Snort入侵检测系统平台的构建

1、 . . . 课程设计题目：Snort入侵检测系统平台的构建学 院： 专 业：计算机科学与技术 班 级： 组 长： 小组成员： 指导老师：2011年1月6日目录一总体设计31开发背景32. 设计容43. 设计目的44. 设计意义4二入侵检测系统的介绍41什么是入侵检测42入侵检测基础5三入侵检测系统分类6四 Snort的介绍61Snort简介62. Snort的相关特性73. Snort的功能架构74. Snort的工作模式85. 分布式Snort的体系结构86. Snort规则8五课程设计的容101Snort的安装平台102安装所需要的软件包103详细安装步骤10六课程设计分析与结果261.

2、 snort的启动与测试实验26七课程设计心得与体会29附录一30一 总体设计1开发背景随着科学技术的发展，互联网给人类社会带来了前所未有变化，对经济、文化、生产、生活等人类社会各领域都有重大的影响，并逐渐成为人们日常工作和生活的一部分，如电子商务、远程教育、信息共享、休闲娱乐等都逐步走入我们的生活，影响着我们的生活。任何事物都具有两面性，互联网在给人类社会带来进步的同时，也存在许多问题。在这些问题中，计算机网络安全问题首当其冲，且日益显现，目前比较突出的安全问题是病毒事件侵袭和恶意软件的干扰。据最新统计数据显示，各种网络安全事件每年都呈明显增长趋势，2007年上半年，全国计算机感染台数75，

3、967，19台，与去年同期相比增长了122。随着网络用户和网络资源的大量增加，以与各种系统漏洞的大量存在和不断发现，使得网络安全问题变得更加错综复杂，并呈现出新的趋势：(1)发现安全漏洞的周期越来越短，漏洞覆盖面越来越广；(2)攻击工具越来越复杂；(3)攻击自动化程度和攻击速度提高，杀伤力逐步提高；(4)越来越高的防火墙渗透率；(5)对基础设施将形成越来越大的威胁。加之网络攻击行为日趋复杂，各种方法相互融合，使得网络安全防御更加困难。对于这些安全问题，人们想出了各种各样的解决办法。在2006年，防火墙、防病毒以与入侵检测系统等“老三样安全产品仍然占据了安全市场的大部分份额，也是目前比较流行的安

4、全问题解决方案组合。但防火墙无法阻止协议漏洞发起的入侵，如蠕虫、垃圾、病毒传播以与拒绝服务的侵扰。另外，防火墙本身的缺陷也是影响部网络安全的重要问题，当黑客绕过防火墙攻击到部时，防火墙形同虚设。在这种情况下，网络入侵检测技术应运而生。入侵检测系统的作用是监控网络和计算机系统是否出现被入侵或误用的征兆，它被安置在防火墙之后，不需要人工干预就可以不间断地运行，能够发现异于正常行为的操作。入侵检测系统 IDS ( Intrusion Detection System)，是用于检测任何损害或企图损害系统的性、完整性、可用性行为的系统。它通过监控受保护系统的状态和活动，发现非授权的或恶意的系统与网络行为

5、，为防入侵行为提供有效手段的一种网络安全技术 ，在网络安全形式日益严峻的背景下，如何提供更易于使用、更智能化的网络安全产品是网络安全领域面临的重大挑战，只有充分发挥不同网络安全设备或功能之间的合力，充分利用不同网络安全设备的资源，加以关联、分析、整合，形成行之有效的安全策略，并自动实施，甚至与网络设备密切协同配合，才能更好地保障网络的整体安全。然而，Snort 作为一个强大的轻量级的网络入侵检测系统，它具有实时数据流量分析和日志IP 网络数据包的能力，能够进行协议分析，对容进行搜索匹配。而随着入侵手段的不断翻新，单纯的防火墙技术已经不能满足网络安全的需求，因为攻击者有可能绕过防火墙，或就在防火

6、墙。由于防火墙技术不能提供实时的人侵检测，因此人们常常将其称为被动的网络安全防御。Snort是入侵检测系统的核心，对snort的研究和认识是当前网络安全发展的大趋势。2. 设计容Snort入侵检测系统平台的构建3. 设计目的 近年来计算机技术水平飞速发展，网络信息安全越来越受到重视网络技术飞速发展的同时，各种网络技术漏洞和各种意图的网络攻击者也越来越多，网络入侵和攻击的现象仍然是屡见不鲜，而网络攻击者的技术和知识也日趋专业成熟，攻击工具与手法日趋复杂多样计算机网络安全、信息安全已经成为一个国际性的问题，每年全球因计算机网络的安全问题而造成的经济损失高达数百亿美元，且这个数字正在不断增加传统的加

7、密和防火墙技术等被动防技术已经不能完全满足现今的安全需要，想要保证网络信息和网络秩序的安全，就必须要更强有力和更完善的安全保护技术。目前，入侵检测技术以其强有力的安全保护功能进入了人们的视野，也在研究领域形成了热点Snort是一种开放源码的入侵检测系统，具有良好的扩展性和可移植性，可支持Linux、windows等多种操作系统平台，在本实验中，主要介绍snort在windows操作系统中的安装和测试使用方法，有助于我们对入侵检测系统的深入理解。我们对snort进行的安装配置和测试实验，以此来了解Snort入侵检测系统平台的构建的方法。4. 设计意义Snort是一个著名的免费而又功能强大的轻量级

8、入侵检测系统，具有使用简便、轻量级以与封堵效率高等特点，本文从实用操作的角度介绍了如何用Snort保证上网主机的安全。 入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施之后的新一代安全保障技术。它对计算机和网络资源上的恶意使用行为进行识别和响应，它不仅检测来自外部的入侵行为，同时也监督部用户的未授权活动。而且，随着网络服务器对安全性要求的不断增大，如何在Windows环境下抵御黑客入侵和攻击，切实保证服务器的安全具有重大的实践意义。二 入侵检测系统的介绍1 什么是入侵检测入侵检测是指用来检测针对网络与主机的可疑活动的一系列技术和方法。入侵检测系统基本可以分为两大类：基于特征的入侵检测

9、系统和异常行为检测系统。入侵者常具有用软件可以检测到的特征，如病毒。入侵检测系统将检测包含已知入侵行为特征或者异常于IP协议的数据包。基于一系列的特征与规则，入侵检测系统能够发现并记录可疑行为并产生告警。基于异常的入侵检测系统通常是分析数据包中协议头部的异常，在某些情况下这种方式要比基于特征的入侵检测系统要更好一些。通常情况下，入侵检测系统在网络上捕获数据包与规则比对或者检测其中的异常。Snort基本上是一个基于规则的IDS,但是input插件可以分析协议头部异常。入侵检测系统作为一种积极主动的网络安全防护技术,提供对部网络攻击、外部网络攻击与误操作实时保护,在网络系统体系受到危害之前作出响应

10、入侵,入侵检测系统能很好的弥补防火墙技术的不足,至今为止,软件技术还不可能百分之百的保证系统中不存在安全漏洞,针对日益严重的网络安全问题和安全需求,适应网络安全模型与动态安全模型应运而生,入侵检测系统在网络安全技术中占有重要的地位。 2入侵检测基础目前通常说的入侵就是指对系统资源的非授权操作，可造成系统数据的丢失和破话、甚至会造成系统具绝对合法用户服务等问题Smaha从分类的角度将入侵描述成尝试性闯入、伪装攻击、安全控制系统渗透、泄露、拒绝服务、恶意使用等六类入侵者通常可分为外部入侵者，例如黑客等系统的非法用户，和部入侵者，即越权使用系统资源的用户入侵检测技术是近年来飞速发展起来的一种动态的集

11、监控、预防和抵御系统入侵行为为一体的新型安全机制作为传统安全机制的补充，入侵检测技术不再是被动的对入侵行为进行识别和防护，而是能够提出预警并实行相应反应动作美国国际计算机安全协会（ICSA）将入侵检测定义为：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术违反安全策略的行为有入侵和滥用通常来说入侵检测是对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程，具有智能监控、实时探测、动态响应、易于配置等特点入侵检测的目标就是通过检查操作系统的安全日志或网络数据包信息来检测系统中违背安全策略或危与系统安

12、全的行为或活动，从而保护信息系统的资源免受拒绝服务攻击、防止系统数据的泄漏、篡改和破坏传统安全机制大多针对的是外部入侵者，而入侵检测不仅可以检测来自外部的攻击，同时也可以监控部用户的非授权行为作为新型的安全机制，入侵检测技术的研究、发展和应用加强了网络与系统安全的保护纵深，使得网络、系统安全性得到进一步的提高目前在入侵检测系统中常用的检测方法有：（1） 模式匹配 Pattern Matching（2） 统计分析 Statistical Analysis（3） 专家系统 Expert System（4） 神经网络 ANN（5） 模糊系统 Fuzzy Systems（6） 遗传算法 GA（7） 免

13、疫系统 Immune System（8） 数据挖掘 Data Mining（9） 数据融合 Fusion（10） Protocol分析 Protocol Analysis三 入侵检测系统分类入侵检测系统由控制台(Console)与传感器(Sensor)两部分组成,控制台起到中央管理作用,传感器则负责采集数据与分析数据并生成安全事件的作用。目前的入侵检测系统主要分为两类：基于主机的入侵检测系统：主要用于保护某一台主机的资源不被破坏。基于网络的入侵检测系统：主要用户保护整个网络不被破坏。美国国防部高级研究计划署（DARPA）提出了CIDF（公共入侵检测框架），阐述了一个入侵检测系统的通用模型，可将

14、入侵检测系统分为四个组件：事件产生器、事件分析器、响应单元、事件数据库。现在的入侵检测系统多采用分布式体系结构，使用代理和移动代理技术。入侵检测系统通用模型事件产生器负责原始数据采集，对数据流和日志文件进行追踪，将搜集到的原始数据转换为事件，提供给系统其他部分事件分析器接收事件并进行分析，判断为入侵行为或异常现象后转换为警告信息事件数据库存放各种中间和最终数据，响应单元根据警告信息作出反应，是入侵检测系统中的主动武器1 主机入侵检测系统HIDS基于主机入侵检测通过全面监测主机的状态与用户操作进行检测分析,可以检测到主机、进程或用户异常行为,在受保护主机上有专门的检测代理系统,通过对系统日志和审

15、计记录不间断监视与分析来发现系统的攻击,与时发送警告信息和采取相应的措施来阻止攻击作用,其主要目的是在事件发生之后,能够提供足够分析来阻止进一步的攻击的用途。 2 网络入侵检测系统NIDS基于网络入侵检测系统放置在网络中比较重要的位置,可以不间断的监测网段中各种数据包,并且可以对每一个数据包或者可疑数据包进行特征分析与研究,网络入侵检测系统是可以使用原始网络数据包作为数据源,进行保护网络正常运行,如果这些数据包与产品置某些规则相吻合,则入侵检测系统就会发出警报甚至于直接切断网络连接来进行防御,目前入侵检测系统大部分产品是基于网络的。 四 Snort的介绍1Snort简介Snort是一个基于Li

16、bpcap的数据包嗅探器并可以作为一个轻量级的网络入侵检测系统(NIDS)。所谓的轻量级是指在检测时尽可能低地影响网络的正常操作，一个优秀的轻量级的NIDS应该具备跨系统平台操作，对系统影响最小等特征并且管理员能够在短时问通过修改配置进行实时的安全响应，更为重要的是，能够成为整体安全结构的重要成员。Snort在逻辑上可以分成多个模块，这些模块共同工作，来检测特定的攻击，并产生符合特定要求的输出格式。一个基于Snort的IDS包含下面的主要模块：包解码器、预处理器、检测引擎、Et志和报警系统、输出模块。2. Snort的相关特性Snort具有实时数据流量分析和检测IP网络数据包的能力，能够进行P

17、rotocol分析，对容进行搜索/匹配。Snort的报警机制很丰富，如syslog、用户指定的文件、一个Unix套接字，以与使用SAMBAProtocol向客户程序发出警告消息。Snort能够进行Protocol分析，容的搜索和匹配，目前Snort可以对多种Protocol进行解析能检测多种方式的攻击和探测，如缓冲区溢出、端口扫描CGI攻击、SMB探测、探测操作系统指纹特征的企图等。Snort的日志格式可以是tcp dump式的二进制格式，也可以解码成ASC字符形式，便于用户尤其是新手检查。Snort有很好的扩展性，由于其规则描述语言简单，能够快速对新的网络攻击作出反应。Snort支持插件，可

18、以使用具有特定功能的报告、检测子系统插件对其功能进行扩展。Snort的可移植性好，它有极佳的跨平台性，支持Linux,Solaris,BSD,IRIX,HP-UX,Windows系列，ScoOpenserver,Unixware等。Snort遵循公共通用许可证GPLSnort遵循GPL，所以任何企业、个人、组织都可以免费使用它作为自己的NIDS。3. Snort的功能架构Snort可提供Protocol分析、容查找和匹配，可以用来检测各种攻击和探测，如缓冲区溢出、隐蔽端口扫描、CGI攻击、SMB探测、操作系统指纹识别尝试等其中的包嗅探、数据包记录和入侵检测是其重要功能Snort的架构决定了它的

19、各种功能，而Snort架构由以下4个基本模块构成：嗅探器预处理器检测引擎输出模块Snort的最简单形式就是包嗅探器，但当Snort获取到数据包后会将数据包传送到与处理模块，然后通过检测引擎判断这些数据包是否违反了某些预定义规则。 Snort的预处理器、检测引擎和报警模块都以插件形式存在插件就是符合Snort接口定义的程序，这些程序曾经是Snort核代码的一部分，现在独立出来使核部分的修改变得简单可靠包嗅探器用来监听数据网络，可以是硬件也可以是软件一个网络嗅探器使应用程序或者硬件设备能够监听网络上的数据流互联网多是IP数据流，在本地局域网或传统网络中多是IPX或AppleTalk数据流具体来说，

20、包嗅探器不仅可以进行网络分析与错误处理、性能分析与基准测量、监听明文密码与其他感兴趣的数据预处理器得到原始数据包，使用不同的插件检测数据包，这些插件检测数据包的某些特定行为一旦数据包被确认具有某些特定行为，就会被送到检测模块插件可以根据需要在与处理层被启用或停用，从而更具网络优化级被分配计算资源并生成报警，插件是入侵检测系统的一个非常有用的功能检测引擎接收预处理器与其插件穿送来的数据，然后根据一系列的规则对数据进行检测如果这些规则和数据包中的数据相匹配，就将数据包传送给报警处理器当数据通过检测引擎后，Snort会对其数据进行不同的处理如果数据和检测引擎的规则相匹配，Snort就会触发报警报警可

21、以通过网络连接、UNIX的套接字或Windows Popup(SMB)，甚至SNMP陷阱机制发送到日志文件也可以使用Snort的一些附加工具来通过Web接口显示日志容，包括一些perl、PHP和Web服务器的插件等日志可以存储在文本文件中报警和日志都可以记录到数据库中，如MySQL或Postgree等另外，Snort报警可以通过系统日志工具如SWATCH发送电子与时通知系统管理员，是系统不需要由专人24小时监控4. Snort的工作模式Snort有3种工作模式：嗅探器模式、数据包记录器、网络入侵检测模式。嗅探器模式仪仅从网络上读取数据包并作为连续不断的流量显示在终端上。数据包记录器模式把数据包

22、记录到日志中。网络入侵检测模式是Snort最主要的功能，是可配置的。5. 分布式Snort的体系结构分布式Snort体系结构如果上千兆数据必须存储在Snort运行的机器上，计算机的处理能力就是一个实际的问题。所以Snort采用了3层体系结构。Snort的3层体系结构传给第二层。第二层是服务器，它从传感器收集报警数据并且将其转换成用户可读的形式。第三层是分析员控制台，数据在这一层显示。6. Snort规则Snort是一个基于特征的入侵检测系统，而Snort正是通过大量的规则集实现基于特征的入侵检测系统的功能这些规则集按照不同的类别进行分类，如木马、缓冲区溢出、访问不同的应用程序等，并进行定期的更

23、新。所有的Snort规则都可以分为两个逻辑组成部分：规则头部和规则选项。规则的头部包含规则所做动作的信息，也包含与包所比对的一些条件。选项部分通常包含一个报警消息以与包的哪个部分被用来产生这个消息。一条规则可以用来探测一个或多个类型的入侵活动，一个好的规则可以用来探测多种入侵特征。动作是当发现一个数据包满足规则中的指定属性时，Snort将做什么。规则动作有5种缺省的行为：报警)、记日志(1og)、忽略(pass)、启动(activate)、动态(dynamic)。协议部分用来在一个特定协议的包上应用规则。地址用来指定需要监控的源或目的地址。端口号用来指定需要监控的源或目的地址的端口号。方向符用

24、一>或<一> 表示。Snort的规则存储在文本文件中，并可以用文本编辑器修改。规则以类别分组。不同类别的规则存储在不同的文件中。最后，这些文件被一个叫做snort.conf的主配置文件引用。Snort在启动时读取这些规则，并建立部数据结构或链表以用这些规则来捕获数据。发现入侵特征并利用规则捕获它们是一项具有技巧性的工作，因为在实时检测中你应用越多的规则，那么你将需要越多的处理能力，所以用尽量少的规则来捕获尽量多的特征是非常重要的。Snort已经预先定义了许多入侵检测规则，并且你可以自由添加自定义的规则。同时，你也可以移除一些建规则以防止错误告警。6.1 规则的组成规则头：规则

25、头包含了规则的基本动作（记录日志或是报警）、网络数据包的类型（TCP、UDP、ICMP等）、源和目的IP地址源和目的端口。规则可选项：可选项中指定了数据包中规则匹配的具体容。Snort使用特定的语法来定义这些规则规则的语法涵盖了Protocol的类型、容、长度、Protocol头与很多其他元素，类如定义缓冲区溢出规则的填充字节等。 6.2 规则头规则头定义了规则的行为（Action）、所匹配网络包的Protocol、源地址、目标地址、源端口和目标端口等信息，其作用主要是定义网络数据包分组中的报头路由特征规则头格式如下：规则行为 Protocol 源地址 源端口 方向操作符 目的地址 目的端口

26、规则行为（Rule Action）规则行为指示了数据包与规则匹配时该做什么，此字段有五个选项：alert、log、pass、activate、dynamic其语义如下：alert：使用设定的警告方法生成警告信息，并记录这个报文log：使用设定的记录方法记录这个报文pass：忽略该报文activate：进行alert，然后激活对应的一个dynamic规则dynamic：等待被一个对应的activate规则激活，然后进行log其中activate和dynamic规则必须成对出现，已完成特定任务当某种攻击发生后需要记录两个或多个包时，activate规则激活对应的dynamic规则记录后继的若干个包

27、Protocol字段（Protocol）：目前Snort主要支持TCP、UDP、ICMP三种Protocol，对应的值为tcp、udp和icmp方向操作符（Direction）：指示规则所适用的流量方向“->”表示从左端到右端的数据包，“<-”反之，“<>”表示匹配双向流量地址和端口信息地址可以是一个主机地址或者网络地址可以用关键字any来指定所有的地址目的地址必须用CIDR表示法表示CIDR表示法如下：IP地址后面用斜线来附加一个数字，表示掩码的位数比如19216820/24代表一个C类网络19216820，其子网掩码是2552552550一些子网掩码：如果子网掩码是

28、24位，它是一个C类网络如果子网掩码是16位，它是一个B类网络如果子网掩码是24位，它是一个A类网络表示一个主机用32位掩码根据CIDR的支持，可以用任何位数的掩码五 课程设计的容1Snort的安装平台安装平台：Windows XP + My SQL + Apache + PHP52安装所需要的软件包Snort_2_8_6_1_Installer.exe Windows 版本的Snort 安装包2）snortrules-snapshot-CURRENT.tar.gz snort规则库3）winpcap4.1.2网络数据包截取驱动程序4）acid-0.9.6b23.tar.gz 基于php 的入

29、侵检测数据库分析控制台5）mysql-5.1.zip Windows 版本的mysql安装包6）apache.zip Windows 版本的vapache 安装包7）jpgraph-2.1.4.tar.gz 图形库for PHP8）adodb465.zip ADOdb（Active Data Objects Data Base）库for PHP9）php-5.3.4Win32.zip Windows 版本的php 脚本环境支持3详细安装步骤1. 安装 Apache服务器 2. 安装 PHP5语言3. 安装 Winpcap 网络驱动 4. 安装 Snort 入侵检测系统 5. 安装和设置 Mys

30、ql数据库 6. 安装adodb组件 7. 安装 jpgraph组件 8. 安装 acid 9. 建立acid 运行必须的数据库10. 解压 snortrules-snapshot-CURRENT.tar.gz到c:snort目录下3.1 安装Apache为了保证 Apache 能够正常的安装与运行，安装的时候注意，如果你已经安装了IIS 并且启动了Web Server，因为IISWebServer 默认在TCP 80 端口监听，所以会和Apache WebServer 冲突，在安装前应先把 IIS 的服务关闭,以免造成端口冲突。确保 IIS 服务已经禁用和关闭自启动。.或者修改Apache

31、WebServer为其他端口。也可修改IIS的端口。Apache的安装配置：把 IIS 服务关了后，就可以正常安装 Apahce 服务了，具体操作如图：1-1（省略无图则默认下一步）图 1-1 安装Apache图 1-2 填写服务相关信息图 1-3 选择安装路径图 1-4 完成Apache的安装 d.conf是apache的配置文件。在安装目录etc目录下可以找到。安装完 Apache 之后我们可以在浏览器中输入图 1-5 所示的地址（localhost/）测试 Apache 安装是否成功，出现图 1-5 所示字样，则表示 Apache 安装成功。图 1-5 测试Apache 安装成功3.2

32、安装PHP5语言首先解压 PHP 文件到 c:idsphp5 文件夹，如图 1-6图 1-6 安装PHP 到 c:idsphp 目录下复制 c:idsphp5 目录下 php5ts.dll 文件到 c:windowssystem32 目录下。如图 1-7图1-7复制 php5 目录下的 php.ini-dist 到 c:windows 下，并重命名为 php.ini，如图 1-8、图1-9 所示。图1-8 图1-9复制 c:idsphp5ext 文件夹下 php_gd2.dll 文件到 c:windows 文件夹下，如图 1-10图 1-10进行相关配置后，我们重启下Apache，然后在Apa

33、che网页存放目录下c:idsapachehtdocs文件夹下编写test.php文件，容为<? php phpinfo(); ?>，然后我们打开浏览器，输入localhost/test.php，如果浏览到php的信息页面则说明一切正常。如果浏览test.php页面出现下载提示，原因是addtype那句话有错误，检查后修改就可以了。图1-11 php的安装图1-12图 1-13 路径的选择图 1-14 完成php的安装3.3 安装WinpcapWinPcap 的安装很简单,只要连续单击 Next 按钮即可。这样，WinPcap 就可随时运行了。按向导提示完成即可（有时会提示重启计算

34、机。）使网卡处于混杂模式，能够抓取数据包。如图1-15所示。图 1-153.4 安装snort采用默认安装完成即可，如图 1-16 所示。图 1-16将snort安装到c:idssnort目录下后，在CMD下进入Snort程序运行目录cd c:idssnortbin，然后输入 snort W( 大写 W)回车进行测试，如果安装成功则会出现一个可爱的小猪，如图 1-17图 1-17 成功安装snort3.5 安装和设置 Mysql数据库设置数据库实例流程：安装Mysql 数据库时，需要进行相关设置如图 1-18（省略无图则默认下一步）图 1-18 选择自定义安装图 1-19 完成Wizard的安

35、装图 1-20 选择继续安装图 1-21图 1-22图 1-23 全部选择安装图 1-24 Character Set中选择gbk图 1-25 设置mysql 数据库密码，这里填写密码为 myhk123456图 1-26 完成 Mysql的安装1.当安装好 mysql 数据库后，我们还需创建相关数据库表，首先复制复制 c:idssnortschamas文件夹下的 create_mysql 文件到 c:idsmysqlbin 文件夹下。2. 在开始菜单程序里打开mysql客户端，输入密码(myhk123456)后则出现如图 1-27 所示图样，则成功登录 mqsql 数据库客户端图 1-27 成

36、功登入 mysql 数据库客户端建立snort 运行必须的snort 库和snort_archive 库C:Program FilesMySQLMySQL Server 5.0bin>mysql -u root -pEnter password: （你安装时设定的密码，这里使用mysql这个密码）mysql>create database snort;mysql>create database snort_archive;使用C:Snortschemas目录下的create_mysql 脚本建立Snort 运行必须的数据表c:mysqlbinmysql -D snort -u

37、 root -p < c:snortschemascreate_mysqlc:mysqlbinmysql -D snort_archive -u root -p <c:snortschemascreate_mysql建立acid 和snort 用户mysql> grant usage on *.* to "acid""localhost" identified by "acidtest"mysql> grant usage on *.* to "snort"localhost" i

38、dentified by "snorttest"为acid 用户和snort 用户分配相关权限mysql> grant select,insert,update,delete,create,alter on snort .* to"snort""localhost"mysql> grant select,insert,update,delete,create,alter on snort .* to"acid""localhost"mysql> grant select,ins

39、ert,update,delete,create,alter on snort_archive .*to "acid""localhost"mysql> grant select,insert,update,delete,create,alter on snort_archive .*to "snort""localhost"3.6 安装adodb组件解压缩adodb360.zip 至c:phpadodb 目录下3.7 安装 jpgraph组件解压缩jpgraph-1.12.2.tar.gz 至c:phpjp

40、graph3.8 安装acid解压缩acid-0.9.6b23.tar.gz 至c:apache2htdocsacid 目录下修改acid_conf.php 文件$DBlib_path = "c:phpadodb"$alert_dbname = "snort"$alert_host = "localhost"$alert_port = "3306"$alert_user = "snort"$alert_password = "snorttest"/* Archive DB c

41、onnection parameters */$archive_dbname = "snort_archive"$archive_host = "localhost"$archive_port = ""$archive_user = "acid"$archive_password = "acidtest"$ChartLib_path = "c:phpjpgraphsrc"3.9 建立acid 运行必须的数据库你的ip地址/acid/acid_db_setup.php按照系统提

42、示建立3.10 解压解压snortrules-snapshot-CURRENT.tar.gz到c:snort目录下编辑c:snortetcsnort.conf需要修改的地方：include classification.configinclude reference.config改为绝对路径include c:snortetcclassification.configinclude c:snortetcreference.config设置snort 输出alert 到mysql serveroutput database: log,mysql, user=root password=mysql

43、 dbname=snorthost=localhostvar HOME_NET /24 -（你所处的网段）var RULE_PATH C:Snortrules -（规则文件存放的目录）dynamicpreprocessor directory C:Snortlibsnort_dynamicpreprocessordynamicengine C:Snortlibsnort_dynamicenginesf_engine.dll3.11安装规则库/文件在c:Snort下建立temp子目录2）register at Snort: s:/./pub-bin/reg

44、ister.cgi下载规则文件snortrules-snapshot-2.8.tar.gz把规则文件拷贝至C:snort目录下。把C:snort目录下的规则文件snortrules-snapshot-2.8.tar.gz解压到当前目录下，覆盖原有文件和目录。3.12 配置Snort1）备份配置文件 cmd 中 COPY c:snortetcsnort.conf C:snorttemp2)用 写字板 打开配置文件c:snortetcsnort.conf，进行修改Change line 194 to read var RULE_PATH c:snortrulesChange lines 289-2

45、93 to read dynamicpreprocessor file c:snortlibsnort_dynamicpreprocessorsf_dcerpc.dll dynamicpreprocessor file c:snortlibsnort_dynamicpreprocessorsf_dns.dlldynamicpreprocessor file c:snortlibsnort_dynamicpreprocessorsf_ftptelnet.dlldynamicpreprocessor file c:snortlibsnort_dynamicpreprocessorsf_smtp.d

46、lldynamicpreprocessor file c:snortlibsnort_dynamicpreprocessorsf_ssh.dllChange line 312 to read dynamicengine c:snortlibsnort_dynamicenginesf_engine.dllChange line 816 to read output alert_syslog: host=:514, LOG_AUTH LOG_ALERTI like to start with my Rulesets all on and work backwards, so yo

47、u can go to lines 925 - 979 and remove the # from each one3） 在Internet中输入你的ip地址/acid 如果一切正常显示如图1-28： windows下的snort配置完成。图1-28六 课程设计分析与结果1. snort的启动与测试实验1.1 启动snortc:snortbin>snort -c "c:snortetcsnort.conf" -l "c:snortlogs" -i 2 -d-e -X-X 参数用于在数据层记录raw packet 数据-d 参数记录应用层的数据-e

48、参数显示记录第二层报文头数据-c 参数用以指定snort 的配置文件的路径-i 指明监听的网络接口。1.2. 简单测试Snort1.查看安装情况Open a Command Prompt and run c:snortbinsnort W，如图1-29所示。图1-292. 测试 c:snortbinsnort -v iXNow run c:snortbinsnort -v iX(replace X with your adapter(适配器) number discovered from running the previous line)c:snortbinsnort -v i2 注意 -i和2之间没有空格，嗅探模式屏幕一直在滚动。有数据被捕获。如图1-30示。图1-303. 运行日志模式运行日志模式使用bat批文件。SnortStart-l.batc:snortbinsnort -i2 -s -l c:snortlog -c c:snortetcsnort.conf 如图1-31所示