Windows平台下snort入侵检测系统安装

1、作者：Pan Hon glia ng仅供个人学习Windows平台下基于 snort的入 侵检测系统安装首先我们需要安装snort所需的的软件包（貌似王老师都给我们了 A_A）:1、Snort_2_6_1_3_lnstaller （在 windows平台下的 snort貌似最新版本八_八）2、WinPcap_4_0 （windows版本的PCAP，用于snort的抓包程序，一定要安装，不然不会支持snort的抓包）3、mysql-5O27-Setup.exe （ windows版本的 mysql数据库服务器）4、ACID （基于php的入侵检测数据库分析控制台）5、adodb（提供通用数据访问

2、库for PHP）6、apache_2.2.4-win32-x86-no_ssl（windows版本的 apache Web服务器）7、（windows版本的 php 脚本环境支持）8、create_mysql （一个脚本文件，它可以创建 snort所需要的几乎所有表格和 数据库结构，这个老师也给了，如果没有的话，可以在安装Snort_2_6_1_3_lnstaller后，在snort安装文件中的shemas文件夹中可以找到） 友情小贴士 ： idscenter以及openshh就不需要安装了，因为没涉及到考试范围A AA AA AA AA AA AA A准备好安装snort所需的软件之后，我

3、们就开始进行 snort的初步架设以及测试 本人安装的软件都以安装在 C盘下为例，如有需要，你可以另外安装到其他 路径，只要注意安装到哪，路径是哪就行） 第一步，我先安装了 MYSQL开始安装mysql然后出现安装类型，Typical代表典型安装 Complete代表完全安装 Custom代表自定义安装在这里我选择了自定义安装Custom，这是为了自己可以修改安装路径，为了安装的简便性 之后，我们可以更改安装路径点击 change按钮自定义安装路径，我就这样安装了之后就可以一直Next下去，安装安装完后会出现一个MYSQL要求注册的页面，那当然我们不需要注册就选择跳过再Next下一步，继续对

4、MYSQL进行一些配置Finish，进入下一步配置页面会出现配置类型 Detailed Configuration细节配置和Standard Configuration 标准配置在这里，我就偷懒选择了 Standard Configuration标准配置（不会影响到实验 的安装的，不用担心，a_a）然后下一步进入到启拥艮务界面，这个页面的配置是默认的，意思是说让MYSQL随windows启动而启动，我们直接下一步好了再下一步就是给MYSQL的超级管理员Root设置密码，这个密码在后面进入 MYSQL配置界面需要输入，所以请大家记住！密码可以随意设置我这里就设置密码为123456接着我们下一步

5、这个界面的意思是确定好了各项设置然后最后来执行我们就选择Execute 来执行好了，那么MYSQL就成功的安装到我们的机器中了 （截图真的是好累啊-_- -_-_-_-）接下来，我们要进入到 MYSQL数据库环境中做一些设置，然后我们可以从下 图的方式登录MYSQL（步骤是 开始程序MYSQL MYSQL5.0 MYSQLCommandLine client ）进入到MYSQL数据库环境配置窗口，输入我们开始为MYSQL数据库的超级管理员所设置的密码（我当时设置的密码是123456）之后，我们就进入到了 MYSQL的配置语句环境中接下来我们要做的是为MYSQL提供snort测试所需要的数据来创

6、建一个数据库，在这里我就创建名为snortdb的数据库仓 U建的命令为 create database snortdb;注意MYSQL中，每一条语句都应以；（即分号）来结尾，这才是正确的命令执行操作，否则会出现错误！而且命令都是在 mysql>的模式下输入一旦出现-> 这样的输入方式，那么就肯定是错误的！当出现Query OK,1 row affected<0.03 sec>这样的语句，即说明我们成功的执行了一条MYSQL数据库命令接下来我们要给MYSQL为snort提供一个用户，同时为这个用户赋予一些应 有的权限例如删除创建插入等权限，这个步骤可以用一个命令来同时完成

7、 在这里我以创建新用户snort001为例其密码为123456命令为grant select,insert,update,delete,createon snortdb.* to snort001localhost identified by "123456"到此，MYSQL环境中的数据库创建和用户创建授权就做完了，我们可以关闭这个MYSQL环境操作窗口了（也可以以 命令quit来退出）接下来，我们需要为snort创建一些表格和数据结构，这个在上面提到过，对！ 就是那个名为create_mysql的脚本，我们来执行这个脚本，来达到为为snort创建一些表格和数据结构的目的。

8、首先，我们把这个脚本复制到任意目录下，在这里我放在了 C盘下，所以它的文件路径为 c:create_mysql这次我们要进入命令提示符（即输入 CMD出现的那个窗口），而不再是进入刚 才的MYSQL数据环境配置窗口了，以后的操作都是在命令提示符下进行的了进入了命令提示符后，我们需要在c:mysqlbin下执行脚本命令，所以我们先要转到这个目录下，我们使用 cd命令我们键入命令 cd c:mysqlbin 进入到这个目录下进入之后，我们再执行命令Mysql -u snort001 -p snortdb < c:create_mysql随后再输入snort001的密码即可就可以执行那个cre

9、ate_ mysql脚本了，（这条命令中的 snort001和snortdb分别是我们先前创建的 MYSQL为snort 创建的数据库用户和数据库）好了，脚本执行成功了，原来snortdb中是没有表结构的，现在我们执行了这个 脚本以后，就有了表结构，我们可以去MYSQL环境操作窗口中查看我们再次进入到MYSQL环境操作窗口输入密码进入我们使用命令use snortdb; 来选中snortdb数据库之后输入命令show tables;就可以查看到表结构了 至此，MYSQL就完全安装配置好了 A_A （好辛苦啊）接下来，我们安装apache（在安装时要注意，如果我们的机器中安装了IIS并启用了 w

10、eb server，由于IIS web server的默认监听端口是 80，会和apache web server冲中突，为避免冲 突我们可以在配置中将apache的监听端口配置成其他不常用的端口如果我们没有安装IIS，那么就直接安装好了，这个大家要注意下）在这里，我们安装的机器中一般都没有安装IIS，所以我们可以不需要去设置这一步了我们开始安装apache 一直Next下去来到这个安装界面（这个安装页面的设置相当重要） 这个安装界面的意思是apache需要我们填入3个选项分别是Network Domain本机所处的域名Server Name本机计算机名Administrator' E

11、mail Address跟你联系的邮箱地址如果我们安装的系统是 WIN2000或者WIN2003之类的服务器版本系统，而带 有工作域的话，我们就必须填写-Network Domain这一项，如果我们的安装 的系统中没有域的话，我们就可以不填了，接下来的两项Server Name本机计算机名Administrator' Email Address跟你联系的邮箱地址我们就必须要填写了，在 Server Name填写自己计算机的名字 可以 右键 我的电脑一属性出现的属性框的第二个复选框看到计算机名称我的机器名字是CEEEACEB8C1045C记住后面有个点号。不要也输入进去 那不属于计算机名

12、字范围内（我的机器安装的是 win2000的系统，在XP或者win2003系统中是差不多的）那么Server Name本机计算机名这一选项我们已经填写好了，下面我们继续填写Administrator' Email Address跟你联系的邮箱地址这一项，因为我们是测试snort而不需要长期使用apache,所以就随意填写 吧 但是这个邮箱地址要以标准形式输入，规范些，以上的选项的基本填写如下图以上的选项的基本填写如下图填好后就Next下一步吧在这里，我仍然选择Custom自定义安装 修改apache的路径，在这里我安装在 C盘下，路径是c:apache然后一路下一步来安装安装好apac

13、he现在，我们的apache就安装好了，后面还需要进一步的测试 因为apache需要一些与php的关联设置，所以在这里推荐大家紧接着 安装php，老师给我们的有两个版本的 php一个是解压包一个是安装包大家可以随意选择哪一个来进行安装，在这里我偷懒而且觉得解压包直接解压 就能用所有就选择解压包来讲解了我们先在C盘下 新建一个文件夹 命名为php文件名可以随意设置，我为了方便就尽量简单了 A_A建好这个文件夹后，我们就解压到C盘下的php文件里选择C盘下php文件夹现在我们已经解压PHP安装包到php文件夹了 然后我们回到上面apache的安装，接着对apache进行进一步的配置 在c盘C:ap

14、acheconf文件夹下面找到httpd.conf文件并对其做修改打开httpd.conf文件，我们只需要对其做两步修改就行了，意思就是说 加两条规则就行，可以在这个文件中的任意位置添加，它们是AddType application/x-httpd-php .phpLoadModule php5_module "C:/php/php5apache2_2.dll"这两句的意思是addtype是把php脚本支持添加到apache中LoadModule是对php的支持（注意！前面没有#） 如图所示规则我们添加好了，现在我们去 C盘下C:Apachehtdocs新建一个后缀命为.p

15、hp的文件。来测试apache是否正常工作在这里，我新建了一个文本文档，在文档里面写入一条语句v?phpinfo();?>保存文档，然后我就把这个文本文档改名为了testphp在这里说明一点，向apache添加了文件后都需要重新启动apache才会起作用 所以，我们就重新启动下 apache,点击 Restart按钮重启apapche之后，我们就可以打开IE浏览器，输入命令http:localhost/test.php来测试 apache是否正常工作了如果出现下图所示，就说明apache正常工作了，如果没出现，就说明apache有问题了 呵呵 A_A至此，我们的apache就完全安装成功

16、了，赞一个，嘿嘿 八_八 好了，我们先喝杯小茶，稍微休息下，放松一下啊储备精力，我们就准备下面相对比较轻松的配置呢a_a a_a因为在上面的步骤中，我们已经在 C盘安装好了 PHP 所以我们就直接对PHP进行配置吧，我们来到C盘php文件夹下，添加Apache对PHP的支持与PHP对Mysql的支持把文件 php5ts.dll 复制到 c:windowssystem3下再把php文件夹中的php.ini-dist文件 复制到下，并对这个文件重命名为php.ini ,修改好了以后，就对这个php.ini进行编辑 首先，我们找到doc_root =这条语句我们就更改这条语句为 doc_root =

17、 “ C:htdocs”再找至U extension dir = T 这一行修改为 extension_dir = c：phpext”之后向下来到这里 把和这两个语句前面的；给去掉，它的意思是启用这两条规则(注释：文件中规则语句前面的符号即表示注释的作用，即不起作用 当我们去掉语句前的这个符号时，就表示我们启用这条语句)修改好，以后，保存这个 php.ini文件然后，我们要对PHP做最后一步配置，就是把 C盘下的PHP文件夹中的一个名为libmysql.dll文件 复制到 C:Apachebin下再重启下apache即可这样，我们的php的也完全配置好了 再经过短暂的喘息和休息以后，我们就开始

18、下一步的配置吧（革命尚未成功，同志仍需努力啊）A_A A_A下面我们要安装配置adodb 了王老师给我们的snort安装文件包中直接就有 adodb的源程序 所以我们直接复制它到C盘下就好了进入adodb对文件找到这一行语句进行修改将后面的修改为('ADODB_DIR',dirname(_FILE_); ('ADODB_DIR','c:adodb');修改如图所示将 修改为之后保存退出，那么adodb就配置好了，adodb的配置就这么简单 八_八 接下来我们进入acid的配置这acid也是在王老师给的snort安装包里有我们直接复制它，到 C:A

19、pachehtdocs下再进入acid中，对文件 acid_conf.php进行修改 找到这一行 将其修改为再向下找到修改为之后保存退出，重新启动一下 apache再打开IE浏览器，输入http:/localhost/acid就可以进入到acid的查看页面了呵呵点击 Setup page进入到这里点击 Create ACID AG进入到下个画面再点击 Main page我们就真正来到了 acid的数据抓包界面了，从这个界面我们就可以对后期 用snort捕获到的数据包做分析了 呵呵到这里，我们就配置完了 acid 了 接下来就是完成整个snort安装实验的最后 一步了哎好累好累啊 眼睛受不了了

20、谁赔我眼睛啊呜呜a_a安装snort前要先安装WinPcap_4_0.exe很简单一直下一步下一步好了接着安装snort也是下一步下一步到安装成功。之后，我们进入 C盘C:Snortetc下，对文件 snort.conf进行修改打开的时候可能会乱乱的 这是因为选择了以 记事本 形式打开 为了让它正确显示，我们重新用 写字板 打开它 就不再是乱码呢 来至U snort.conf文件中我们要将一些不用规则语句给注释掉（即在语句前添加一个# 号）如下添加#号，就变为然后按照上面的方法 把下面的语句都注释掉（截图中我已经添加了#号，大家注释的时候语句前面是没有#号的）现在已经把不需要的语句注释掉了我们

21、就可以添加我们自己为snort所需要的语句了 来到这里 我们在这后面添加一条语句output database: alert, mysql, user=snort001 password=123456 dbname=snortdb host=localhost（注意添加我们所需要的规则，前面不能添加#号哟不然就注释掉了，切记） 修改如图为 再后后呢，还是要添加一条语句，为了方便看到，我在最后一行添加了 所添加的是一条snort应用规则 这条规则可以帮助我们测试我们来添加，规则是这样格式写的include $RULE_PATH/所以我就在这写入规则语句为include $RULE_PATH/tc

22、p.rulestcp.rules是这条规则的名字添加好了这条语句后，我们就可以保存退出这个snort.conf文件呢 我们刚才不是建立了一条规则语句嘛，为了真正测试的成功我们要去C:Snortrules下建立一个规则文件来实现我们刚才建立的规则语句的功能在C:Snortrules下创建一个文本文档，往里写入alert tcp any any -> any any （msg:"OH!Yeah!"sid:10000001;rev:1;）这条测试tcp协议流量的规则 保存退出并重命名为跟上面我们设置的规则语句一样的，名字tcp.rules如下图到这里，snort我们就完全配

23、置好了现在，我们可以去看看snort是否能成功运作， 我们从开始运行输入CMD进入命令提示符窗口输入命令c:snortbinsnort -c c:snortetcsnort.conf -l c:snortlog -i 2（这条命令后的-i 2表示的是interface接口 2，因为我做过多次的snort的安 装，发现snort都是在接口 2上工作的，想具体查看snort工作在那个接口，可 以在命令提示符中转到下输入命令snort V来查看snort工作在那个接口）输入后，如果出现下面图样表示即说明snort正常工作了（这个窗口先不要关闭，因为当我们设置好规则后，snort会开始抓包如果抓到包后

24、，会出现一大串的数据抓包分析结果）现在知道了 snort能正常工作了，那么我们就去测试一下我们写的那条测试Tcp协议数据抓包的规则吧（那规则我们命名为tcp.rules 记得吧 呵呵） 我们打开另外一个命令提示符窗口使用ping命令 来给snort抓包使用命令ping -（这条命令的意思是是localhost本机地址-是无限循环）现在就开始ping 了等一小会发现snort已经开始抓包了 呵呵，说明snort抓包并正常工作了同时我们也可以打开IE浏览器输入http:/localhost/acid进入到acid的界面也会看到tcp流量抓包了呵呵（红色区域） 至此，我们的sno

25、rt终于安装成功并完全测试了哩哩。八、八、UPS:花了相当的时间做出了这一份比较详细的 snort步骤文档，本来是做好一份 的了，但是那一份文档错误太多 而且截图少，步骤跟不上，所以吸取教训 重新制作一份新的而且全的步骤说明文档，希望大家能看得懂并安装成功 谢谢大家版权申明本文部分内容，包括文字、图片、以及设计等在网上搜集整理。版权为潘宏亮个人所有This article in eludes someparts, in cludi ng text, pictures, and desig n. Copyright is Pan Hon glia ng's pers onal own ership.用户可将本文的内容或服务用于个人学习、研究或欣赏，以及其他非商业性或非盈利性用途，但同时应遵守著作权法及其他相关法律 的规定，不得侵犯本网站及相关权利人的合法权利。除此以外，将本 文任何内容或服务用于其他用途时，须征得本人及相关权利人的书面 许可，并支付报酬。Users may use the contents or services of this articlefor pers