在windows server 2003搭建snort入侵检测系统步骤

  一、部署IDS入侵检测系统所需软件:
1、apache
下载 : [url]http://apache.mirror.phpchina.com/httpd/binaries/win32/apache_[/url]2.2.8-win32-x86-no_ssl.msi
 
2、acid 
下载 : [url]http://acidlab.sourceforge.net/acid-0.9.6b23.tar.gz[/url]
 
3、adodb
下载 : [url]http://jaist.dl.sourceforge.net/sourceforge/adodb/adodb504.tgz[/url]
 
4、jpgraph
下载 [url]http://hem.bredband.net/jpgraph2/jpgraph-2.3.tar.gz[/url]
 
5、mysql
下载 :[url]http://mysql.mirror.kangaroot.net/Downloads/MySQL-5.0/mysql-[/url]5.0.51a-win32.zip
 
6、php
下载 :[url]http://cn.php.net/distributions/php-[/url]5.2.5-Win32.zip
 
7、snort
下载 : [url]http://www.snort.org/dl/binaries/win32/Snort_2_8_0_2_Installer.exe[/url]
 
8、winpcap
下载 :[url]http://www.winpcap.org/install/bin/WinPcap_4_0_2.exe[/url]
 
9、snortrules
下载 :[url]http://www.snort.org[/url]  需要注册用户才能下载
 
二、安装步骤:
计划把所有的软件包安装到 c:\ids 文件夹
1、 安装 apache
指定安装目录 c:\ids\apache
 
2、安 php
解压缩 php c:\ids\php5 文件夹
复制 php5ts.dll 文件到  c:\windows\system32 文件夹
复制 php.ini-dist  c:\windows 下并重命名为 php.ini
修改 c:\ids\apache\conf\httpd.conf 文件 , 加入 apache php 的支持 如下图:
图1
 
上图为旧版本的写法
加入:loadmodule php5_module c:\ids\php\php5apache2.dll,
新版本的写法:loadmodule php5_module c:/ids/php5/php5apache2_2.dll。
图2
   
  加入:addtype application/x-httpd-php .php
3、 修改 c:\widows\php.ini 文件 , extension=php_gd2.dll 前的分号
复制 c:\ids\php5\ext 文件夹下 php_gd2.dll 文件到 c:\windows 文件夹下
 
4、 重新启动 apache
 
5、 c:\ids\apache\htdocs 文件夹下编写 test.php 文件内容为 <?php phpinfo(); ?>
 
6、 打开浏览器输入 [url]http://lcoalhsot/test.php.[/url] 如果浏览到了 php 的信息则说明一切正常, 注意:如果 test.php 文件出现下载提示,原因是 addtype 的那句话有错误,检查修改就可以了 )如下图:
 
上图为之前节的旧版本 图,偷懒一下 ,最新版本的应该是 PHP Version 5.2.5。
 
7、 安装 winpcap
采取默认值即可
 
8、 安装 snort 并指定路径为 c:\ids\snort 文件夹
 
9、 测试 snort 安装是否正确
C:\ids\snort\snort\bin\snort.exe �CW,如果安装 snort成功会出现一个可爱的小猪, 如下图:
  
10、 安装 mysql
指定路径为 c:\ids\mysql
 
11、 创建 snort 数据库的表
复制 c:\ids\snort\schames 文件夹下的 create_mysql 文件到 c:\ids\mysql\bin 文件夹下
打开 mysql 的的客户端执行如下命令
Create database snort;
Create database snort_archive;
Use snort;
Source create_mysql;
Use snort_archive;
Source create_mysql;
Grant all on *.* to “root”@”localhost”
 
12、 加入 php mysql 的支持:
修改 c:\windows\php.ini 文件去掉  extension=php_mysql.dll 前的分号。
复制c:\ids\php5\ext 文件夹下的 php_mysql.dll 文件到 c:\windows 文件夹。
复制c:\ids\php5\libmysql.dll文件到c:\windows\system32下。
 
13、 安装 adodb
解压缩 adodb c:\ids\php5\adodb 文件夹下。
 
14、 安装 jgraph
解压缩 jpgraph c:\ids\php5\jpgraph 文件夹下。
 
15、 安装 acid
解压缩 acid c\ids\apache\htdocs\acid 文件夹下
修改 acid_conf.php 文件
为以下内容
$DBlib_path = "c:\ids\php5\adodb";
$DBtype = "mysql";
$alert_dbname  = "snort";
$alert_host    = "localhost";
$alert_port    = "3306";
$alert_user    = "root";
$alert_password = "810930";
$archive_dbname  = "snort_archive";
$archive_host    = "localhost";
$archive_port    = "3306";
$archive_user    = "root";
$archive_password = "810930";
$ChartLib_path = "c:\ids\php5\jpgraph\src";
 
16、重启apache、mysql服务。
 
17、 在浏览器中初始化 acid 数据库:
[url]http://localhost/acid/acid_db_setup.php[/url]
如果配置以上11~18步正确,会出现如下图:
 
18、 解压缩 snort 规则包
把压缩包内的所有文件解压缩到 c:\ids\snort\
19、 启动 snort 入侵检测
C:\ids\snort\bin\snort.exe �Cc “c:\ids\snort\etc\snort.conf” �Cl “c:\ids\snort\log” �Cd -e �CX
如果你希望看到 snort 抓取的数据包则可以在 -X 之后加入参数 -v
20、如果出现以下 错误
ERROR: Unable to open rules file: ../rules/local.rules or c:\ids\snort\etc\../rules/local.rules
Fatal Error, Quitting..
处理方法 规则包还没有安装
21、再次 行20项命令,出现如下错误:
Loading dynamic engine /usr/local/lib/snort_dynamicengine/libsf_engine.so... ERROR: Failed to load /usr/local/lib/snort_dynamicengine/libsf_engine.so: 126
Fatal Error, Quitting..
处理方法 : snort 的配置文件中指定 libsf_engine. 的路径和文件名
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so... ERROR: Failed to load /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so: 126
处理方法 snort 的配置文件中指定 libsf_dcerpc_prepro 的路径和文件名
22、 修改 snort 配置文件 c:\ids\snort\etc\snort.conf
修改内容如下:
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_dcerpc.dll
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_dns.dll
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dll
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dll
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dll
dynamicengine C:/ids/Snort/lib/snort_dynamicengine/sf_engine.dll
output database: alert, mysql, user=root password=810930 dbname=snort host=localhost encoding=hex detail=full
include c:\ids\snort\etc\classification.config
include c:\ids\snort\etc\reference.config
图1
 
图2
 
图3
 
修改以上错误后再次运行C:\ids\snort\bin\snort.exe �Cc “c:\ids\snort\etc\snort.conf” �Cl “c:\ids\snort\log” �Cd -e �CX  -v -i 2
2为网卡的编号。
此时会出现:Not Using PCAP_FRAMES
关闭snort运行程序,输入:Set PCAP_FRAMES=MAX ,snort -W保存配置。
再次运行: C:\ids\snort\bin\snort.exe �Cc “c:\ids\snort\etc\snort.conf” �Cl “c:\ids\snort\log” �Cd -e �CX -v i 2
此时会出现:using PCAP_FRAMES
23、 查看统计数据
[url]http://www.lrq.com/acid/acid_main.php[/url]
 
 
 

你可能感兴趣的:(职场,休闲,ids,snort安装)