IDS snort安裝配置

1、標(biāo)題：Snort入侵檢測(cè)系統(tǒng)的配置安裝作者：CmdH4ck工作平臺(tái)：VMware虛擬機(jī)服務(wù)平臺(tái)：windows server2003（安裝snort）輔助平臺(tái)：windows xp（進(jìn)行入侵測(cè)試）工具：Apache服務(wù)器 Php語(yǔ)言 Winpcap網(wǎng)絡(luò)驅(qū)動(dòng) Snort入侵檢測(cè)系統(tǒng) MY SQL數(shù)據(jù)庫(kù) adodb組件 jgraph組件 acid組件 snort規(guī)則包 具體操作步驟：在C盤新建一個(gè)IDS文件夾，所需的工具軟件安裝在此文件夾內(nèi)1. 安裝Apache服務(wù)器（圖1圖5）安裝時(shí)先將iss的服務(wù)關(guān)閉，防止造成端口沖突，如圖.1 圖1關(guān)閉IIS服務(wù)后即可安裝Apache服務(wù)器（沒(méi)有截圖的，默認(rèn)

2、點(diǎn)擊下一步）圖2 圖3 圖4安裝完成之后，打開(kāi)瀏覽器，輸入，出現(xiàn)以下內(nèi)容，則表示安裝成功 圖52安裝php 解壓php-win32.zip到c:idsphp5下，如圖6 圖6復(fù)制c:idsphp5目錄下的php5ts.dll到C:WINDOWSsystem32目錄下復(fù)制c:idsphp5目錄下的php.ini-dist到c:windows目錄下，并重命名為php.ini。修改C:idsapacheconfhttpd.conf 文件，加入apache對(duì)php的支持。加入loadmodule php5_module c:/ids/php5/php5apache2_2.dll (如圖7) 圖7添加類

3、型：加入:addtype application/x-httpd-php .php （如圖8） 圖8修改c:windowsphp.ini文件，去掉extension=php_gd2.dll前面的分號(hào)，使之支持gd2圖9復(fù)制c:idsphp5ext文件夾下的php_gd2.dll文件到c:windows文件夾下以上配置完成后，重啟下apache服務(wù)器。然后在apache網(wǎng)頁(yè)存放目錄下(C:idsapachehtdocs)編寫test.php,內(nèi)容為<?php phpinfo(); ?> （用記事本編寫，后綴改為php即可） 圖10然后打開(kāi)瀏覽器，輸入地址 http:/localhos

4、t/test.php，如果出現(xiàn)圖11，則一切正常。如果出現(xiàn)下載提示，原因是addtype那句有錯(cuò)，檢查后按上面步驟修改即可。 圖11安裝winpcap網(wǎng)絡(luò)驅(qū)動(dòng)（如圖）直接默認(rèn)點(diǎn)擊next即可圖12安裝snort入侵檢測(cè)系統(tǒng)，我們選擇的安裝路徑是c:idssnort安裝完成后，在cmd下進(jìn)入snort的bin文件夾下打開(kāi)cmd輸入cd c:idssnortbin后回車 圖13然后輸入snort W(大寫的W)如果出現(xiàn)一個(gè)豬的類似物，則成功（如圖14）圖14安裝MY SQL數(shù)據(jù)庫(kù)安裝路徑為c:idsMy SQL一直點(diǎn)下一步即可到下圖下面一步是設(shè)置服務(wù)器同時(shí)連接數(shù)選擇第一個(gè)（20個(gè)左右）下一步設(shè)置選

5、擇默認(rèn)的字符，這里選擇gb2312結(jié)束后，點(diǎn)finish完成安裝當(dāng)安裝好my sql數(shù)據(jù)庫(kù)后，我們接下來(lái)創(chuàng)建相關(guān)數(shù)據(jù)庫(kù)表首先復(fù)制c:idssnortschamas文件夾下的create_mysql文件到c:idsmysqlbin文件夾下在開(kāi)始菜單打開(kāi)mysql客戶端，輸入剛剛配置的密碼（123456）后，出現(xiàn)如下圖所示，則成功登陸mysql數(shù)據(jù)庫(kù)客戶端然后再mysql客戶端依次輸入執(zhí)行以下命令Create database snort; Create database snort_archive; Use snort; Source create_mysql; Use snort_archiv

6、e; Source create_mysql; Grant all on *.* to “root”localhost”當(dāng)每次執(zhí)行命令后顯示Query OK則表示執(zhí)行成功上述命令完全執(zhí)行完后，我們相關(guān)的數(shù)據(jù)庫(kù)就已經(jīng)創(chuàng)建好了，然后修改php配置文件對(duì)my sql的支持修改加入 php 對(duì) mysql 的支持： 修改 c:windowsphp.ini 文件去掉 extension=php_mysql.dll 前的分號(hào)。 復(fù)制c:idsphp5ext 文件夾下的 php_mysql.dll 文件到 c:windows 文件夾。 復(fù)制c:idsphp5libmysql.dll文件到c:windowss

7、ystem32下。 安裝 adodb 解壓縮 adodb 到 c:idsphp5adodb 文件夾下。 安裝 jgraph 解壓縮 jpgraph 到 c:idsphp5jpgraph 文件夾下。 安裝 acid 解壓縮 acid 到 cidsapachehtdocsacid 文件夾下 修改 acid_conf.php 文件 為以下內(nèi)容 $DBlib_path = "c:idsphp5adodb" $DBtype = "mysql" $alert_dbname = "snort" $alert_host = "localho

8、st" $alert_port = "3306" $alert_user = "root" $alert_password = "123456" 這里是我們剛剛配置的mysql的密碼$archive_dbname = "snort_archive" $archive_host = "localhost" $archive_port = "3306" $archive_user = "root" $archive_password = "

9、123456" 這里是我們剛剛配置的mysql的密碼$ChartLib_path = "c:idsphp5jpgraphsrc" 完成以上步驟后，重啟apache服務(wù)器在瀏覽器中初始化數(shù)據(jù)庫(kù)，打開(kāi)瀏覽器輸入地址http:/localhost/acid/acid_db_setup.php，如果以上配置正確則會(huì)顯示以下內(nèi)容然后出現(xiàn)加入snort規(guī)則把snort規(guī)則包中所有文件夾解壓到c:idssnort文件夾下最后測(cè)試啟動(dòng)snort入侵檢測(cè)在cmd下進(jìn)去snort的程序運(yùn)行目錄bin下，（cd c:idssnortbin）,執(zhí)行命令snort -dev -i2 -c

10、c:idssnortetcsnort.conf -l c:idssnortlog -K ascii如果出現(xiàn)以下錯(cuò)誤ERROR: Unable to open rules file: ./rules/local.rules or c:idssnortetc./rules/local.rules Fatal Error, Quitting. 處理方法 ： 規(guī)則包還沒(méi)有安裝，重新安裝規(guī)則包再次執(zhí)行上述命令如果出現(xiàn)以下錯(cuò)誤Loading dynamic engine /usr/local/lib/snort_dynamicengine/libsf_engine.so. ERROR: Failed to

11、 load /usr/local/lib/snort_dynamicengine/libsf_engine.so: 126 Fatal Error, Quitting. 處理方法 : 在 snort 的配置文件中指定 libsf_engine. 的路徑和文件名（如圖）用寫字板打開(kāi)snort配置文件c:idssnortetcsnort.conf找到出錯(cuò)地址，如下圖然后將剛才復(fù)制的路徑替換，如下圖再次執(zhí)行上述命令后，出現(xiàn)以下錯(cuò)誤Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor/libsf_dc

12、erpc_preproc.so. ERROR: Failed to load /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so: 126 處理方法 : 在 snort 的配置文件中指定 libsf_dcerpc_prepro 的路徑和文件名再次執(zhí)行上述命令會(huì)出現(xiàn)加載規(guī)則出錯(cuò)處理方法：在snort.conf配置文件里找到出錯(cuò)規(guī)則，在前面加#注釋就行了。接下來(lái)修改snort配置文件c:idssnortsnort.conf全部修改內(nèi)容如下，將以下代碼加到snort.conf配置文件中include c:idssnorte

13、tcclassification.configinclude c:idssnortetcreference.configdynamicpreprocessor file C:idsSnortlibsnort_dynamicpreprocessorsf_dcerpc.dll dynamicpreprocessor file C:idsSnortlibsnort_dynamicpreprocessorsf_dns.dll dynamicpreprocessor file C:idsSnortlibsnort_dynamicpreprocessorsf_ftptelnet.dll dynamicpr

14、eprocessor file C:idsSnortlibsnort_dynamicpreprocessorsf_smtp.dll dynamicpreprocessor file C:idsSnortlibsnort_dynamicpreprocessorsf_ssh.dll dynamicengine C:/ids/Snort/lib/snort_dynamicengine/sf_engine.dll output database: alert, mysql, user=root password=123456 dbname=snort host=localhost encoding=h

15、ex detail=full （注意：此處的password是mysql的密碼）具體修改參見(jiàn)下圖最終測(cè)試在cmd下輸入cd c:idssnortbin進(jìn)入snort執(zhí)行目錄然后輸入snort -dev -i2 -c c:idssnortetcsnort.conf -l c:idssnortlog -K ascii命令執(zhí)行-dev 監(jiān)測(cè)應(yīng)用層和數(shù)據(jù)鏈路層數(shù)據(jù)，并顯示在屏幕是上-c 指定snort啟動(dòng)時(shí)加載主配置文件目錄地址-l 指定snort日志存放目錄-k 指定保存的編碼形式-i 指定監(jiān)測(cè)的網(wǎng)卡編號(hào)運(yùn)行之后顯示如下：（刷屏中）在瀏覽器中輸入http:/localhost/acid/acid_main.php來(lái)網(wǎng)頁(yè)監(jiān)測(cè)各種協(xié)議數(shù)據(jù)包我們用另