注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

水滴石穿

破浪是阵风!

 
 
 

日志

 
 

xp下snort部署入侵检测系统ids详解步骤  

2009-07-13 10:50:49|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

需要的软件:

可以到我纳米盘下载:

"<http://www.namipan.com/d/ac1aaacf4db71003f0deab639e008eba9b8e7c16cd8ab503

详细下载地址看我前面的一篇博文,所有软件的详细地址都有

下面简单写了几个

1.apache(windows版本的apache Web服务器)

http://www.apache.org/

2.php-5.1.6(windows版本的php脚本环境支持)

http://www.php.net/

3.WinPcap(windows版本的PCAP,网络数据包截取驱动程序)

http://winpcap.polito.it/

4.Snort_2.6(在windows平台下的snort安装包,linux平台的到官网下载)

http://www.snort.org/

5.mysql-5.0.51a-win32.zip(windows版本的mysql数据库服务器)

http://www.mysql.com/

6.adodb465.tgz(ADOdb(Active Data Objects Data Base)库for PHP)

http://jaist.dl.sourceforge.net/sourceforge/adodb/adodb465.zip

7.jpgraph-2.3.4.tar.gz(php下面的图形库)

http://www.aditus.nu/jpgraph

8.acid-0.9.6b23.tar.gz(基于php的入侵检测数据库分析控制台)

http://www.cert.org/kb/acid

http://acidlab.sourceforge.net/acid-0.9.6b23.tar.gz

9.php5apache2.dll-php5.1.x.zip(用于在apache下正常显示的php补丁)

http://www.php.net

10.snortrules(snort检测规则库)

到snort官方网站下载,需要注册用户

也有不需注册的版本:http://www.snort.org/pub-bin/downloads.cgi

官方地址:http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz

二:安装步骤

1.安装apache

选择custom安装,指定安装目录c:\apache

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

直到安装完成。我们验证一下

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

在安装时要注意,如果你安装了IIS并起用了web,由于IIS的默认监听端口是80,会和apache冲突,为辟免冲突我们将apache的监听端口配置成其他不常用端口如8080

默认安装后在c盘C:\apache\conf文件夹下面找到httpd.conf文件修改: Listen 80 为 Listen 8080即可

2.安装php

解压缩php-5.1.6-Win32.zip到c:\php5目录下

复制php5ts.dll文件到c:\windows\system32目录下

复制php.ini-dist至c:\windows目录下面,并改名为php.ini

在c:\apache\conf\httpd.conf文件中添加下列语句:

LoadModule php5_mudule c:/php5/php5apache2.dll

AddType application/x-httpd-php .php(注意空格)

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

 

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

然后打php的补丁

解压缩php5apache2.dll-php5.1.x.rar到c:\php5apache2.dll-php5.1.x目录

将c:\php5apache2.dll-php5.1.x目录下的php5apache2.dll文件复制到c:\php5目录下

将c:\php5apache2.dll-php5.1.x目录下httpd.exe.manifest文件复制到c:\apache\bin目录下

运行c:\php5apache2.dll-php5.1.x目录下vcredist_x86.exe文件

若vcredist_x86.exe不能安装,则到微软官网下载dotnetfx.exe安装(.net framework 2.0框架)

3.添加apache对gd库的支持

修改php.ini:找到“extension=php_gd2.dll”,去掉前面的“;”

拷贝c:\php5\ext下的php_gd2.dll文件到c:\windows目录下

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

4.测试php安装是否成功

在c:\apache\htdocs目录下面新建test.php文件,用记事本打开,编辑内容为 <?phpinfo () ;?>

重新启动apache服务,点stop再点击start,如图

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

使用http://192.168.1.103/test.php测试是否安装成功,成功的界面如图

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

5.安装winpcap

按照向导提示安装即可

6.安装snort

默认安装即可,安装完成后使用下面命令测试是否安装成功

c:\snort\bin> snort -W  (W为大写)

当你看到左上角有个可爱的小猪,说明你安装成功了

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

7.安装和配置mysql

安装一路next就可以按照成功,注意设置个root的密码

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

然后打开MySQL的客户端

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

将c:\snort\schemas目录下的create_mysql复制到C:\Program Files\MySQL\MySQL Server 5.0\bin目录下

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

在MySQL的dos控制台中

建立snort库和snort_archive库

mysql> create database snort;

mysql> create database snort_archive;

mysql> use snort

mysql> source create_mysql

mysql> show tables;

mysql> use snort_archive

mysql> source create_mysql

mysql> show tables;

为mysql建立snort和acid账号,使idscenter或acid能访问mysql中与snort有关的数据库文件

使用语句:

mysql> grant usage on *.* to "acid"@"localhost" identified by "acidtest";

mysql> grant usage on *.* to "snort"@"localhost" identified by "snorttest";

再为snort和acid账户分配相关权限,语句:

mysql> grant select,insert,update,delete,create,alter on snort .* to "snort"@"localhost"; 

mysql> grant select,insert,update,delete,create,alter on snort .* to "acid"@"localhost"; 

mysql> grant select,insert,update,delete,create,alter on snort_archive .* to "snort"@"localhost"; 

mysql> grant select,insert,update,delete,create,alter on snort_archive .* to "acid"@"localhost"; 

 

下面几步不是必做的,现在也可以直接做第8步了

 

为安全起见,我们配置Mysql帐号为默认root 帐号添加口令:
c:\>cd mysql\bin
c:\>mysql mysql
mysql>set password for "root"@"localhost" = password("your password");

在安装Mysql5时,程序会提示你是否设置root帐号和密码中已,经默认存在root帐号了,就不用配置这步。

 
为acid拥护和snort 拥护设置密码
mysql>set password for "snort"@"localhost" = password('your password ');
mysql>set password for "acid"@"localhost" = password('your password ');



删除默认的any@%帐号
mysql>delete from user where user="" and host = "%";
mysql>delete from db where user="" and host = "%";
mysql>delete from tables_priv where user=""and host = "%";
mysql>delete from columns_priv where user="" and host = "%";
删除默认的any@localhost 帐号
mysql>delete from user where user ="" and host = "localhost";
mysql>delete from db where user = ""and host = "localhost";
mysql>delete from tables_priv where user="" and host = "localhost";
mysql>delete from columns_priv where user=""and host= "localhost";
删除默认的root@%帐号
mysql>delete from user where user = "root"and host = "%";
mysql>delete from db where user = "root" and `host` = "%";
mysql>delete from tables_priv where user= "root" and host = "%";
mysql>delete from columns_priv where user = "root" and host = "%";
这样只允许root 从localhost 连接。更多的Mysql配置资料请参考其他


 

8.启用php对MySQL的支持

修改php.ini,找到"extension=php_mysql.dll",去掉前面的";"

复制c:\php5\ext下的php_mysql.dll文件到c:\windows下

复制c:\php5下的libmysql.dll文件到c:\windows\system32下

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

9.安装adodb

解压缩adodb465.tgz到c:\php5\adodb目录下

10.安装jpgraph

解压缩jpgraph-2.1.4.tar.gz到c:\php5\jpgraph

11.安装acid

解压缩acid-0.9.6b23.tar.gz到c:\apache\htdocs\acid目录下

修改acid_conf.php为下列格式,(用写字板打开)

$DBlib_path = "c:\php5\adodb";

$DBtype = "mysql"

$alert_dbname = "snort";

$alert_host = "localhost";

$alert_port = "3306";

$alert_user = "snort";

$alert_password = "snorttest"

$archive_dbname = "snort_archive";

$archive_host = "localhost";

$archive_port = "3306";

$archive_user ="acid";

$archive_password = "acidtest";

$ChartLib_path = "c:\php5\jpgraph\src";

重启apache服务

浏览器打开http://192.168.1.103/acid/acid_db_setup.php建立acid运行必须的数据库

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

鼠标点击create ACID AG,如下图

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

12.配置snort

编辑c:\snort\etc\snort.conf文件,用写字板打开,如下:

include classification.config

include reference.config

修改为

include c:\snort\etc\classification.config

include c:\snort\etc\reference.config

设置snort输出 alert到MySQL server

output database: alert, mysql, host=localhost user=root password=123 dbname=snort encoding=hex detail=full

修改

dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor为

dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor

修改

dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so为

dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll

如图

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

 

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

 

 xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

 

13.添加规则库

解压缩snortrules-snapshot-CURRENT.tar.gz文件到c:\snort目录下面,覆盖原文件
14.使用下列语句来测试

c:\snort\bin>snort -c "c:\snort\etc\snort.conf" -l "c:\snort\log" -d -e -X -i 2

浏览器打开http://192.168.1.103/acid会看到

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

到此所以任务已完成

注意

xp下snort部署入侵检测系统ids详解步骤 - 王欢 - 水滴石穿

出现这个表示未添加规则库,添加即可

祝大家顺利!

  评论这张
 
阅读(678)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017