在windows server 2003搭建snort入侵检测系统步骤
2008-03-11 11:37
1226 查看
一、部署IDS入侵检测系统所需软件:
1、apache
下载 : http://apache.mirror.phpchina.com/httpd/binaries/win32/apache_2.2.8-win32-x86-no_ssl.msi
2、acid
下载 : http://acidlab.sourceforge.net/acid-0.9.6b23.tar.gz
3、adodb
下载 : http://jaist.dl.sourceforge.net/sourceforge/adodb/adodb504.tgz
4、jpgraph
下载 : http://hem.bredband.net/jpgraph2/jpgraph-2.3.tar.gz
5、mysql
下载 :http://mysql.mirror.kangaroot.net/Downloads/MySQL-5.0/mysql-5.0.51a-win32.zip
6、php
下载 :http://cn.php.net/distributions/php-5.2.5-Win32.zip
7、snort
下载 : http://www.snort.org/dl/binaries/win32/Snort_2_8_0_2_Installer.exe
8、winpcap
下载 :http://www.winpcap.org/install/bin/WinPcap_4_0_2.exe
9、snortrules
下载 :http://www.snort.org 需要注册用户才能下载
二、安装步骤:
计划把所有的软件包安装到 c:\ids 文件夹
1、 安装 apache
指定安装目录 c:\ids\apache
2、安装 php
解压缩 php 到 c:\ids\php5 文件夹
复制 php5ts.dll 文件到 c:\windows\system32 文件夹
复制 php.ini-dist 到 c:\windows 下并重命名为 php.ini
修改 c:\ids\apache\conf\httpd.conf 文件 , 加入 apache 对 php 的支持 如下图:
图1
上图为旧版本的写法
加入:loadmodule php5_module c:\ids\php\php5apache2.dll,
新版本的写法:loadmodule php5_module c:/ids/php5/php5apache2_2.dll。
图2
加入:addtype application/x-httpd-php .php
3、 修改 c:\widows\php.ini 文件 , 掉 extension=php_gd2.dll 前的分号
复制 c:\ids\php5\ext 文件夹下 php_gd2.dll 文件到 c:\windows 文件夹下
4、 重新启动 apache
5、 在 c:\ids\apache\htdocs 文件夹下编写 test.php 文件内容为 <?php phpinfo(); ?>
6、 打开浏览器输入 http://lcoalhsot/test.php. 如果浏览到了 php 的信息则说明一切正常, ( 注意:如果 test.php 文件出现下载提示,原因是 addtype 的那句话有错误,检查修改就可以了 )如下图:
上图为之前节的旧版本图,偷懒一下,最新版本的应该是 PHP Version 5.2.5。
7、 安装 winpcap
采取默认值即可
8、 安装 snort 并指定路径为 c:\ids\snort 文件夹
9、 测试 snort 安装是否正确
C:\ids\snort\snort\bin\snort.exe –W,如果安装 snort成功会出现一个可爱的小猪, 如下图:
10、安装 mysql
指定路径为 c:\ids\mysql
11、创建 snort 数据库的表
复制 c:\ids\snort\schames 文件夹下的 create_mysql 文件到 c:\ids\mysql\bin 文件夹下
打开 mysql 的的客户端执行如下命令
Create database snort;
Create database snort_archive;
Use snort;
Source create_mysql;
Use snort_archive;
Source create_mysql;
Grant all on *.* to “root”@”localhost”
12、 加入 php 对 mysql 的支持:
修改 c:\windows\php.ini 文件去掉 extension=php_mysql.dll 前的分号。
复制c:\ids\php5\ext 文件夹下的 php_mysql.dll 文件到 c:\windows 文件夹。
复制c:\ids\php5\libmysql.dll文件到c:\windows\system32下。
13、安装 adodb
解压缩 adodb 到 c:\ids\php5\adodb 文件夹下。
14、 安装 jgraph
解压缩 jpgraph 到 c:\ids\php5\jpgraph 文件夹下。
15、安装 acid
解压缩 acid 到 c\ids\apache\htdocs\acid 文件夹下
修改 acid_conf.php 文件
为以下内容
$DBlib_path = "c:\ids\php5\adodb";
$DBtype = "mysql";
$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "3306";
$alert_user = "root";
$alert_password = "810930";
$archive_dbname = "snort_archive";
$archive_host = "localhost";
$archive_port = "3306";
$archive_user = "root";
$archive_password = "810930";
$ChartLib_path = "c:\ids\php5\jpgraph\src";
16、重启apache、mysql服务。
17、 在浏览器中初始化 acid 数据库:
http://localhost/acid/acid_db_setup.php
如果配置以上11~18步正确,会出现如下图:
18、 解压缩 snort 规则包
把压缩包内的所有文件解压缩到 c:\ids\snort\ 下
19、 启动 snort 入侵检测
C:\ids\snort\bin\snort.exe –c “c:\ids\snort\etc\snort.conf” –l “c:\ids\snort\log” –d -e –X
如果你希望看到 snort 抓取的数据包则可以在 -X 之后加入参数 -v
20、如果出现以下错误 :
ERROR: Unable to open rules file: ../rules/local.rules or c:\ids\snort\etc\../rules/local.rules
Fatal Error, Quitting..
处理方法 : 规则包还没有安装
21、再次运行20项命令,出现如下错误:
Loading dynamic engine /usr/local/lib/snort_dynamicengine/libsf_engine.so... ERROR: Failed to load /usr/local/lib/snort_dynamicengine/libsf_engine.so: 126
Fatal Error, Quitting..
处理方法 : 在 snort 的配置文件中指定 libsf_engine. 的路径和文件名
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so... ERROR: Failed to load /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so: 126
处理方法 : 在 snort 的配置文件中指定 libsf_dcerpc_prepro 的路径和文件名
22、修改 snort 配置文件 c:\ids\snort\etc\snort.conf
修改内容如下:
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_dcerpc.dll
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_dns.dll
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dll
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dll
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dll
dynamicengine C:/ids/Snort/lib/snort_dynamicengine/sf_engine.dll
output database: alert, mysql, user=root password=810930 dbname=snort host=localhost encoding=hex detail=full
include c:\ids\snort\etc\classification.config
include c:\ids\snort\etc\reference.config
图1
图2
图3
修改以上错误后再次运行C:\ids\snort\bin\snort.exe –c “c:\ids\snort\etc\snort.conf” –l “c:\ids\snort\log” –d -e –X -v -i 2
2为网卡的编号。
此时会出现:Not Using PCAP_FRAMES
关闭snort运行程序,输入:Set PCAP_FRAMES=MAX ,snort -W保存配置。
再次运行:C:\ids\snort\bin\snort.exe –c “c:\ids\snort\etc\snort.conf” –l “c:\ids\snort\log” –d -e –X -v i 2
此时会出现:using PCAP_FRAMES
23、查看统计数据
http://www.lrq.com/acid/acid_main.php
1、apache
下载 : http://apache.mirror.phpchina.com/httpd/binaries/win32/apache_2.2.8-win32-x86-no_ssl.msi
2、acid
下载 : http://acidlab.sourceforge.net/acid-0.9.6b23.tar.gz
3、adodb
下载 : http://jaist.dl.sourceforge.net/sourceforge/adodb/adodb504.tgz
4、jpgraph
下载 : http://hem.bredband.net/jpgraph2/jpgraph-2.3.tar.gz
5、mysql
下载 :http://mysql.mirror.kangaroot.net/Downloads/MySQL-5.0/mysql-5.0.51a-win32.zip
6、php
下载 :http://cn.php.net/distributions/php-5.2.5-Win32.zip
7、snort
下载 : http://www.snort.org/dl/binaries/win32/Snort_2_8_0_2_Installer.exe
8、winpcap
下载 :http://www.winpcap.org/install/bin/WinPcap_4_0_2.exe
9、snortrules
下载 :http://www.snort.org 需要注册用户才能下载
二、安装步骤:
计划把所有的软件包安装到 c:\ids 文件夹
1、 安装 apache
指定安装目录 c:\ids\apache
2、安装 php
解压缩 php 到 c:\ids\php5 文件夹
复制 php5ts.dll 文件到 c:\windows\system32 文件夹
复制 php.ini-dist 到 c:\windows 下并重命名为 php.ini
修改 c:\ids\apache\conf\httpd.conf 文件 , 加入 apache 对 php 的支持 如下图:
图1
上图为旧版本的写法
加入:loadmodule php5_module c:\ids\php\php5apache2.dll,
新版本的写法:loadmodule php5_module c:/ids/php5/php5apache2_2.dll。
图2
加入:addtype application/x-httpd-php .php
3、 修改 c:\widows\php.ini 文件 , 掉 extension=php_gd2.dll 前的分号
复制 c:\ids\php5\ext 文件夹下 php_gd2.dll 文件到 c:\windows 文件夹下
4、 重新启动 apache
5、 在 c:\ids\apache\htdocs 文件夹下编写 test.php 文件内容为 <?php phpinfo(); ?>
6、 打开浏览器输入 http://lcoalhsot/test.php. 如果浏览到了 php 的信息则说明一切正常, ( 注意:如果 test.php 文件出现下载提示,原因是 addtype 的那句话有错误,检查修改就可以了 )如下图:
上图为之前节的旧版本图,偷懒一下,最新版本的应该是 PHP Version 5.2.5。
7、 安装 winpcap
采取默认值即可
8、 安装 snort 并指定路径为 c:\ids\snort 文件夹
9、 测试 snort 安装是否正确
C:\ids\snort\snort\bin\snort.exe –W,如果安装 snort成功会出现一个可爱的小猪, 如下图:
10、安装 mysql
指定路径为 c:\ids\mysql
11、创建 snort 数据库的表
复制 c:\ids\snort\schames 文件夹下的 create_mysql 文件到 c:\ids\mysql\bin 文件夹下
打开 mysql 的的客户端执行如下命令
Create database snort;
Create database snort_archive;
Use snort;
Source create_mysql;
Use snort_archive;
Source create_mysql;
Grant all on *.* to “root”@”localhost”
12、 加入 php 对 mysql 的支持:
修改 c:\windows\php.ini 文件去掉 extension=php_mysql.dll 前的分号。
复制c:\ids\php5\ext 文件夹下的 php_mysql.dll 文件到 c:\windows 文件夹。
复制c:\ids\php5\libmysql.dll文件到c:\windows\system32下。
13、安装 adodb
解压缩 adodb 到 c:\ids\php5\adodb 文件夹下。
14、 安装 jgraph
解压缩 jpgraph 到 c:\ids\php5\jpgraph 文件夹下。
15、安装 acid
解压缩 acid 到 c\ids\apache\htdocs\acid 文件夹下
修改 acid_conf.php 文件
为以下内容
$DBlib_path = "c:\ids\php5\adodb";
$DBtype = "mysql";
$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "3306";
$alert_user = "root";
$alert_password = "810930";
$archive_dbname = "snort_archive";
$archive_host = "localhost";
$archive_port = "3306";
$archive_user = "root";
$archive_password = "810930";
$ChartLib_path = "c:\ids\php5\jpgraph\src";
16、重启apache、mysql服务。
17、 在浏览器中初始化 acid 数据库:
http://localhost/acid/acid_db_setup.php
如果配置以上11~18步正确,会出现如下图:
18、 解压缩 snort 规则包
把压缩包内的所有文件解压缩到 c:\ids\snort\ 下
19、 启动 snort 入侵检测
C:\ids\snort\bin\snort.exe –c “c:\ids\snort\etc\snort.conf” –l “c:\ids\snort\log” –d -e –X
如果你希望看到 snort 抓取的数据包则可以在 -X 之后加入参数 -v
20、如果出现以下错误 :
ERROR: Unable to open rules file: ../rules/local.rules or c:\ids\snort\etc\../rules/local.rules
Fatal Error, Quitting..
处理方法 : 规则包还没有安装
21、再次运行20项命令,出现如下错误:
Loading dynamic engine /usr/local/lib/snort_dynamicengine/libsf_engine.so... ERROR: Failed to load /usr/local/lib/snort_dynamicengine/libsf_engine.so: 126
Fatal Error, Quitting..
处理方法 : 在 snort 的配置文件中指定 libsf_engine. 的路径和文件名
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so... ERROR: Failed to load /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so: 126
处理方法 : 在 snort 的配置文件中指定 libsf_dcerpc_prepro 的路径和文件名
22、修改 snort 配置文件 c:\ids\snort\etc\snort.conf
修改内容如下:
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_dcerpc.dll
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_dns.dll
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dll
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dll
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dll
dynamicengine C:/ids/Snort/lib/snort_dynamicengine/sf_engine.dll
output database: alert, mysql, user=root password=810930 dbname=snort host=localhost encoding=hex detail=full
include c:\ids\snort\etc\classification.config
include c:\ids\snort\etc\reference.config
图1
图2
图3
修改以上错误后再次运行C:\ids\snort\bin\snort.exe –c “c:\ids\snort\etc\snort.conf” –l “c:\ids\snort\log” –d -e –X -v -i 2
2为网卡的编号。
此时会出现:Not Using PCAP_FRAMES
关闭snort运行程序,输入:Set PCAP_FRAMES=MAX ,snort -W保存配置。
再次运行:C:\ids\snort\bin\snort.exe –c “c:\ids\snort\etc\snort.conf” –l “c:\ids\snort\log” –d -e –X -v i 2
此时会出现:using PCAP_FRAMES
23、查看统计数据
http://www.lrq.com/acid/acid_main.php
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- snort for snorby 入侵检测系统搭建
- 网络入侵检测系统(Snort)实验 实验平台的搭建和测试
- Snort搭建安全的Linux入侵检测系统服务器
- Snort入侵检测系统部署与测试
- Snort 网络入侵检测系统(一)之IDS 介绍
- 在 Ubuntu 上部署 Snort 入侵检测系统
- Snort入侵检测系统介绍
- 基于Snort的入侵检测系统 1-2(二)
- 基于snort和snortsam的入侵防御系统的搭建
- Windows 平台下基于 snort的入侵检测系统安装
- Snort 网络入侵检测系统(二)之Snort 介绍
- Snort 网络入侵检测系统(三)构建 Snort+Base NIDS 系统
- 我的Windows Server 2003系统重装步骤
- 基于Snort的入侵检测系统 3
- Snort 2.9.4.0 发布,入侵检测系统
- Snort入侵检测系统安装与配置
- Suricata 代替snort的网络入侵检测系统
- Windows Server 2003系统重装步骤
- Windows 平台下基于 snort的入侵检测系统安装