2.启用PHPMySQL的支持

c:\windows\php.ini安装目录下,找到先前重命名并编辑过的 php.ini,如下图所示,Ln606,把“;extension=php_mysql.dll”前的“;”去掉,加载mysql模块。保存,关闭后,重启apache就可以了。这里也可以选择其它要加载的模块,去掉前面的“;”,就表示要加载此模块了,加载的越多,占用的资源也就多一点,不过也多不到哪去。所有的模块文件都放在php解压缩目录的“ext”之下,编辑好后保存,关闭。
 
 
Windows下安装基于主机的IDS(4)_第1张图片
 
 
 
同样,加载了模块后,就要指明模块的位置,否则重启Apache的时候会提示找不到指定模块的错误,这里介绍一种最简单的方法,直接将 php安装路径、里面的ext路径指定到windows系统路径中——我的电脑上右键,属性,选择高级标签,点选环境变量,在系统变量下找到“Path”变量,选择,双击或点击编辑,将“;c:\php5;c:\php5\ext”加到原有值的后面,当然,其中的“c:\php 5” 是我的安装目录,你要将它改为自己的php安装目录,如下图所示,全部确定。系统路径添加好后要重启电脑才能生效,可以现在重启,也可以在所有软件安装或配置好后重启。
 
 
Windows下安装基于主机的IDS(4)_第2张图片
 
 
 
此外: 也可以将c:\php5\ext\目录下的php_mysql.dll文件复制到%systemroot%
           c:\php5\下的 libmysql.dll 文件复制到%systemroot%\system32
 
 
 

3.创建Snort运行必须的snort库和snort_archive库:

Windows下安装基于主机的IDS(4)_第3张图片

 

4.建立Snort运行必须的数据表

1.c:\snort\shcemas目录下的create_mysql 复制到c:\mysql server 5.0\bin
Windows下安装基于主机的IDS(4)_第4张图片

 

此外也可以直接在CMD下运行
Windows下安装基于主机的IDS(4)_第5张图片

 

5.创建MySQL帐户snortacid

  使用IDSCenteracid 能正常访问MySQL中与snort相关的数据文件,实现语句为:
Windows下安装基于主机的IDS(4)_第6张图片

 

 

6.acid用户和snort用户分配相关权限,实现语句为:

Windows下安装基于主机的IDS(4)_第7张图片

 

6、安装ADODB

 
解压缩adodb465.zip c:\php5\adodb 目录下

7、安装JPGRAPH

解压缩jpgraph- 2.1.4 .tar.gz c:\php5\jpgraph

Windows下安装基于主机的IDS(4)_第8张图片

 
 

8、安装 acid

ACID是一种通过Web界面来分析察看Snort数据的工具。它是用PHP编写的,与SnortMySQL数据库一同工作。
解压缩acid- 0.9.6 b23.tar.gz C:\apach\Apache2\htdocs\acid 目录
修改acid_conf.php文件为下列格式:注意以写字板打开。
 
Windows下安装基于主机的IDS(4)_第9张图片
 
 
Windows下安装基于主机的IDS(4)_第10张图片
 
 
Windows下安装基于主机的IDS(4)_第11张图片
 
 
 
注意:配置完成后要重新启动apache
 

9、建立acid运行必须的数据库

如下图所示:
 
Windows下安装基于主机的IDS(4)_第12张图片
 
Windows下安装基于主机的IDS(4)_第13张图片
 
 
Windows下安装基于主机的IDS(4)_第14张图片
 
数据库以创建好。关闭此页就可以了。

四、配置Snort

1.  安装时,有让选择使用那种数据库:选择默认(其他两种数据库需要提前安装SQL ServerOracle的客户端)。
2.  编辑c:\snort\etc\snort.conf文件为如下格式:(使用写字板编辑)
Windows下安装基于主机的IDS(4)_第15张图片
 
设置snort 输出alert MySQL Server,添加如行
Windows下安装基于主机的IDS(4)_第16张图片
 
上边的如果不行可以把第二行删掉,试一下。
Windows下安装基于主机的IDS(4)_第17张图片
 
3. 添加规则库
加压缩snortrules-snapshot-CURRENT.tar.gz文件分别到c:\snort\doc c:\snort\rules目录下。
也就是将snortrules-snapshot-CURRENT.tar.gz中的doc目录内容解压到c:\snort\doc目录下
snortrules-snapshot-CURRENT.tar.gz中的rules目录中的内容解压到c:\snort\rules目录下
4. 测试Snort 是否正常工作
c:\snort\bin>snort -c "c:\snort\etc\snort.conf" -l "c:\snort\log" -i 2 d -e -X
-X 参数用于在数据链接层记录raw packet 数据
-d 参数记录应用层的数据
-e 参数显示/记录第二层报文头数据
-c 参数用以指定snort 的配置文件的路径
-i 指明监听的网络接口。
如下图所示:
Windows下安装基于主机的IDS(4)_第18张图片
 
注意会出现如下图的问题
Windows下安装基于主机的IDS(4)_第19张图片
 
 
关于Not Using PCAP_FRAMES 的问题,它仅仅是运行snort的时候启动不启动PCAP_FRAMES,启动了能够提高性能,而要启动要提高性能只要设置环境变量就OK了。
设置方法如下图:(注意设置系统变量要重启机器,设置用户变量要注销用户)
Windows下安装基于主机的IDS(4)_第20张图片
 
设置完成后测试结果为下图:
Windows下安装基于主机的IDS(4)_第21张图片
 
 
 
Ctrl+c可以结束监控
使用ACID察看检查到的结果
Windows下安装基于主机的IDS(4)_第22张图片
 
 
 
 
写在最后,贴了两天终于贴完了,这时候我感觉到汪老师写这篇文章真的是呕心沥血啊!!!看了这几篇文章如果你什么也没学到,那就错了,至少我们可以学习到,细心、不怕麻烦的求和精神!!!