windows环境下snort的安装配置

1、在windows环境下snort的安装配置1.安装apache22：安装 PHP5：43）安装winpcap74）安装snort75）安装和设置mysql85）安装adodb:146）安装jpgrapg 库157）安装acid158）建立acid 运行必须的数据库：169）解压 snortrules-snapshot-CURRENT.tar.gz到c:snort目录下1610）启动snort1711）测试snort17Snort 是一套非常优秀的IDS和网络监测系统，值得大中型网络管理者和网络安全爱好人员去学习使用安装平台: Windows Server 2003 + My SQL + Apa

2、che + PHP5需要软件包:(以下软件包都可以从ftp上直接下载获取)1）Snort_2_6_1_1_Installer.exe Windows 版本的Snort 安装包2）snortrules-snapshot-CURRENT.tar.gz snort规则库3）winpcap3.1 网络数据包截取驱动程序（4.0Beta 2 版也可）4）acid-0.9.6b23.tar.gz 基于php 的入侵检测数据库分析控制台5）mysql-5.0.27-win32.zip Windows 版本的mysql安装包6）apache.zip Windows 版本的vapache 安装包7）jpgrap

3、h-2.1.4.tar.gz 图形库for PHP8）adodb465.zip ADOdb（Active Data Objects Data Base）库for PHP9）php-5.2.0-Win32.zip Windows 版本的php 脚本环境支持入侵检测系统的安装说明：（注：软件包较多。需要细心，和耐心。现在就开始我们的snort配置之旅吧，痛苦着并快乐着。）1.安装apache安装的时候注意，如果你已经安装了IIS 并且启动了Web Server，因为IISWebServer 默认在TCP 80 端口监听，所以会和Apache WebServer 冲突，我们可以修改Apache We

4、bServer为其他端口。也可修改iis的端口。Apache的安装配置：安装在此：C:Apache2.2httpd.conf是apache的配置文件。在安装目录etc目录下可以找到。2：安装 PHP5：假设你的系统安装于 C 盘，否则下列目录均须改成相应的盘的目录。C:PHP 目录下的 php5ts.dll 文件到 C:windows(如果是 windows 2000 操作系统，则为 C:WINNT 目录，下同，不再重复说明) 目录下。复制 C:PHP 目录下所有dll 文件于 C:windowssystem32 目录下：PHP 安装目录设为 c:PHP, php.ini 配置文件（是由php

5、.ini-recommend文件改名生成的）根据需要修改下面两行extension=php_mssql.dllextension=php_mysql.dll取消注释.（让php支持mysql数据库）此外：还需修改php.ini中extension_dir指定路径。应该是：extension_dir = c:/php/ext（根据php安装路径中的目录名来设定）。调用GD库 取消;extension=php_gd2.dll，前面的分号。另外需要注意：php4和mysql5配合有问题，据说是mysql5登录方式较以前版本有变化。所以一般选择php4+mysql4，或者php5+mysql5。修改a

6、pache配置文件httpd.conf，作如下修改：LoadModule php5_module "c:/php/php5apache2.dll"AddType application/x-httpd-php .php修改的内容和方式如下Apache默认的网页文件夹在C:Apache2.2htdocs修改完成后，重启apache在apache的htdocs 目录下新建index.php，index.php 文件内容：<?phpphpinfo();?>使用http:/localhost/index.php测试php 是否安装成功正常情况结果如下图：3）安装winp

7、cap按向导提示完成即可 （有时会提示重启计算机。）使网卡处于混杂模式，能够抓取数据包。4）安装snort采用默认安装完成即可安装完成使用下列命令行验证是否成功C:Snortbin>snort.exe -W （也可以看到所有网卡的 Interface 列表）看到那个狂奔的小猪了吗？看到了，就表示snort安装成功。5）安装和设置mysql设置数据库实例流程：建立snort 运行必须的snort 库和snort_archive 库C:Program FilesMySQLMySQL Server 5.0bin>mysql -u root -pEnter password: （你安装时设

8、定的密码，这里使用mysql这个密码）mysql>create database snort;mysql>create database snort_archive;使用C:Snortschemas目录下的create_mysql 脚本建立Snort 运行必须的数据表c:mysqlbinmysql -D snort -u root -p < c:snortschemascreate_mysqlc:mysqlbinmysql -D snort_archive -u root -p <c:snortschemascreate_mysql附：使用mysql -D snort

9、-u root p命令进入snort数据库后，使用show tables命令可以查看已创建的表。建立acid 和snort 用户,在root用户下建立mysql> grant usage on *.* to "acid""localhost" identified by "acidtest"mysql> grant usage on *.* to "snort""localhost" identified by "snorttest"为acid 用户和snort

10、用户分配相关权限mysql> grant select,insert,update,delete,create,alter on snort .* to"snort""localhost"mysql> grant select,insert,update,delete,create,alter on snort .* to"acid""localhost"mysql> grant select,insert,update,delete,create,alter on snort_archive .

11、*to "acid""localhost"mysql> grant select,insert,update,delete,create,alter on snort_archive .*to "snort""localhost"5）安装adodb:解压缩adodb360.zip 至c:phpadodb 目录下6）安装jpgrapg 库解压缩jpgraph-1.12.2.tar.gz 至c:phpjpgraph7）安装acid解压缩acid-0.9.6b23.tar.gz 至c:apache2htdocsac

12、id 目录下修改acid_conf.php 文件$DBlib_path = "c:phpadodb"$alert_dbname = "snort"$alert_host = "localhost"$alert_port = "3306"$alert_user = "acid"$alert_password = "acidtest"/* Archive DB connection parameters */$archive_dbname = "snort_archiv

13、e"$archive_host = "localhost"$archive_port = "3306"$archive_user = "acid"$archive_password = "acidtest"$ChartLib_path = "c:phpjpgraphsrc"8）建立acid 运行必须的数据库：http:/你的ip地址/acid/acid_db_setup.php按照系统提示建立 c 若不成功，则将acid_db_setup.php中的建数据表语句自行提取出来在mysql

14、数据库中建表，如下：CREATE TABLE acid_ag ( ag_id INT UNSIGNED NOT NULL AUTO_INCREMENT,ag_name VARCHAR(40),ag_desc TEXT, ag_ctime DATETIME,ag_ltime DATETIME,PRIMARY KEY(ag_id),INDEX (ag_id)；CREATE TABLE acid_ag_alert( ag_id INT UNSIGNED NOT NULL,ag_sid INT UNSIGNED NOT NULL,ag_cid INT UNSIGNED NOT NULL, PRIMAR

15、Y KEY (ag_id, ag_sid, ag_cid),INDEX (ag_id),INDEX (ag_sid, ag_cid)；CREATE TABLE acid_ip_cache( ipc_ip INT UNSIGNED NOT NULL,ipc_fqdn VARCHAR(50),ipc_dns_timestamp DATETIME,ipc_whois TEXT，ipc_whois_timestamp DATETIME,PRIMARY KEY (ipc_ip),INDEX (ipc_ip)；CREATE TABLE acid_event ( sid INT UNSIGNED NOT N

16、ULL,cid INT UNSIGNED NOT NULL,signature INT UNSIGNED NOT NULL,sig_name VARCHAR(255),sig_class_id INT UNSIGNED,sig_priority INT UNSIGNED,timestamp DATETIME NOT NULL,ip_src INT UNSIGNED,ip_dst INT UNSIGNED,ip_proto INT,layer4_sport INT UNSIGNED,layer4_dport INT UNSIGNED,RIMARY KEY (sid,cid),INDEX (sig

17、nature),INDEX (sig_name),INDEX (sig_class_id),INDEX (sig_priority),INDEX (timestamp),INDEX (ip_src),INDEX (ip_dst), INDEX (ip_proto), INDEX (layer4_sport), INDEX (layer4_dport)；9）解压 snortrules-snapshot-CURRENT.tar.gz到c:snort目录下编辑c:snortetcsnort.conf需要修改的地方：include classification.configinclude refere

18、nce.config改为绝对路径include c:snortetcclassification.configinclude c:snortetcreference.config设置snort 输出alert 到mysql serveroutput database: log,mysql, user=root password=mysql dbname=snorthost=localhostvar HOME_NET /24 -（你所处的网段）var RULE_PATH C:Snortrules -（规则文件存放的目录）dynamicpreprocessor directory C:Snortlibsnort_dynamicpreprocessordynamicengine C:Snortlibsnort_dynamicenginesf_engine.dll在测试之前，你要在local.rules文档里加入下面的语句：alert ip any any -> any any (msg: "IP Pa