snort入侵检测实验报告

实验：入侵检测系统（实验：入侵检测系统（SnortSnort）的安装与配置）的安装与配置 一、实验目的一、实验目的 学会 WINDOWS 下 SNORT 的安装与配置 二、实验环境二、实验环境 WinXP 虚拟机 三、实验步骤与结果三、实验步骤与结果 一在一在“我的电脑我的电脑”中中 C C 盘中建立文件夹盘中建立文件夹“zhangxiaohong”“zhangxiaohong” 二安装二安装 WinPcapWinPcap，运行，运行 WinPcap_4_1_2.zipWinPcap_4_1_2.zip，默认安装。，默认安装。 三安装三安装 mysqlmysql，运行，运行 mysql-5.0.22-win32.zipmysql-5.0.22-win32.zip，选择自定义安装选择安装路径，选择自定义安装选择安装路径 C:zhangxiaohongmysqlC:zhangxiaohongmysql 下，安装时注意：端口设置为下，安装时注意：端口设置为 33063306（以后要用到）（以后要用到） ，密码本实验设置，密码本实验设置 成成 123123 四安装四安装 apacheapache 1. 运行 apache_2.2.4-win32-x86-no_ssl.zip，安装到 c:zhangxiaohongApache 2. 安装 Apache，配置成功一个普通网站服务器 3. 出现 Apache HTTP Server 2.0.55的安装向导界面，点“Next”继续 4. 确认同意软件安装使用许可条例，选择“I accept the terms in the license agreement” ，点“Next”继续 5. 将 Apache 安装到 Windows 上的使用须知，请阅读完毕后，按“Next”继续 6. 选择安装类型，Typical 为默认安装，Custom 为用户自定义安装，我们这里选 择 Custom，有更多可选项。按“Next”继续 7. 出现选择安装选项界面，如图所示，左键点选“Apache HTTP Server 2.0.55” ， 选择“ This feature, and all subfeatures, will be installed on local hard drive.” 8. 即“此部分，及下属子部分内容，全部安装在本地硬盘上” 。点选 “Change.” ，手动指定安装目录。 9. 我这里选择安装在“C:zhangxiaohongApache” ，各位自行选取了，一般建议 不要安装在操作系统所在盘，免得操作系统坏了之后，还原操作把 Apache 配置文件 也清除了。选“OK”继续。 10.返回刚才的界面，选“Next”继续。 11.好了现在我们来测试一下按默认配置运行的网站界面，在 IE 地址栏打 “” ，点“转到” ，就可以看到如下页面，表示 Apache 服务器已安装成 功。 12. 五安装和配置五安装和配置 PHP53PHP53、安装、安装 winpcapwinpcap 1.解压 php-5.2.5-Win32 到 c:zhangxiaohongphp 2.添加 gd 图形库支持 复制 c:zhangxiaohongphpphp5ts.dll 和 c: zhangxiaohongphplibmysql.dll 文件到 C:Windowssystem32 复制 c: zhangxiaohongphpphp.ini-dist 到 C:Windows 文件夹并重命名为 php.ini， 修改 php.ini，分别去掉“extension=php_gd2.dll”和“extension=php_mysql.dll”前的分号， 3.并指定 extension_dir=c:zhangxiaohongphpext， 4.同时复制 c:zhangxiaohongphpext 下的 php_gd2.dll 与 php_mysql.dll 到 C:Windowssystem32 在 C:zhangxiaohongapacheconfhttpd.conf 中添加 LoadModule php5_module c:/zhangxiaohong/php/php5apache2.dll AddType application/x-httpd-php .php AddType application/x-httpd-php-source .phps AddType application/x-httpd-php .html AddType application/x-httpd-php .htm 5.重启 Apache 服务 在 C:zhangxiaohongapachehtdocs 目录下新建 webinf.php（文件内容为：） 并使用 /webinf.php 访问测试是否能够显示当前 Apache 服务器的信息，如 果能够显示表明 Apache 和 php 工作基本正常 六安装六安装 snortsnort 1.运行 Snort_2_9_0_5_Installer.exe 安装在 C:zhangxiaohongSnort 下即可， 运行 C:zhangxiaohongSnortbinsnort.exe 或者在 DOS 中找到该位置， 如果安装 Snort 成功会出现一个可爱的小猪 2.并按照以下修改 C:zhangxiaohongSnortetcsnort.conf 文件 3.打开 snort.conf 文件 4.在文档中作相应的修改. var RULE_PATH c:zhangxiaohongsnortrules include classification.config include reference.config 修改为绝对路径： include c:zhangxiaohongsnortetcclassification.config include c:zhangxiaohongsnortetcreference.config 在该文件的最后加入下面语句： output database: alert, mysql, host=localhost user=root password=123 dbname=snort encoding=hex detail=full 5. 5.创建创建 snortsnort 数据库的表数据库的表 复制 c:zhangxiaohongsnortschames 文件夹下的 create_mysql 文件到 C:zhangxiaohongmysqlbin 文件夹下 七安装和设置七安装和设置 mysqlmysql 打开 mysql 的的客户端执行如下命令 Create database snort; Create database snort_archive; Use snort; Source create_mysql; Use snort_archive; Source create_mysql; Grant all on *.* to “root”localhost”; 加入 php 对 mysql 的支持： 得到 修改 c:windowsphp.ini 文件去掉 extension=php_mysql.dll 前的分号。 复制 c:zhangxiaohongphpext 文件夹下的 php_mysql.dll 文件到 c:windows 文件夹。 复制 c:zhangxiaohongphplibmysql.dll 文件到 c:windowssystem32 下 八安装八安装 adodbadodb 解压缩 adodb 到 c:zhangxiaohongphpadodb 文件夹下。 九安装九安装 jpgrapgjpgrapg 库库 解压缩 jpgraph 到 c:zhangxiaohongphpjpgraph 文件夹下 十安装十安装 acidacid 解压缩 acid 到 czhangxiaohongapacheapache2htdocsacid 文件夹下 修改 acid_conf.php 文件为以下内容 $DBlib_path=c:zhangxiaohongphpadodb; $DBtype=mysql; $alert_dbname =snort; $alert_host = localhost; $alert_port =3306; $alert_user=root; $alert_password=123; $archive_dbname=snort_archive; $archive_host=localhost; $archive_port=3306; $archive_user=root; $archive_password=123; $ChartLib_path=c:zhangxiaohongphpjpgraphsrc; 十一十一. . 重启重启 apacheapache、mysqlmysql 服务服务 十二十二. .在浏览器中初始化在浏览器中初始化 acidacid 数据库：数据库： http:/localhost/acid/acid_db_setup.php 单击 CRETE ACID AG 按钮，Adds tables to extend the Snort DB to support the ACID functionality 安装成功，测试一下： 启动 Apache 和 mysql 服务 运行 ACID：打开浏览器，地址为 /acid。则表示 ACID 安装成功。 十三十三. .解压缩解压缩 snortsnort 规则包规则包 把压缩包内的所有文件解压缩到 c:zhangxiaohongsnort下 十四十四. .启动启动 snortsnort C:zhangxiaohongsnortbinsnort.exec “c:zhangxiaohongsnortetcsnort.conf”l “c:zhangxiaohongsnortlog” d -e X 如果出现错误 修改 snort 配置文件 c:zhangxiaohongsnortetcsnort.conf 修改内容如下: 将 dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/ 修改为：dynamicpreprocessor directory C:/zhangxiaohong/snort/lib/snort_dynamicpreprocessor/ dynamicpreprocessor file C:/zhangxiaohong/snort/lib/snort_dynamicpreprocessor/sf_ssl.dll 将 dynamicpreprocessor file 修改为： dynamicpreprocessor file C:zhangxiaohongSnortlibsnort_dynamicpreprocessorsf_dcerpc.dll 参考上一条在相应位置修改为下面内容: dynamicpreprocessor file C:zhangxiaohongSnortlibsnort_dynamicpreprocessorsf_dns.dll dynamicpreprocessor file C:zhangxiaohongSnortlibsnort_dynamicpreprocessorsf_ftptelnet.dll dynamicpreprocessor file C:zhangxiaohongSnortlibsnort_dynamicpreprocessorsf_smtp.dll dynamicpreprocessor file C:zhangxiaohongSnortlibsnort_dynamicpreprocessorsf_ssh.dll dynamicengine C:/zhangxiaohong/Snort/lib/snort_dynamicengine/sf_engine.dll output database: alert, mysql, user=root password=123 dbname=snort host=localhost encoding=hex detail=full include c:zhangxiaohongsnortetcclassific