如何在WinXP平台下架设Snort+acid入侵侦测系统

安装文件列表
  在正式安装前,请大家先下载下列档案
.appserv-win32-2.4.1.exe
 作用:可快速建立Apache/PHP/MySQL环境。
 网址:http://www.appservnetwork.com/?modules=&applang=tw
 备注:请下载2.4.1版本即可,否则Snort连结至MySQL会产生错误。
.WinPcap_3_0.exe
 作用:把网卡设置为“混杂”模式,然后处理网络截取的封包
 网址:http://winpcap.polito.it/default.htm
.Snort_232_Build12_Installer.exe或2.0版本
 作用:Windows版的Snort安装程序
 网址:http://www.snort.org/
.acid-0.9.6b23.tar.gz
 作用:PHP网页模式的入侵侦测数据库分析控制台。
 网址:http://www.cert.org/kb/acid/
.adodb480.zip
 作用:PHP数据库链接库
 网址:http://adodb.sourceforge.net/
.jpgraph-1.20.3.tar.gz
 作用:Object-Oriented图形链接库For PHP
 网址:http://www.aditus.nu/jpgraph/
安装步骤
一、首先安装appserv-win32-2.4.1.exe。
二、安装完毕后,至C:\WINNT开启php.ini这个档案,寻找
allow_call_time_pass_reference=Off字符串,将它更改为
  allow_call_time_pass_reference=On后,存档离开。
三、『开始』→『程序集』→『Appserv』→『Apache Control Server』
  →『Apache Monitor』,会出现在系统列(小时钟旁边),按右键
  『Open Apache Monitor』开启后,按下『restart』重新加载php.ini
四、开启IE,网址打入自己的IP地址(http://localhost)测试Appserv是否安装成功。
五、安装WinPcap_3_0.exe。
六、安装Snort_232_Build12_Installer.exe
七、进入http://localhost/phpmyadmin 新增/indexSnort使用者(建立这个使用者其实也没有必要,使用数据库自带的root也可以,这个链接原文中也有问题,这里修改过了)
使用者名称:snort
主 机:% (设定任何主机都可登入)
密 码:(自己设定)
确认密 码:(自己设定)
八、建立snort与snort_archive(搞不懂建立这个数据库是做什么用的,反正我没有建照样安装成功了)数据库。
九、 在mysql数据库操作页面上为snort数据库添加表项,即执行C:\Snort\contrib内之create_mysql文件的sql命令(原文中这个步骤是错误的)。
十、解压缩adodb480.zip至C:\Appserv\php\adodb目录中
十一、解压缩jpgraph-1.17.tar.gz至C:\Appserv\php\jpgraph目录中
十二、解压缩acid-0.9.6b23.tar.gz至C:\Appserv\www\acid目录中
十三、编辑C:\Appserv\www\acid\acid_conf.php档案如下(利用寻找功能去修改字符串)
$DBlib_path="c:\appserv\php\adodb"
 
$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "";
$alert_user = "root";
$alert_password = "";
 
$archive_dbname = "snort_archive";
$archive_host = "localhost";
$archive_port = "";
$archive_user = "root";
$archive_password = "";
 
$ChartLib_path = "C:\AppServ\php\jpgraph\src";
十四、建立acid所需要的数据库,使用IE进入http://localhost/acid/acid_db_setup.php
点击页面上面的两个按钮与snort数据库建立关联(原文中这里介绍的很模糊,如果这一步没有成功,可能是第9步没没有给数据库建立必要的表,重新执行第9步)。
十五、编辑C:\Snort\etc\snort.conf档案如下
var RULE_PATH c:\snort\rules
output database: alert, mysql, user=root dbname=snort host=localhost
include C:\Snort\etc\classification.config
include C:\Snort\etc\reference.config
十六、至C:\Snort\bin\目录底下新增runsnort.bat档案,内容如下
snort -c "c:\snort\etc\snort.conf" -l "c:\snort\log" -d -e -X
十七、『开始』→『执行』键入cmd进入命令提示字符模式,键入
『cd c:\snort\bin』至C:\snort\bin目录下,再键入『runsnort』。
十八、开启后勿关闭窗口。回到IE打入http://localhost/acid观看,即完成Snort设定。
=======================================================================
补充:
安装SAM(Snort Alert Monitor)
安装文件列表
.j2re-1_4_2_07-windows-i586-p.exe
功用:Java Runtime Environment,安装后才能执行sam.jar程序
网址:http://java.sun.com/j2se/1.4.2/download.html
.sam_20050206_bin.zip
功能:Snort监控程序
网址:http://freesoftware.lookandfeel.com/sam/
安装步骤
一、安装j2re-1_4_2_07-windows-i586-p.exe后,解压缩
sam_20050206_bin.zip至C:\SAM目录中,利用JRE开启
sam.jar程序。
二、Database Login画面中设定
hostname→localhost:3306
Database→snort
username→snort
password→(刚才在mysql设定snort的密码)
按下OK即可。

 

 

你可能感兴趣的:(系统,平台,ACID,winxp,snort)