SNORT入侵检测系统安装

1、基于基于SNORT的入侵检测系统的入侵检测系统配置与实验配置与实验 实验目的 熟悉入侵检测工具SNORT在WINDOWS中的安装和配置方法 实验环境一台安装了WINDOWS2000/XP/2003操作系统的计算机，连接到本地局域网中。实验内容所需软件所需软件1.Acid 基于PHP的入侵检测数据库分析控制台。2.Adodb 为PHP提供统一的数据库连接函数。3.Apache WINDOWS版本的Apache Web服务器4.Jpgraph PHP所用图形库。5.Mysql WINDOWS版本的MYSQL数据库，用于存储SNORT的日志、报警、权限等。6.PHP WINDOWS环境中PHP支持环

2、境。7.SNORT WINDOWS中的SNORT安装包，入侵检测的核心部分。8.WINPCAP 网络数据包截取驱动程序，用于从网卡中抓取数据包。9.SNORTRULES 提供拦截数据包的规则。实验步骤1.安装APACHE至 C:idsapache，测试Apache 站点。2.安装PHP至C:idsphp51）将Php5ts.dll复制到System32下，把P-dist复制到Windows 下并重新命名为Php.ini. 2）添加GD图形库的支持，将Phi.ini中把“;extension=php_gd2.dll”和“;extension=php_mysql.dll”这两条语句前面

3、的分号去掉。实验内容3）将C:idsphp5ext下的文件php_gd2.dll,php_mysql.dll复制至C:windows下；将php_mysql.dll复制至C:windowssystem32下；将C:idsphp5libmysql.dll复制至C:windowssystem32下。4）添加APACHE对PHP的支持。在C:idsapacheconfhttpd.conf的末尾添加以下语句： LoadModule php5_module c:/ids/php5/php5apache2_2.dll AddType application/x-httpd-php .php5）重启APAC

4、HE。6）在C:idsAPACHEhtdocs目录下新建TEST.PHP，内容：。在IE中测试PHP是否成功安装。3.安装SNORT和WINPCAP1）安装WINPCAP。2）安装SNORT至C:idssnort。3）在命令行方式下，进入c:idssnortbin，执行命令：snort.exe W，测试SNORT是否成功安装。1）安装MYSQL至C:idsMysql，4.安装配置MYSQL数据库并按向导提示配置Mysql Server：其他设置可默认或自由选择，设置并记好ROOT密码。2）进入Mysql控制台，建立SNORT运行必须的SNORT数据库和SNORT_ARCHIVE数据库。3）复制

5、C:idssnortschames下的create_mysql文件到C:idssnortbin下。4）在命令行方式下分别输入和执行以下两条命令。上面两个语句表示以ROOT身份，使用create_mysql脚本文件建立SNORT数据库所必须的数据表。5）进入MYSQL控制台，输入下面的语句。在本地数据库中建立ACID（密码为ACIDTEST）和SNORT（密码为SNORTTEST）两个用户。6）在MYSQL控制台下，继续输入以下命令，为新建的用户在SNORT和SNORT_ARCHIVE数据库中分配权限。5.安装ADODB将ADODB解压缩至C:idsphp5adodb目录下即可。6.安装配置数据

6、控制台ACID。1）将ACID解压缩至:Cidsapachehtdocsacid目录下。2）修改该目录下的ACID_CONF.PHP文件，修改内容如下：$DBlib_path = c:idsphp5adodb;$DBtype = mysql; $alert_dbname = snort; $alert_host = localhost; $alert_port = 3306; $alert_user = acid; $alert_password = acidtest; /* Archive DB connection parameters */ $archive_dbname = snort

7、_archive; $archive_host = localhost; $archive_port = 3306; $archive_user = acid; $archive_password = acidtest; $ChartLib_path = c:idsphp5jpgraphsrc;3）重启APACHE服务。在IE中输入：http:/localhost/acid/acid_db_setup.php，打开页面后，单击Create ACID AG按钮，建立数据库。7.安装JPGRAPH库解压缩JPGRAPH至：C:idsphp5jpgraph.8.解压缩SNORT规则包。把SNORT规

8、则包的所有文件解压缩至：C:idssnort下，替换其中的文件和文件夹。9.修改SNORT配置文件。打开C:idssnortetcsnort.conf，修改内容如下： # path to dynamic preprocessor libraries dynamicpreprocessor file C:idssnortlibsnort_dynamicpreprocessorsf_dce2.dll dynamicpreprocessor file C:idssnortlibsnort_dynamicpreprocessorsf_dcerpc.dll dynamicpreprocessor fil

9、e C:idssnortlibsnort_dynamicpreprocessorsf_dns.dll dynamicpreprocessor file C:idssnortlibsnort_dynamicpreprocessorsf_ftptelnet.dll dynamicpreprocessor file C:idssnortlibsnort_dynamicpreprocessorsf_smtp.dll dynamicpreprocessor file C:idssnortlibsnort_dynamicpreprocessorsf_ssh.dll dynamicpreprocessor

10、file C:idssnortlibsnort_dynamicpreprocessorsf_ssl.dll# path to base preprocessor enginedynamicengine C:idssnortlibsnort_dynamicenginesf_engine.dll# databaseoutput database:alert,mysql,user=acid password=acidtest dbname=snort host=localhost encoding=hex detail=full# metadata reference data. do not mo

11、dify these linesinclude C:idssnortetcclassification.configinclude C:idssnortetcreference.config10.启动SNORT入侵检测。 1）以命令行下输入以下命令，启动SNORT程序。（如果希望看到SNOR抓取的数据包，可以-X之后加-V。运行结果如下：2）执行以下命令加速SNORT并保存配置。11.查看统计数据查看统计数据 从安装有SNORT的主机上打开IE，并输入http:/localhost/acid/acid_main.php，进入ACID分析控制台主界面，从中便可以查看到统计数据。至此，基于SNORT的入侵检测系统配置结束。后续工作则是完善SNORT规则配置文件。Local.rules # $Id: local.rules,v 1.13 2005/02/10 01:11:04 bmc Exp $ # - # L