前々から興味はあったのだが、中々手を出せずにいたsnortをいよいよ触ってみる事にした。
手元で自由に使えるのはWindows環境だけなので、とりあえずWindows版を使う事にする。
まずはググって情報収集。「snort windows」で検索すると井原さんとこのSnort を使った侵入検知（Windows 2000）というページがヒット。*1そこでIDScenterなるフロントエンドツールを知る。
まずはこの組み合わせで行ってみよー。
snort2.0.2
IDScenter1.1rc4

それぞれインストールして、IDScenterにsnortの実行ファイルの場所を指定していきなりsnortを起動してみる。
はい、当然動きません。さて、ちゃんとドキュメント見るか。（ぉ
Snort.orgからsnort.confをダウンロードして、設定をちょこちょこ変更してから、再びsnortを起動する。今度は無事起動した。
という訳で、なんとか起動までは出来たけど、なにぶん私は英語があぼーんなので先行きは暗い事だけは間違いない。

さて、しばらく動かしておいた所、ぽちぽちアラートが上がっていた。その中に

[**] [1:1432:4] P2P GNUTella GET [**]
[Classification: Potential Corporate Privacy Violation] [Priority: 1] 
10/28-00:13:22.537438 192.168.xxx.yyy:1901 -> 66.250.62.24:10000
TCP TTL:128 TOS:0x0 ID:62751 IpLen:20 DgmLen:447 DF
 ***AP*** Seq: 0x70F1E0D7  Ack: 0x6B63BF50  Win: 0xFD80  TcpLen: 20

なんてのがあったので驚く。
今時、GNUTellaですとぉ？しかも職場からぁ？おいおい、いい度胸してんな。ってこのIPアドレスは俺のマシンじゃん。つーか、スイッチングハブに刺さってんだから自分のマシンのログなのは当たり前じゃボケ。
等と初心者っぷりを発揮していた訳なんですが、調べてみると相手のIPアドレスはスゴいカウンター様でした。(^^;
どんなルールに引っかかったのかと調べてみると、p2p.rulesの

alert tcp $HOME_NET any -> $EXTERNAL_NET !80 (msg:"P2P GNUTella GET"; flow:to_server,established; content:"GET "; offset:0; depth:4; classtype:policy-violation; sid:1432; rev:4;)

というシグネチャだった。
うーん、こりゃアバウトですなー。こんなのを見ると誤検知が山ほど出るというのも納得できますな。