如何在WinXP平台下架设Snort+acid入侵侦测系统

安装文件列表
　　在正式安装前，请大家先下载下列档案
．appserv-win32-2.4.1.exe
　作用：可快速建立Apache/PHP/MySQL环境。
　网址：http://www.appservnetwork.com/?modules=&applang=tw
　备注：请下载2.4.1版本即可，否则Snort连结至MySQL会产生错误。
．WinPcap_3_0.exe
　作用：把网卡设置为“混杂”模式，然后处理网络截取的封包
　网址：http://winpcap.polito.it/default.htm
．Snort_232_Build12_Installer.exe或2.0版本
　作用：Windows版的Snort安装程序
　网址：http://www.snort.org/
．acid-0.9.6b23.tar.gz
　作用：PHP网页模式的入侵侦测数据库分析控制台。
　网址：http://www.cert.org/kb/acid/
．adodb480.zip
　作用：PHP数据库链接库
　网址：http://adodb.sourceforge.net/
．jpgraph-1.20.3.tar.gz
　作用：Object-Oriented图形链接库For PHP
　网址：http://www.aditus.nu/jpgraph/
安装步骤
一、首先安装appserv-win32-2.4.1.exe。
二、安装完毕后，至C:\WINNT开启php.ini这个档案，寻找
allow_call_time_pass_reference=Off字符串，将它更改为
　　allow_call_time_pass_reference=On后，存档离开。
三、『开始』→『程序集』→『Appserv』→『Apache Control Server』
　　→『Apache Monitor』，会出现在系统列（小时钟旁边），按右键
　　『Open Apache Monitor』开启后，按下『restart』重新加载php.ini
四、开启IE，网址打入自己的IP地址(http://localhost)测试Appserv是否安装成功。
五、安装WinPcap_3_0.exe。
六、安装Snort_232_Build12_Installer.exe
七、进入http://localhost/phpmyadmin 新增/indexSnort使用者（建立这个使用者其实也没有必要，使用数据库自带的root也可以，这个链接原文中也有问题，这里修改过了）
使用者名称:snort
主 机:% (设定任何主机都可登入)
密 码:(自己设定)
确认密 码:(自己设定)
八、建立snort与snort_archive（搞不懂建立这个数据库是做什么用的，反正我没有建照样安装成功了）数据库。
九、 在mysql数据库操作页面上为snort数据库添加表项，即执行C:\Snort\contrib内之create_mysql文件的sql命令（原文中这个步骤是错误的）。
十、解压缩adodb480.zip至C:\Appserv\php\adodb目录中
十一、解压缩jpgraph-1.17.tar.gz至C:\Appserv\php\jpgraph目录中
十二、解压缩acid-0.9.6b23.tar.gz至C:\Appserv\www\acid目录中
十三、编辑C:\Appserv\www\acid\acid_conf.php档案如下(利用寻找功能去修改字符串)
$DBlib_path="c:\appserv\php\adodb"
 
$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "";
$alert_user = "root";
$alert_password = "";
 
$archive_dbname = "snort_archive";
$archive_host = "localhost";
$archive_port = "";
$archive_user = "root";
$archive_password = "";
 
$ChartLib_path = "C:\AppServ\php\jpgraph\src";
十四、建立acid所需要的数据库，使用IE进入http://localhost/acid/acid_db_setup.php
点击页面上面的两个按钮与snort数据库建立关联（原文中这里介绍的很模糊，如果这一步没有成功，可能是第9步没没有给数据库建立必要的表，重新执行第9步）。
十五、编辑C:\Snort\etc\snort.conf档案如下
var RULE_PATH c:\snort\rules
output database: alert, mysql, user=root dbname=snort host=localhost
include C:\Snort\etc\classification.config
include C:\Snort\etc\reference.config
十六、至C:\Snort\bin\目录底下新增runsnort.bat档案，内容如下
snort -c "c:\snort\etc\snort.conf" -l "c:\snort\log" -d -e -X
十七、『开始』→『执行』键入cmd进入命令提示字符模式，键入
『cd c:\snort\bin』至C:\snort\bin目录下，再键入『runsnort』。
十八、开启后勿关闭窗口。回到IE打入http://localhost/acid观看，即完成Snort设定。
=======================================================================
补充:
安装SAM(Snort Alert Monitor)
安装文件列表
．j2re-1_4_2_07-windows-i586-p.exe
功用:Java Runtime Environment，安装后才能执行sam.jar程序
网址:http://java.sun.com/j2se/1.4.2/download.html
．sam_20050206_bin.zip
功能:Snort监控程序
网址:http://freesoftware.lookandfeel.com/sam/
安装步骤
一、安装j2re-1_4_2_07-windows-i586-p.exe后，解压缩
sam_20050206_bin.zip至C:\SAM目录中，利用JRE开启
sam.jar程序。
二、Database Login画面中设定
hostname→localhost:3306
Database→snort
username→snort
password→(刚才在mysql设定snort的密码)
按下OK即可。