windows环境下snort的安装配置.docx
- 文档编号:9949356
- 上传时间:2023-02-07
- 格式:DOCX
- 页数:17
- 大小:1.41MB
windows环境下snort的安装配置.docx
《windows环境下snort的安装配置.docx》由会员分享,可在线阅读,更多相关《windows环境下snort的安装配置.docx(17页珍藏版)》请在冰豆网上搜索。
windows环境下snort的安装配置
在windows环境下snort的安装配置
1.安装apache2
2:
安装PHP5:
4
3)安装winpcap7
4)安装snort7
5)安装和设置mysql8
5)安装adodb:
14
6)安装jpgrapg库15
7)安装acid15
8)建立acid运行必须的数据库:
16
9)解压snortrules-snapshot-CURRENT.tar.gz到c:
\snort目录下16
10)启动snort17
11)测试snort17
Snort是一套非常优秀的IDS和网络监测系统,值得大中型网络管理者和网络安全
爱好人员去学习使用.
安装平台:
WindowsServer2003+MySQL+Apache+PHP5
需要软件包:
(以下软件包都可以从ftp上直接下载获取)
1)Snort_2_6_1_1_Installer.exeWindows版本的Snort安装包
2)snortrules-snapshot-CURRENT.tar.gzsnort规则库
3)winpcap3.1网络数据包截取驱动程序(4.0Beta2版也可)
4)acid-0.9.6b23.tar.gz基于php的入侵检测数据库分析控制台
5)mysql-5.0.27-win32.zipWindows版本的mysql安装包
6)apache.zipWindows版本的vapache安装包
7)jpgraph-2.1.4.tar.gz图形库forPHP
8)adodb465.zipADOdb(ActiveDataObjectsDataBase)库forPHP
9)php-5.2.0-Win32.zipWindows版本的php脚本环境支持
入侵检测系统的安装说明:
(注:
软件包较多。
需要细心,和耐心。
现在就开始我们的snort配置之旅吧,痛苦着并快乐着。
)
1.安装apache
安装的时候注意,如果你已经安装了IIS并且启动了WebServer,因为IIS
WebServer默认在TCP80端口监听,所以会和ApacheWebServer冲突,我们可以修改ApacheWebServer为其他端口。
也可修改iis的端口。
Apache的安装配置:
安装在此:
C:
\Apache2.2
httpd.conf是apache的配置文件。
在安装目录etc目录下可以找到。
2:
安装PHP5:
假设你的系统安装于C盘,否则下列目录均须改成相应的盘的目录。
C:
\PHP\目录下的php5ts.dll文件到C:
\windows\(如果是windows2000操作系统,则为C:
\WINNT\目录,下同,不再重复说明)目录下。
复制C:
\PHP\目录下所有dll文件于C:
\windows\system32\目录下:
PHP安装目录设为c:
\PHP,php.ini配置文件(是由php.ini-recommend文件改名生成的)根据需要修改下面两行
extension=php_mssql.dll
extension=php_mysql.dll
取消注释.(让php支持mysql数据库)
此外:
还需修改php.ini中extension_dir指定路径。
应该是:
extension_dir=c:
/php/ext(根据php安装路径中的目录名来设定)。
调用GD库取消;extension=php_gd2.dll,前面的分号。
另外需要注意:
php4和mysql5配合有问题,据说是mysql5登录方式较以前版本有变化。
所以一般选择php4+mysql4,或者php5+mysql5。
修改apache配置文件httpd.conf,作如下修改:
LoadModulephp5_module"c:
/php/php5apache2.dll"
AddTypeapplication/x-httpd-php.php
修改的内容和方式如下
Apache默认的网页文件夹在C:
\Apache2.2\htdocs
修改完成后,重启apache
在apache的htdocs目录下新建index.php,
index.php文件内容:
php
phpinfo();?
>
使用http:
//localhost/index.php
测试php是否安装成功
正常情况结果如下图:
3)安装winpcap
按向导提示完成即可(有时会提示重启计算机。
)使网卡处于混杂模式,能够抓取数据包。
4)安装snort
采用默认安装完成即可
安装完成使用下列命令行验证是否成功
C:
\Snort\bin>snort.exe-W(也可以看到所有网卡的Interface列表)
看到那个狂奔的小猪了吗?
看到了,就表示snort安装成功。
5)安装和设置mysql
设置数据库实例流程:
建立snort运行必须的snort库和snort_archive库
C:
\ProgramFiles\MySQL\MySQLServer5.0\bin>mysql-uroot-p
Enterpassword:
(你安装时设定的密码,这里使用mysql这个密码)
mysql>createdatabasesnort;
mysql>createdatabasesnort_archive;
使用C:
\Snort\schemas目录下的create_mysql脚本建立Snort运行必须的数据表
c:
\mysql\bin\mysql-Dsnort-uroot-p \snort\schemas\create_mysql c: \mysql\bin\mysql-Dsnort_archive-uroot-p \snort\schemas\create_mysql 附: 使用mysql-Dsnort-uroot–p命令进入snort数据库后,使用showtables命令可以查看已创建的表。 建立acid和snort用户,在root用户下建立 mysql>grantusageon*.*to"acid"@"localhost"identifiedby"acidtest"; mysql>grantusageon*.*to"snort"@"localhost"identifiedby"snorttest"; 为acid用户和snort用户分配相关权限 mysql>grantselect,insert,update,delete,create,alteronsnort.*to"snort"@"localhost"; mysql>grantselect,insert,update,delete,create,alteronsnort.*to"acid"@"localhost"; mysql>grantselect,insert,update,delete,create,alteronsnort_archive.*to"acid"@"localhost"; mysql>grantselect,insert,update,delete,create,alteronsnort_archive.*to"snort"@"localhost"; 5)安装adodb: 解压缩adodb360.zip至c: \php\adodb目录下 6)安装jpgrapg库 解压缩jpgraph-1.12.2.tar.gz至c: \php\jpgraph 7)安装acid 解压缩acid-0.9.6b23.tar.gz至c: \apache2\htdocs\acid目录下 修改acid_conf.php文件 $DBlib_path="c: \php\adodb"; $alert_dbname="snort"; $alert_host="localhost"; $alert_port="3306"; $alert_user="acid"; $alert_password="acidtest"; /*ArchiveDBconnectionparameters*/ $archive_dbname="snort_archive"; $archive_host="localhost"; $archive_port="3306"; $archive_user="acid"; $archive_password="acidtest"; $ChartLib_path="c: \php\jpgraph\src"; 8)建立acid运行必须的数据库: http: //你的ip地址/acid/acid_db_setup.php 按照系统提示建立–c若不成功,则将acid_db_setup.php中的建数据表语句自行提取出来在mysql数据库中建表,如下: CREATETABLEacid_ag( ag_idINTUNSIGNEDNOTNULLAUTO_INCREMENT, ag_nameVARCHAR(40), ag_descTEXT, ag_ctimeDATETIME, ag_ltimeDATETIME, PRIMARYKEY(ag_id), INDEX(ag_id)); CREATETABLEacid_ag_alert( ag_idINTUNSIGNEDNOTNULL, ag_sidINTUNSIGNEDNOTNULL, ag_cidINTUNSIGNEDNOTNULL, PRIMARYKEY(ag_id,ag_sid,ag_cid), INDEX(ag_id), INDEX(ag_sid,ag_cid)); CREATETABLEacid_ip_cache( ipc_ipINTUNSIGNEDNOTNULL, ipc_fqdnVARCHAR(50), ipc_dns_timestampDATETIME, ipc_whoisTEXT, ipc_whois_timestampDATETIME, PRIMARYKEY(ipc_ip), INDEX(ipc_ip)); CREATETABLEacid_event( sidINTUNSIGNEDNOTNULL, cidINTUNSIGNEDNOTNULL, signatureINTUNSIGNEDNOTNULL, sig_nameVARCHAR(255), sig_class_idINTUNSIGNED, sig_priorityINTUNSIGNED, timestampDATETIMENOTNULL, ip_srcINTUNSIGNED, ip_dstINTUNSIGNED, ip_protoINT, layer4_sportINTUNSIGNED, layer4_dportINTUNSIGNED, RIMARYKEY(sid,cid), INDEX(signature), INDEX(sig_name), INDEX(sig_class_id), INDEX(sig_priority), INDEX(timestamp), INDEX(ip_src), INDEX(ip_dst), INDEX(ip_proto), INDEX(layer4_sport), INDEX(layer4_dport)); 9)解压snortrules-snapshot-CURRENT.tar.gz到c: \snort目录下 编辑c: \snort\etc\snort.conf 需要修改的地方: includeclassification.config includereference.config 改为绝对路径 includec: \snort\etc\classification.config includec: \snort\etc\reference.config 设置snort输出alert到mysqlserver outputdatabase: log,mysql,user=rootpassword=mysqldbname=snort host=localhost varHOME_NET192.168.1.0/24----(你所处的网段) varRULE_PATHC: \Snort\rules-----(规则文件存放的目录) dynamicpreprocessordirectoryC: \Snort\lib\snort_dynamicpreprocessor dynamicengineC: \Snort\lib\snort_dynamicengine\sf_engine.dll 在测试之前,你要在local.rules文档里加入下面的语句: alertipanyany->anyany(msg: "IPPacketdetected";sid: 1000000;) 10)启动snort c: \snort\bin>snort-c"c: \snort\etc\snort.conf"-l"c: \snort\logs"-i2–d-e-X -X参数用于在数据链接层记录rawpacket数据 -d参数记录应用层的数据 -e参数显示/记录第二层报文头数据 -c参数用以指定snort的配置文件的路径 -i指明监听的网络接口。 11)测试snort http: //你的ip地址/acid 如果一切正常显示如下图: 终于把windows下的snort配置完了。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- windows 环境 snort 安装 配置