IDS snort安装配置

1、标题：Snort入侵检测系统的配置安装作者：CmdH4ck工作平台：VMware虚拟机服务平台：windows server2003（安装snort）辅助平台：windows xp（进行入侵测试）工具：Apache服务器 Php语言 Winpcap网络驱动 Snort入侵检测系统 MY SQL数据库 adodb组件 jgraph组件 acid组件 snort规则包 具体操作步骤：在C盘新建一个IDS文件夹，所需的工具软件安装在此文件夹内1. 安装Apache服务器（图1图5）安装时先将iss的服务关闭，防止造成端口冲突，如图.1 图1关闭IIS服务后即可安装Apache服务器（没有截图的，默认

2、点击下一步）图2 图3 图4安装完成之后，打开浏览器，输入，出现以下内容，则表示安装成功 图52安装php 解压php-win32.zip到c:idsphp5下，如图6 图6复制c:idsphp5目录下的php5ts.dll到C:WINDOWSsystem32目录下复制c:idsphp5目录下的php.ini-dist到c:windows目录下，并重命名为php.ini。修改C:idsapacheconfhttpd.conf 文件，加入apache对php的支持。加入loadmodule php5_module c:/ids/php5/php5apache2_2.dll (如图7) 图7添加类

3、型：加入:addtype application/x-httpd-php .php （如图8） 图8修改c:windowsphp.ini文件，去掉extension=php_gd2.dll前面的分号，使之支持gd2图9复制c:idsphp5ext文件夹下的php_gd2.dll文件到c:windows文件夹下以上配置完成后，重启下apache服务器。然后在apache网页存放目录下(C:idsapachehtdocs)编写test.php,内容为<?php phpinfo(); ?> （用记事本编写，后缀改为php即可） 图10然后打开浏览器，输入地址 http:/localhos

4、t/test.php，如果出现图11，则一切正常。如果出现下载提示，原因是addtype那句有错，检查后按上面步骤修改即可。 图11安装winpcap网络驱动（如图）直接默认点击next即可图12安装snort入侵检测系统，我们选择的安装路径是c:idssnort安装完成后，在cmd下进入snort的bin文件夹下打开cmd输入cd c:idssnortbin后回车 图13然后输入snort W(大写的W)如果出现一个猪的类似物，则成功（如图14）图14安装MY SQL数据库安装路径为c:idsMy SQL一直点下一步即可到下图下面一步是设置服务器同时连接数选择第一个（20个左右）下一步设置选

5、择默认的字符，这里选择gb2312结束后，点finish完成安装当安装好my sql数据库后，我们接下来创建相关数据库表首先复制c:idssnortschamas文件夹下的create_mysql文件到c:idsmysqlbin文件夹下在开始菜单打开mysql客户端，输入刚刚配置的密码（123456）后，出现如下图所示，则成功登陆mysql数据库客户端然后再mysql客户端依次输入执行以下命令Create database snort; Create database snort_archive; Use snort; Source create_mysql; Use snort_archiv

6、e; Source create_mysql; Grant all on *.* to “root”localhost”当每次执行命令后显示Query OK则表示执行成功上述命令完全执行完后，我们相关的数据库就已经创建好了，然后修改php配置文件对my sql的支持修改加入 php 对 mysql 的支持： 修改 c:windowsphp.ini 文件去掉 extension=php_mysql.dll 前的分号。 复制c:idsphp5ext 文件夹下的 php_mysql.dll 文件到 c:windows 文件夹。 复制c:idsphp5libmysql.dll文件到c:windowss

7、ystem32下。 安装 adodb 解压缩 adodb 到 c:idsphp5adodb 文件夹下。 安装 jgraph 解压缩 jpgraph 到 c:idsphp5jpgraph 文件夹下。 安装 acid 解压缩 acid 到 cidsapachehtdocsacid 文件夹下 修改 acid_conf.php 文件 为以下内容 $DBlib_path = "c:idsphp5adodb" $DBtype = "mysql" $alert_dbname = "snort" $alert_host = "localho

8、st" $alert_port = "3306" $alert_user = "root" $alert_password = "123456" 这里是我们刚刚配置的mysql的密码$archive_dbname = "snort_archive" $archive_host = "localhost" $archive_port = "3306" $archive_user = "root" $archive_password = "

9、123456" 这里是我们刚刚配置的mysql的密码$ChartLib_path = "c:idsphp5jpgraphsrc" 完成以上步骤后，重启apache服务器在浏览器中初始化数据库，打开浏览器输入地址http:/localhost/acid/acid_db_setup.php，如果以上配置正确则会显示以下内容然后出现加入snort规则把snort规则包中所有文件夹解压到c:idssnort文件夹下最后测试启动snort入侵检测在cmd下进去snort的程序运行目录bin下，（cd c:idssnortbin）,执行命令snort -dev -i2 -c

10、c:idssnortetcsnort.conf -l c:idssnortlog -K ascii如果出现以下错误ERROR: Unable to open rules file: ./rules/local.rules or c:idssnortetc./rules/local.rules Fatal Error, Quitting. 处理方法 ： 规则包还没有安装，重新安装规则包再次执行上述命令如果出现以下错误Loading dynamic engine /usr/local/lib/snort_dynamicengine/libsf_engine.so. ERROR: Failed to

11、 load /usr/local/lib/snort_dynamicengine/libsf_engine.so: 126 Fatal Error, Quitting. 处理方法 : 在 snort 的配置文件中指定 libsf_engine. 的路径和文件名（如图）用写字板打开snort配置文件c:idssnortetcsnort.conf找到出错地址，如下图然后将刚才复制的路径替换，如下图再次执行上述命令后，出现以下错误Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor/libsf_dc

12、erpc_preproc.so. ERROR: Failed to load /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so: 126 处理方法 : 在 snort 的配置文件中指定 libsf_dcerpc_prepro 的路径和文件名再次执行上述命令会出现加载规则出错处理方法：在snort.conf配置文件里找到出错规则，在前面加#注释就行了。接下来修改snort配置文件c:idssnortsnort.conf全部修改内容如下，将以下代码加到snort.conf配置文件中include c:idssnorte

13、tcclassification.configinclude c:idssnortetcreference.configdynamicpreprocessor file C:idsSnortlibsnort_dynamicpreprocessorsf_dcerpc.dll dynamicpreprocessor file C:idsSnortlibsnort_dynamicpreprocessorsf_dns.dll dynamicpreprocessor file C:idsSnortlibsnort_dynamicpreprocessorsf_ftptelnet.dll dynamicpr

14、eprocessor file C:idsSnortlibsnort_dynamicpreprocessorsf_smtp.dll dynamicpreprocessor file C:idsSnortlibsnort_dynamicpreprocessorsf_ssh.dll dynamicengine C:/ids/Snort/lib/snort_dynamicengine/sf_engine.dll output database: alert, mysql, user=root password=123456 dbname=snort host=localhost encoding=h

15、ex detail=full （注意：此处的password是mysql的密码）具体修改参见下图最终测试在cmd下输入cd c:idssnortbin进入snort执行目录然后输入snort -dev -i2 -c c:idssnortetcsnort.conf -l c:idssnortlog -K ascii命令执行-dev 监测应用层和数据链路层数据，并显示在屏幕是上-c 指定snort启动时加载主配置文件目录地址-l 指定snort日志存放目录-k 指定保存的编码形式-i 指定监测的网卡编号运行之后显示如下：（刷屏中）在浏览器中输入http:/localhost/acid/acid_main.php来网页监测各种协议数据包我们用另