注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

水滴石穿

破浪是阵风!

 
 
 

日志

 
 

windows平台用snort部署入侵检测系统IDS完整过程  

2009-07-25 10:56:50|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

一:安装所需要的软件,我们去下载最新版本

1.apache_2.2.11-win32-x86-no_ssl.msi(windows版本的apache Web服务器)

http://www.apache.org/

http://apache.mirror.phpchina.com/httpd/binaries/win32/apache_2.2.8-win32-x86-no_ssl.msi

2.php-5.2.5-Win32.zip(windows版本的php脚本环境支持)

http://www.php.net/

http://cn.php.net/distributions/php-5.2.5-Win32.zip

3.WinPcap_4_0_2.exe(windows版本的PCAP,网络数据包截取驱动程序)

http://winpcap.polito.it/

http://www.winpcap.org/install/bin/WinPcap_4_0_2.exe

4.Snort_2_8_0_2_Installer.exe(在windows平台下的snort安装包,linux平台的到官网下载)

http://www.snort.org/

http://www.snort.org/dl/binaries/win32/Snort_2_8_0_2_Installer.exe

5.mysql-5.0.51a-win32.zip(windows版本的mysql数据库服务器)

http://www.mysql.com/

http://mysql.mirror.kangaroot.net/Downloads/MySQL-5.0/mysql-5.0.51a-win32.zip

6.adodb504.tgz(ADOdb(Active Data Objects Data Base)库for PHP)

http://jaist.dl.sourceforge.net/sourceforge/adodb/adodb465.zip

http://jaist.dl.sourceforge.net/sourceforge/adodb/adodb504.tgz

7.jpgraph-2.3.4.tar.gz(php下面的图形库)

http://www.aditus.nu/jpgraph

http://hem.bredband.net/jpgraph2/jpgraph-2.3.tar.gz

8.acid-0.9.6b23.tar.gz(基于php的入侵检测数据库分析控制台)

http://www.cert.org/kb/acid

http://acidlab.sourceforge.net/acid-0.9.6b23.tar.gz

9.snortrules(snort检测规则库)

到snort官方网站下载,需要注册用户

也有不需注册的版本:http://www.snort.org/pub-bin/downloads.cgi

本人提供一个地址:

http://cert.sjtu.edu.cn/IDS/snortrules-snapshot-CURRENT.tar.gz(本文用此版本snortrules-snapshot-CURRENT_s.tar)

http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz

二:安装步骤

1.安装apache

选择custom安装,指定安装目录c:\apache

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

直到安装完成。我们验证一下

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

在安装时要注意,如果你安装了IIS并起用了web,由于IIS的默认监听端口是80,会和apache冲突,为辟免冲突我们将apache的监听端口配置成其他不常用端口如8080
默认安装后在c盘C:\apache\conf文件夹下面找到httpd.conf文件修改: Listen 80 为 Listen 8080即可

2.安装php

解压缩php-5.2.5-Win32.zip到c:\php5目录下

复制php5ts.dll文件到c:\windows\system32目录下

复制php.ini-dist至c:\windows目录下面,并改名为php.ini

在c:\apache\conf\httpd.conf文件中添加下列语句:

LoadModule php5_mudule c:/php5/php5apache2_2.dll

AddType application/x-httpd-php .php(注意空格)

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

 

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

新版本的php不需要再打php补丁了

3.添加apache对gd库的支持

修改php.ini:找到“extension=php_gd2.dll”,去掉前面的“;”

拷贝c:\php5\ext下的php_gd2.dll文件到c:\windows目录下

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

4.测试php安装是否成功

在c:\apache\htdocs目录下面新建test.php文件,用记事本打开,编辑内容为 <?phpinfo () ;?>

重新启动apache服务,点stop再点击start,如图

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

使用http://192.168.1.102/test.php测试是否安装成功,成功的界面如图,注意是5.2.5版本

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

5.安装winpcap

按照向导提示安装即可

6.安装snort

默认安装即可,安装完成后使用下面命令测试是否安装成功

c:\snort\bin> snort -W  (W为大写)

当你看到左上角有个可爱的小猪,说明你安装成功了

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

7.安装和配置mysql

安装一路next就可以按照成功,注意设置个root的密码

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

然后打开MySQL的客户端

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

将c:\snort\schemas目录下的create_mysql复制到C:\Program Files\MySQL\MySQL Server 5.0\bin目录下

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

先建立snort库和snort_archive库

create database snort;

create database snort_archive;

use snort

source create_mysql

show tables;

use snort_archive

source create_mysql

show tables;

grant all on *.* to "root"@"localhost"(注意这句的作用)

8.启用php对MySQL的支持

修改php.ini,找到"extension=php_mysql.dll",去掉前面的";"

复制c:\php5\ext下的php_mysql.dll文件到c:\windows下

复制c:\php5下的libmysql.dll文件到c:\windows\system32下

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

9.安装adodb

解压缩adodb504.tgz到c:\php5\adodb目录下

10.安装jpgraph

解压缩jpgraph-2.3.4.tar.gz到c:\php5\jpgraph

11.安装acid

解压缩acid-0.9.6b23.tar.gz到c:\apache\htdocs\acid目录下

修改acid_conf.php为下列格式,(用写字板打开)

$DBlib_path = "c:\php5\adodb";

$DBtype = "mysql"

$alert_dbname = "snort";

$alert_host = "localhost";

$alert_port = "3306";

$alert_user = "root";

$alert_password = "123"

$archive_dbname = "snort_archive";

$archive_host = "localhost";

$archive_port = "3306";

$archive_user ="root";

$archive_password = "123";

$ChartLib_path = "c:\php5\jpgraph\src";

重启apache服务

浏览器打开http://192.168.1.102/acid/acid_db_setup.php建立acid运行必须的数据库

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

鼠标点击create ACID AG,如下图

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

12.配置snort

编辑c:\snort\etc\snort.conf文件格式如下:

include classification.config

include reference.config

修改为

include c:\snort\etc\classification.config

include c:\snort\etc\reference.config

设置snort输出 alert到MySQL server

output database: alert, mysql, host=localhost user=root password=123 dbname=snort encoding=hex detail=full

修改

dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor为

dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor

修改

dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so为

dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll

如图

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

 

 

 

13.添加规则库

解压缩snortrules-snapshot-CURRENT_s.tar文件到c:\snort目录下面,覆盖原文件
14.使用下列语句来测试

c:\snort\bin>snort -c "c:\snort\etc\snort.conf" -l "c:\snort\log" -d -e -X -i 2

如果出现这样的情况:

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

按ctrl+c退出snort程序,然后输入set PCAP_FRAMES=MAX在输入snort -W

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

再输入c:\snort\bin>snort -c "c:\snort\etc\snort.conf" -l "c:\snort\log" -d -e -X -i 2即可

我们找台pc扫描这台机器,马上就会有反应了

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

浏览器打开http://192.168.1.102/acid会看到

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

到此所以任务已完成,可以放松一下了

还有要注意的

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

出现这个表示未添加规则库,添加即可

郁闷的是鄙人出现了这个

windows平台用snort部署入侵检测系统IDS完整过程 - 王欢 - 水滴石穿

折腾了一个下午,原以为什么地方修改错,一个一个检查,都没有发现问题

最后换个规则库的版本,导入后一切ok

看来rp又变好了 呵呵

祝大家顺利!

有什么不明白的可以联系我

  评论这张
 
阅读(530)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017