.2
ICMPTTL:128TOS:0x0ID:15941
ID:20507Seq:0ECHOREPLY

06/10-10:21:[email protected];192.168.0.1
ICMPTTL:64TOS:0x0ID:4069
ID:20507Seq:256ECHO

06/10-10:21:[email protected];192.168.0.2
ICMPTTL:128TOS:0x0ID:15942
ID:20507Seq:256ECHOREPLY

假如你想要解碼應用層，就利用:

snort-vd
再次利用ping192.168.0.1就顯示了如下信息：

06/10-10:26:[email protected];192.168.0.1
ICMPTTL:64TOS:0x0ID:4076
ID:20763Seq:0ECHO
58134239E0BB050008090A0B0C0D0E0FX.B9............
101112131415161718191A1B1C1D1E1F................
202122232425262728292A2B2C2D2E2F!"#$%&()*+,-./
303132333435363701234567

06/10-10:26:[email protected];192.168.0.2
ICMPTTL:128TOS:0x0ID:15966
ID:20763Seq:0ECHOREPLY
58134239E0BB050008090A0B0C0D0E0FX.B9............
101112131415161718191A1B1C1D1E1F................
202122232425262728292A2B2C2D2E2F!"#$%&()*+,-./
303132333435363701234567

假如要看到更具體的關于有關ethernet頭的信息，就要利用：

snort-vde