windows环境下snort的安装配置

1、在windows环境下snort的安装配置1.安装apache22：安装 PHP5：43安装winpcap74安装snort75安装和设置mysql85安装adodb:146安装jpgrapg 库157安装acid158建立acid 运行必须的数据库：169解压 snortrules-snapshot-CURRENT.tar.gz到c:snort目录下1610启动snort1711测试snort17Snort 是一套非常优秀的IDS和网络监测系统，值得大中型网络管理者和网络平安爱好人员去学习使用安装平台: Windows Server 2003 + My SQL + Apache + PHP5

2、需要软件包:(以下软件包都可以从ftp上直接下载获取)1Snort_2_6_1_1_Installer.exe Windows 版本的Snort 安装包2snortrules-snapshot-CURRENT.tar.gz snort规那么库3winpcap3.1 网络数据包截取驱动程序4.0Beta 2 版也可4acid-0.9.6b23.tar.gz 基于php 的入侵检测数据库分析控制台5mysql-5.0.27-win32.zip Windows 版本的mysql安装包6apache.zip Windows 版本的vapache 安装包7jpgraph-2.1.4.tar.gz 图形库

3、for PHP8adodb465.zip ADOdbActive Data Objects Data Base库for PHP9php-5.2.0-Win32.zip Windows 版本的php 脚本环境支持入侵检测系统的安装说明：注：软件包较多。需要细心，和耐心。现在就开始我们的snort配置之旅吧，痛苦着并快乐着。1.安装apache安装的时候注意，如果你已经安装了IIS 并且启动了Web Server，因为IISWebServer 默认在TCP 80 端口监听，所以会和Apache WebServer 冲突，我们可以修改Apache WebServer为其他端口。也可修改iis的端口。

4、Apache的安装配置：安装在此：C:Apache2.2 d.conf是apache的配置文件。在安装目录etc目录下可以找到。2：安装 PHP5：假设你的系统安装于 C 盘，否那么以下目录均须改成相应的盘的目录。C:PHP 目录下的 php5ts.dll 文件到 C:windows(如果是 windows 2000 操作系统，那么为 C:WINNT 目录，下同，不再重复说明) 目录下。复制 C:PHP 目录下所有dll 文件于 C:windowssystem32 目录下：PHP 安装目录设为 c:PHP, php.ini 配置文件是由php.ini-recommend文件改名生成的根据需要修

5、改下面两行extension=php_mssql.dllextension=php_mysql.dll取消注释.让php支持mysql数据库此外：还需修改php.ini中extension_dir指定路径。应该是：extension_dir = c:/php/ext根据php安装路径中的目录名来设定。调用GD库 取消;extension=php_gd2.dll，前面的分号。另外需要注意：php4和mysql5配合有问题，据说是mysql5登录方式较以前版本有变化。所以一般选择php4+mysql4，或者php5+mysql5。修改apache配置文件 d.conf，作如下修改：LoadModu

6、le php5_module "c:/php/php5apache2.dll"AddType application/x- d-php .php修改的内容和方式如下Apache默认的网页文件夹在C:Apache2.2htdocs修改完成后，重启apache在apache的htdocs 目录下新建index.php，index.php 文件内容：<?phpphpinfo();?>使用 :/localhost/index.php测试php 是否安装成功正常情况结果如以下图：3安装winpcap按向导提示完成即可 有时会提示重启计算机。使网卡处于混杂模式，能够抓取数据

7、包。4安装snort采用默认安装完成即可安装完成使用以下命令行验证是否成功C:Snortbin>snort.exe -W 也可以看到所有网卡的 Interface 列表看到那个狂奔的小猪了吗？看到了，就表示snort安装成功。5安装和设置mysql设置数据库实例流程：建立snort 运行必须的snort 库和snort_archive 库C:Program FilesMySQLMySQL Server 5.0bin>mysql -u root -pEnter password: 你安装时设定的密码，这里使用mysql这个密码mysql>create database snor

8、t;mysql>create database snort_archive;使用C:Snortschemas目录下的create_mysql 脚本建立Snort 运行必须的数据表c:mysqlbinmysql -D snort -u root -p < c:snortschemascreate_mysqlc:mysqlbinmysql -D snort_archive -u root -p <c:snortschemascreate_mysql附：使用mysql -D snort -u root p命令进入snort数据库后，使用show tables命令可以查看已创立的表。

9、建立acid 和snort 用户,在root用户下建立mysql> grant usage on *.* to "acid""localhost" identified by "acidtest"mysql> grant usage on *.* to "snort""localhost" identified by "snorttest"为acid 用户和snort 用户分配相关权限mysql> grant select,insert,update,del

10、ete,create,alter on snort .* to"snort""localhost"mysql> grant select,insert,update,delete,create,alter on snort .* to"acid""localhost"mysql> grant select,insert,update,delete,create,alter on snort_archive .*to "acid""localhost"mysql&g

11、t; grant select,insert,update,delete,create,alter on snort_archive .*to "snort""localhost"5安装adodb:解压缩adodb360.zip 至c:phpadodb 目录下6安装jpgrapg 库解压缩jpgraph-1.12.2.tar.gz 至c:phpjpgraph7安装acid解压缩acid-0.9.6b23.tar.gz 至c:apache2htdocsacid 目录下修改acid_conf.php 文件$DBlib_path = "c:phpad

12、odb"$alert_dbname = "snort"$alert_host = "localhost"$alert_port = "3306"$alert_user = "acid"$alert_password = "acidtest"/* Archive DB connection parameters */$archive_dbname = "snort_archive"$archive_host = "localhost"$archiv

13、e_port = "3306"$archive_user = "acid"$archive_password = "acidtest"$ChartLib_path = "c:phpjpgraphsrc"8建立acid 运行必须的数据库： :/你的ip地址/acid/acid_db_setup.php按照系统提示建立 c 假设不成功，那么将acid_db_setup.php中的建数据表语句自行提取出来在mysql数据库中建表，如下：CREATE TABLE acid_ag ( ag_id INT UNSIGNED N

14、OT NULL AUTO_INCREMENT,ag_name VARCHAR(40),ag_desc TEXT, ag_ctime DATETIME,ag_ltime DATETIME,PRIMARY KEY(ag_id),INDEX (ag_id)；CREATE TABLE acid_ag_alert( ag_id INT UNSIGNED NOT NULL,ag_sid INT UNSIGNED NOT NULL,ag_cid INT UNSIGNED NOT NULL, PRIMARY KEY (ag_id, ag_sid, ag_cid),INDEX (ag_id),INDEX (ag

15、_sid, ag_cid)；CREATE TABLE acid_ip_cache( ipc_ip INT UNSIGNED NOT NULL,ipc_fqdn VARCHAR(50),ipc_dns_timestamp DATETIME,ipc_whois TEXT，ipc_whois_timestamp DATETIME,PRIMARY KEY (ipc_ip),INDEX (ipc_ip)；CREATE TABLE acid_event ( sid INT UNSIGNED NOT NULL,cid INT UNSIGNED NOT NULL,signature INT UNSIGNED

16、NOT NULL,sig_name VARCHAR(255),sig_class_id INT UNSIGNED,sig_priority INT UNSIGNED,timestamp DATETIME NOT NULL,ip_src INT UNSIGNED,ip_dst INT UNSIGNED,ip_proto INT,layer4_sport INT UNSIGNED,layer4_dport INT UNSIGNED,RIMARY KEY (sid,cid),INDEX (signature),INDEX (sig_name),INDEX (sig_class_id),INDEX (

17、sig_priority),INDEX (timestamp),INDEX (ip_src),INDEX (ip_dst), INDEX (ip_proto), INDEX (layer4_sport), INDEX (layer4_dport)；9解压 snortrules-snapshot-CURRENT.tar.gz到c:snort目录下编辑c:snortetcsnort.conf需要修改的地方：include classification.configinclude reference.config改为绝对路径include c:snortetcclassification.confi

18、ginclude c:snortetcreference.config设置snort 输出alert 到mysql serveroutput database: log,mysql, user=root password=mysql dbname=snorthost=localhostvar HOME_NET /24 -你所处的网段var RULE_PATH C:Snortrules -规那么文件存放的目录dynamicpreprocessor directory C:Snortlibsnort_dynamicpreprocessordynamicengine C:Snortlibsnort_dynamicenginesf_engine.dll在测试之前，你要在local.rules文档里参加下面的语句：alert ip any any -> any any (msg: "IP P