实验五入侵检测系统安装.docVIP

实验序号5实验名称 实验五：入侵检测系统实验地点实验日期2013 年 5 月 28 日 实验内容1、安装Apache HTTP Server2、PHP3、安装Snort4、安装winpcap5、安装配置MYSQL数据库6、安装adodb7、安装配置数据控制台acid8、安装jpgrapg 库9、配置并启动snort实验过程及步骤：1、 安装Apache HTTP Server（httpd-2.2.17-win32-x86-no_ssl） 2、 PHP步骤1：解压缩php-5.2.1-Win32 至c:php步骤2：拷贝c:php下php.ini-dist至c:windowssystem目录下，然后改名为php.ini步骤3：添加gd图形库支持，在php.ini中添加extension=php_gd2.dll。如果php.ini有该句，将此语句前面的“;”注释符去掉注意：这里需要将文件c:phpextphp_gd2.dll拷贝到目录c:php下步骤4：添加Apache对PHP的支持:在c:apacheconfhttpd.conf中添加：LoadModule php5_module c:/php/php5apache2_2.dll”AddType application/x-httpd-php .php注意.php前面有空格改端口为：8080步骤5：重启Apache 步骤6：在C:Apachehtdocs目录下新建test.php测试文件，test.php 文件内容为步骤7：使用/test.php，测试PHP是否成功安装，如成功安装，则在浏览器中出现下面的网页：3、 安装Snort4、安装winpcap5、 安装配置MYSQL数据库mysql-5.5.9-win32.msi；安装Mysql到文件夹C:MySQLMySQL Server 5.5；密码123单击“开始”按钮，选择“运行”，输入“cmd”，在出现的命令行窗口中输入下面的命令： cd c:mysqlMySQL server 5.5bin c:mysqlMySQL server 5.5bin mysql -h localhost -u root -p然后输入密码123在mysql提示符后输入下面的命令：mysql create database snort; （注意：在输入分号后mysql才会编译执行语句）mysqlcreate database snort_archive; (上 面的create语句建立了snort运行必须的snort数据库和snort_archive数据库)输入“quit”命令退出mysql后，在出现的提示符之后输入：mysql -D snort -u root -p c:snortschemascreate_mysqlmysql -D snort_archive -u root -p mysql -h localhost -u root -p 然后输入密码123在提示符后输入下面的语句： mysqlgrant usage on *.* to acidlocalhost identified by acidtest; mysqlgrant usage on *.* to snortlocalhost identified by snorttest; (上面两个语句表示在本地数据库中建立了acid（密码为acidtest）和snort（密码为snorttest）两个用户，以备后面使用)在mysql提示符后面输入下面的语句mysql grant select,insert,update,delete,create,alter on snort .* to acidlocalhost;mysql grant select,insert on snort .* to snortlocalhost;mysql grant select,insert,update,delete,create,alter on snort_archive .* to acidlocalhost;(这是为新建的用户在snort和snort_archive数据库中分配权限)6、 安装adodb将adodb511.zip解压缩至c:phpadodb5 目录下，即完成了adodb的安装7、 安装配置数据控制台acid解压缩acid-0.9.6b23.tar.gz 至c:apachehtdocsacid 目录下修改c:apachehtdocsacid下的acid_conf.php 文件：（使用写字板打开）查看/acid/acid_db_setup.php网页，发现出现下面的错误：问题解决：(在文件C:WINDOWSPHP.INI中修改)；extension=php_mysql.dll去掉前面的分号再加上：extension_dir = “c:phpext C:php文件夹中php5ts.dll,libmysql.dll 拷到 c:windowssystem里。先重启apache，并点击create ACID AG建立数据库查看/acid/acid_db_setup.php网页：8、安装jpgrapg 库解压缩jpgraph-3.5.0b1.tar.gz 至c:phpjpgraph修改c:phpjpgraghsrc下jpgragh.php文件，去掉下面语句的注释(或者直接添加) DEFINE(CACHE_DIR,/tmp/jpgraph_cache/);9 、配置并启动snort将规则库“snortrules-snapshot-2922.tar.gz”解压，文件放在snort的相应文件夹中。打开c:snortetcsnort.conf文件做如下修改：原: var RULE_PATH ./rules 改为: var RULE_PATH C:Snortrules原:var SO_RULE_PATH ./so_rules 改为: var SO_RULE_PATH C:Snortso_rules原:var PREPROC_RULE_PATH ./preproc_rule改为: var PREPROC_RULE_PATH C:Snortpreproc_rules原: #dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/改为:dynamicpreprocessor directory C:Snortlibsnort_dynamicpreprocessor(后面一定不要有/)原: #dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so改为:dynamicengine C:Snortlibsnort_dynamicenginesf_engine.dll原：dynamicdetection directory /usr/local/lib/snort_dynamicrules改为：dynamicdetection directory C:Snortlibsnort_dynamicrules原: include classification.config 改为: include C:Snortetcclassification.config原: include reference.config 改为: include C:Snortetcreference.config原: include threshold.conf 改为: include C:Snortetcthreshold.conf 原：# Does nothing in IDS mode 后面的几个句子：#preprocessor normalize_ip4 #preprocessor normalize_tcp: ips ecn stream#preprocessor normalize_icmp4 #preprocessor normalize_ip6#preprocessor normalize_icmp6 在之前加上#，注释掉。原：preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 65535 decompress_depth 65535改为：preprocessor http_inspect: global iis_unicode_map C:Snortetcunicode.map 1252 compress_depth 65535 decompress_depth 65535因为在windows下unicode.map这个文件在etc文件夹下。把snort.conf文件中的ipvar改为var，对后面2句话在最前面加#：# whitelist $WHITE_LIST_PATH/white_list.rules, # blacklist $BLACK_LIST_PATH/black_list.rules 将原文中所有下面的代码 在前面加#注意：include $RULE_PATH/local.rules ，这一句前面不加#在该文件的最后加入下面语句： output database: alert, mysql, host=localhost user=snort password=snorttest dbname=snort encoding=hex detail=full然后将C:Snortso_rulesprecompiledFC-12i38里的所有文件拷贝到C:Snortlibsnort_dynamicrules (没有文件夹则新建该文件夹)单击“开始”，选择“运行”，输入cmd，在命令行方式下输入下面的命令： cd c:snortbin; c:snortbinsnort -c c:snortetcsnort.conf -l c:snortlog -d -e X 注意X大写上面的命令将启动Snort，如果snort正常运行，系统最后将显示出下面的信息：注意：这个命令的执行不要退出打开:8080/acid/acid_main.php网页，进入acid分析控制台主界面。如上述配置均正确，将出现下面的页面：需要有规则才会有统计结果。 打开c:snortruleslocal.rules文件：添加 alert ip any any - any any (msg: IP packet;sid:9888;)至此Snort安装、配置完成：设置snort的内、外网检测范围：实验结果及分析1、 安装Snort时注意关闭防火墙2、 设置snort的内、外网检测范围： 将snort.conf文件中var HOME_NET any语句中的any改为自己所在的子网地址，即将snort监测的内网设置为本机所在局域网。如本地IP为0，则将any改为/24。 并将var EXTERNAL_NET any语句中的an