实验三Snort入侵检测系统部署

1、实验三 Snort入侵检测系统部署1.1.1 安装apache选择custom安装，指定安装目录c:apache,运行apache安装端，一直next，直到安装完成。我们验证一下：图3-1 apache安装成功界面如出现图3-1这种情况，表明安装成功。1.1.2 安装php解压php-5.2.4-Win32到c:php。复制c:phpphp5ts.dll和c:phplibmysql.dll文件到c:windowssystem32，复制c:phpphp.ini-dist到c:windows并重命名为php.ini，修改php.ini，分别删去“extension=php_gd2.dll”“ext

2、ension=php_mysql.dll”前的分号，并指定extension_dir=c:phpext，同时复制c:phpext下的php_gd2.dll与php_mysql.dll到c:windowssystem32。在C:apacheconfhttpd.conf中添加在下面语句中后面添加(回车)#LoadModule ssl_module modules/mod_ssl.so115行LoadModule php5_module c:/php/php5apache2_2.dll和在下面语句中后面添加(回车)ScriptAlias /cgi-bin/ C:/apache/cgi-bin/385

3、行AddType application/x-httpd-php .php（此处应注意空格），并重启Apache服务。在C:apachehtdocs目录下新建webinf.php（文件内容为：）并使用/webinf.php访问测试是否能够显示当前Apache服务器的信息，如果能够显示表明Apache和php工作基本正常重新启动apache服务，点stop再点击start，使用/webinf.php测试是否安装成功，成功的界面，如图3-2：图3-2 安装成功界面1.1.3 安装winpcap与snort按照向导提示安装一路默认安装即可，

4、安装完成后使用下面命令测试是否安装成功。在命令控制台进入snort根目录，输入命令：c:snortbin snort -W (W为大写)当你看到左上角有个小猪图形，表明安装成功。如图3-3：图3-3安装成功界面1.1.4 安装和配置mysql安装一路next就可以按照成功，注意设置个root的密码，然后打开MySQL的客户端，将c:snortschemas目录下的create_mysql复制到C:Program FilesMySQLMySQL Server 5.0bin目录下，在MySQL的dos控制台中建立snort库和snort_archive库。代码如下：mysql create dat

5、abase snort;mysql create database snort_archive;mysql use snortmysql source create_mysqlmysql show tables;mysql use snort_archivemysql source create_mysqlmysql show tables;为mysql建立snort和acid账号，使idscenter或acid能访问mysql中与snort有关的数据库文件。使用语句：mysql grant usage on *.* to acidlocalhost identified by acidtes

6、t;mysql grant usage on *.* to snortlocalhost identified by snorttest;再为snort和acid账户分配相关权限，语句：mysql grant select,insert,update,delete,create,alter on snort .* to snortlocalhost; mysql grant select,insert,update,delete,create,alter on snort .* to acidlocalhost; mysql grant select,insert,update,delete,

7、create,alter on snort_archive .* to snortlocalhost; mysql grant select,insert,update,delete,create,alter on snort_archive .* to acidlocalhost; 启用php对MySQL的支持，修改php.ini，找到extension=php_mysql.dll，去掉前面的;，复制c:phpext下的php_mysql.dll文件到c:windows下复制c:php下的libmysql.dll文件到c:windowssystem32下。1.1.5 安装adodb解压缩ad

8、odb498.tgz到c:phpadodb目录下。1.1.6 安装jpgraph解压缩jpgraph-2.1.4.tar.gz到c:phpjpgraph。1.1.7 安装acid解压缩acid-0.9.6b23.tar.gz到c:apachehtdocsacid目录下。修改acid_conf.php为下列格式，（用写字板打开）$DBlib_path = c:phpadodb;$DBtype = mysql$alert_dbname = snort;$alert_host = localhost;$alert_port = 3306;$alert_user = snort;$alert_pass

9、word = snorttest$archive_dbname = snort_archive;$archive_host = localhost;$archive_port = 3306;$archive_user =acid;$archive_password = acidtest;$ChartLib_path = c:phpjpgraphsrc;重启apache服务。使用浏览器打开/acid/acid_db_setup.php建立acid运行必须的数据库。如图3-4：图3-4 ACID显示成功鼠标点击create ACID AG。如图3-5：图3-5点击后显

10、示的界面1.2 配置snort编辑c:snortetcsnort.conf文件,用写字板打开，如下：include classification.configinclude reference.config修改为include c:snortetcclassification.configinclude c:snortetcreference.config设置snort输出 alert到MySQL serveroutputdatabase:alert,mysql,host=localhostuser=root password=123 dbna-me=snort encoding=hex de

11、tail=full 修改“Dynamicpreprocessor directory/usr/local/lib/snort_Dynamicpreprocessor”为“Dynamicpreprocessor directory c:snortlibsnort_dynamicpreproces-sor”。修改“dynamicengine/usr/local/lib/snort_dynamicegine/libsf_engine.so”为“dynamicengine c:snortlibsnort_dynamicenginesf_engine.dll”。如图3-6：图3-6 调整位置1.2.1

12、添加规则库解压缩snortrules-snapshot-CURRENT.tar.gz文件到c:snort目录下面，覆盖原文件，并使用下列语句来测试：c:snortbinsnort -c c:snortetcsnort.conf -l c:snortlog -d -e -X -i 2浏览器打开/acid会看到类似于以下的界面，如图3-7：图3-7 snort安装配置成功显示这样便宣告snort安装及配置完毕。1.2.2 简单的使用分别用以下命令测试Snort是否工作正常：c:snort -dev，能看到一只正在奔跑的小猪证明工作正常；c:snort -W，查看本地网

13、络适配器编号。c:snort c c:snortetcsnort.conf l c:snortlog devX，测试配置文件能够支持工作，但是， 在使用过程中snortrules-snapshot-CURRENT.tar包中的web-misc.rules有问题，所以为了其他内容能后正常进行入侵检测，修改c:Snortetcsnort.conf，在include $RULE_PATH/web-misc.rules前加#号将其注释掉可以选用IDSCenter配置snort项，采用默认安装IDSCenter11rc4来完成。使用SAM，需要Java支持，所以首先安装jre-1_5_0_12-windows-i586-p安装好后，解压sam_bin到c:，进入才c:sam，直接双击sam.jar运行SAM软件。运行sn