软 件 安 装

    在你开始之前，你需要一个不仅仅能够运行Snort，而且可以作为一个无线访问点的系统。最经济的办法是使用经典的Linksys WRT54G无线路由器。WRT54G支持开源固件，它可以被被许多不同的版本所替换，从而获得增强的功能，其中包括运行Snort。另一种选择是，如果你有一个闲置不用的计算机，一个无线网卡，一个普通的以太网卡和很多空余时间，你可以把它设置为一个访问点。

Linksys WRT54G

    本篇文章将使用一个运行OpenWRT RC 2（代号White Russian）固件的WRT54G路由器来进行演示。有很多Linux版本的无线路由器固件可供使用，但是我之所以选择OpenWRT是因为它简单、轻量级。

使用中的OpenWRT固件

    我不打算在这儿对于如何安装OpenWRT进行详细的介绍，因为在OpenWRT网站上有非常好的安装文档（http://openwrt.org/OpenWrtDocs/Installing）。安装完成后，你可以通过telnet登录到路由器上。

    在OpenWRT在路由器上运行起来后，就可以下载和安装Snort Wireless程序了。这个过程可以通过OpenWRT的程序管理系统ipkg来实现，命令如下：

    ipkg install http://nthill.free.fr/openwrt/ipkg/testing/20041204/snort-wireless_2.1.1-1_mipsel.ipk

    你可能会注意到这个程序已经比较过时了，但是没什么，因为我们在入侵检测系统中所需要的大多数基本功能都具备，而且所有最近的Snort规则设置可以使用ipkg来下载（你可以访问OpenWRT相关页面来查看最近的规则集）。对于那些运行一个专门的机器作为访问点的朋友来说，你可以下载一个Snort Wireless的源代码，并在你的计算机上对其进行编译。特别值得注意的是，当你在configure的时候，加上--enable-wireless标记，否则它的Wi-Fi专用的预处理器不会起作用。

    SnortWireless的工作原理与Snort自身非常相似，不过它被特意被设计为部署在一个无线访问点上来防护无线攻击。通常来说，它包含一个新的规则协议（名字为wifi），来允许入侵检测系统正确的识别常见的无线攻击，诸如Netstumbler通信或WEP破解尝试等。使用在Snort Wireless中的这个wifi规则协议的语法与Snort的规则语法类似，只有一个例外：不是指定首选和次要主机的IP地址和端口，而是使用MAC地址。