1、apache
下载
: [url]http://apache.mirror.phpchina.com/httpd/binaries/win32/apache_[/url]2.2.8-win32-x86-no_ssl.msi
2、acid
下载
:
[url]http://acidlab.sourceforge.net/acid-0.9.6b23.tar.gz[/url]
3、adodb
下载
: [url]http://jaist.dl.sourceforge.net/sourceforge/adodb/adodb504.tgz[/url]
4、jpgraph
下载
:
[url]http://hem.bredband.net/jpgraph2/jpgraph-2.3.tar.gz[/url]
5、mysql
下载
:[url]http://mysql.mirror.kangaroot.net/Downloads/MySQL-5.0/mysql-[/url]5.0.51a-win32.zip
6、php
下载
:[url]http://cn.php.net/distributions/php-[/url]5.2.5-Win32.zip
7、snort
下载
: [url]http://www.snort.org/dl/binaries/win32/Snort_2_8_0_2_Installer.exe[/url]
8、winpcap
下载
:[url]http://www.winpcap.org/install/bin/WinPcap_4_0_2.exe[/url]
9、snortrules
下载
:[url]http://www.snort.org[/url]
需要注册用户才能下载
二、安装步骤:
计划把所有的软件包安装到
c:\ids
文件夹
1、
安装
apache
指定安装目录
c:\ids\apache
2、安
装
php
解压缩
php
到
c:\ids\php5
文件夹
复制
php5ts.dll
文件到
c:\windows\system32
文件夹
复制
php.ini-dist
到
c:\windows
下并重命名为
php.ini
修改
c:\ids\apache\conf\httpd.conf
文件
,
加入
apache
对
php
的支持
如下图:
图1
上图为旧版本的写法
加入:loadmodule php5_module c:\ids\php\php5apache2.dll,
新版本的写法:loadmodule php5_module c:/ids/php5/php5apache2_2.dll。
图2
加入:addtype application/x-httpd-php .php
3、
修改
c:\widows\php.ini
文件
,
掉
extension=php_gd2.dll
前的分号
复制
c:\ids\php5\ext
文件夹下
php_gd2.dll
文件到
c:\windows
文件夹下
4、
重新启动
apache
5、
在
c:\ids\apache\htdocs
文件夹下编写
test.php
文件内容为
<?php phpinfo(); ?>
6、
打开浏览器输入
[url]http://lcoalhsot/test.php.[/url] 如果浏览到了 php
的信息则说明一切正常,
(
注意:如果
test.php
文件出现下载提示,原因是
addtype
的那句话有错误,检查修改就可以了
)如下图:
上图为之前节的旧版本
图,偷懒一下
,最新版本的应该是
PHP Version 5.2.5。
7、
安装
winpcap
采取默认值即可
8、
安装
snort
并指定路径为
c:\ids\snort
文件夹
9、
测试
snort
安装是否正确
C:\ids\snort\snort\bin\snort.exe �CW,如果安装
snort成功会出现一个可爱的小猪,
如下图:
10、
安装
mysql
指定路径为
c:\ids\mysql
11、
创建
snort
数据库的表
复制
c:\ids\snort\schames
文件夹下的
create_mysql
文件到
c:\ids\mysql\bin
文件夹下
打开
mysql
的的客户端执行如下命令
Create database snort;
Create database snort_archive;
Use snort;
Source create_mysql;
Use snort_archive;
Source create_mysql;
Grant all on *.* to “root”@”localhost”
12、
加入
php
对
mysql
的支持:
修改
c:\windows\php.ini
文件去掉
extension=php_mysql.dll
前的分号。
复制c:\ids\php5\ext
文件夹下的
php_mysql.dll
文件到
c:\windows
文件夹。
复制c:\ids\php5\libmysql.dll文件到c:\windows\system32下。
13、
安装
adodb
解压缩
adodb
到
c:\ids\php5\adodb
文件夹下。
14、
安装
jgraph
解压缩
jpgraph
到
c:\ids\php5\jpgraph
文件夹下。
15、
安装
acid
解压缩
acid
到
c\ids\apache\htdocs\acid
文件夹下
修改
acid_conf.php
文件
为以下内容
$DBlib_path = "c:\ids\php5\adodb";
$DBtype = "mysql";
$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "3306";
$alert_user = "root";
$alert_password = "810930";
$archive_dbname = "snort_archive";
$archive_host = "localhost";
$archive_port = "3306";
$archive_user = "root";
$archive_password = "810930";
$ChartLib_path = "c:\ids\php5\jpgraph\src";
16、重启apache、mysql服务。
17、
在浏览器中初始化
acid
数据库:
[url]http://localhost/acid/acid_db_setup.php[/url]
如果配置以上11~18步正确,会出现如下图:
18、
解压缩
snort
规则包
把压缩包内的所有文件解压缩到
c:\ids\snort\
下
19、
启动
snort
入侵检测
C:\ids\snort\bin\snort.exe �Cc “c:\ids\snort\etc\snort.conf” �Cl “c:\ids\snort\log” �Cd -e �CX
如果你希望看到
snort
抓取的数据包则可以在
-X
之后加入参数
-v
20、如果出现以下
错误
:
ERROR: Unable to open rules file: ../rules/local.rules or c:\ids\snort\etc\../rules/local.rules
Fatal Error, Quitting..
处理方法
:
规则包还没有安装
21、再次
运
行20项命令,出现如下错误:
Loading dynamic engine /usr/local/lib/snort_dynamicengine/libsf_engine.so... ERROR: Failed to load /usr/local/lib/snort_dynamicengine/libsf_engine.so: 126
Fatal Error, Quitting..
处理方法
:
在
snort
的配置文件中指定
libsf_engine.
的路径和文件名
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so... ERROR: Failed to load /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so: 126
处理方法
:
在
snort
的配置文件中指定
libsf_dcerpc_prepro
的路径和文件名
22、
修改
snort
配置文件
c:\ids\snort\etc\snort.conf
修改内容如下:
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_dcerpc.dll
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_dns.dll
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dll
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dll
dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dll
dynamicengine C:/ids/Snort/lib/snort_dynamicengine/sf_engine.dll
output database: alert, mysql, user=root password=810930 dbname=snort host=localhost encoding=hex detail=full
include c:\ids\snort\etc\classification.config
include c:\ids\snort\etc\reference.config
图1
图2
图3
修改以上错误后再次运行C:\ids\snort\bin\snort.exe �Cc “c:\ids\snort\etc\snort.conf” �Cl “c:\ids\snort\log” �Cd -e �CX -v -i 2
2为网卡的编号。
此时会出现:Not Using PCAP_FRAMES
关闭snort运行程序,输入:Set PCAP_FRAMES=MAX ,snort -W保存配置。
再次运行:
C:\ids\snort\bin\snort.exe �Cc “c:\ids\snort\etc\snort.conf” �Cl “c:\ids\snort\log” �Cd -e �CX -v i 2
此时会出现:using PCAP_FRAMES
23、
查看统计数据
[url]http://www.lrq.com/acid/acid_main.php[/url]