1,需要的组件以及它们的作用,功能(各个安装文件去相关软件的主页下载):
(1)WinPcap:windwos下的捕获网络数据包的驱动程序库,[url]http://winpcap.polito.it/[/url]
(2)snort:将其捕获的数据发送至数据库,[url]http://www.snort.org/[/url]
(3)apache:为系统提供了web服务支持,[url]http://www.apache.org/[/url]。
(4)php:为系统提供了php支持,使apache能够运行php程序,[url]http://www.php.net/[/url]。
(5)MySQL:存储网络数据包的数据库,[url]http://www.mysql.com/[/url]。
(6)acid:是基于php的入侵检测数据库分析控制台(刚才安装apache和php就是为了能运行它)[url]http://www.cert.org/kb/acid/[/url]
(7)adodb:是php数据库的连接组件,[url]http://adodb.sourceforge.net/[/url]。
(8)Jpgraph:Object-Oriented图形链接库For PHP,[url]http://www.aditus.nu/jpgraph/[/url]。
acid:通过adodb从mssql.snort数据库中读取数据,将分析结果显示在网页上,并使用jpgraph组件对其进行图形化分析。
2,安装
一,安装WinPcap,一路next,就ok了.
二,安装Apache,PHP,MySQL,注意选择MySQL4.0版本,4.1版本对客户端采用了新的验证方式,登录会有点问题.
(一),首先是Apache的正确安装了:
1,去 [url]http://httpd.apache.org/[/url]下载Apache最新版本,目前Apache1系列最新的是1.3.33,2系列最新的是2.0.52,以下以2系列的为例:
2,正确地设置Network Domain和Server Name(如果不打算将Apache安装到远程计算机,那么设置localhost就可以了),在Administrator's Email Address输入电子邮件地址,保持端口80/服务选项单选钮的选中状态。
3,建议将默认安装目录从C:\Program Files\Apache Group\变成C:\Apache或者符合8.3文件名格式的比较简单目录的
其他名称。这样一来,以后每次输入Apache安装路径时,都不会很复杂。
4,安装成功后,打开浏览器并访问localhost,这样应该看到默认的Apache 2主页。
5,然后可以删除主Web服务器目录中的所有示例文件,它们默认位于/Apache/Apache2/htdocs中。如果有一个现成的主页Index.html,请把它拷贝到这里。
6,Apache配置文件是/Apache/Apache2/Conf/Httpd.conf。
7,用任何文本编辑器来打开编辑。
修改以下配置:
查找DirectoryIndex,定位到下面这一行:
DirectoryIndex index.html index.html.var # index.php
为了允许Apache处理PHP页,要删除注释字符(#),变成:
DirectoryIndex index.html index.html.var index.php
还要允许在任何目录中使用.htaccess文件,所以请在配置文件中查找AllowOverride,把这个设置从None改成All。
还有下面的配置修改一下:
1、#AddDefaultCharset ISO-8859-1
#默认显示中文
AddDefaultCharset GB2312
或者干脆AddDefaultCharset off
2、修改默认页面。
DirectoryIndex index.html index.html.var index.php
#从index.html依次往后。
配置Httpd.conf,切记,Httpd.conf文件以后,一定要重新启动Apache才能使修改后的文件生效。(二),安装PHP4.3.10。
执行php-4.3.10-installer.exe完成安装。
解压php-4.3.10-Win32.zip文件,然后找到压缩包中的 sapi 文件夹。把该文件夹复制到刚才安装好的PHP目录。
把 PHP文件夹中的php4ts.dll复制到你的系统目录。
然后开始修改Apache的conf文件。
需要注意conf文件的两个部分,第一部分是 Dynamic Shared Object (DSO) Support list,第二部分是 cgi-bin directory
首先让我们找到如下所示的 DSO 列表.
# Dynamic Shared Object (DSO) Support
#
# to be able to use the functionality of a module which was built as a DSO you
# have to place corresponding `LoadModule' lines at this location so the
# directives contained in it are actually available _before_ they are used.
# Statically compiled modules (those listed by `httpd -l') do not need
# to be loaded here.
#
# Example:
# LoadModule foo_module modules/mod_foo.so
这还有许多,一直找到最后一行:
#LoadModule ssl_module modules/mod_ssl.so
上面一行是该列表的最后一行,按回车产生一个空的行,在这个空行内加入下面这行:
LoadModule php4_module c:/php/sapi/php4apache2.dll
找到CGI-BIN目录,查找 <Directory "C:/Apache2/cgi-bin"> ,在第二个</Directory>后面两次回车,以便加入下面两行:
AddType application/x-httpd-php .php .phtml .php3 .php4
AddType application/x-httpd-php-source .phps
添加好后,保存你的conf文件,并重新启动你的apache服务器。记住一定要重新启动Apache才能使设置生效。
◎测试用的代码:
1、<? phpinfo(); ?>
把它保存为 index.php,再试一试访问localhost,就可以现在php信息的页面了。
三、安装Snort
使用默认安装路径c:\snort,选择数据库为 MySQL,并按照以下修改C:\Snort\etc\snort.conf文件:
var RULE_PATH c:\snort\rules
output database: alert, mysql, user=root dbname=snort host=localhost
include C:\Snort\etc\classification.config
include C:\Snort\etc\reference.config
四、安装adodb
解压缩adodb461.zip 至c:\php\adodb 目录下
五、安装acid
(1)解压缩acid压缩包至apache2\htdocs\acid目录下
(2)修改acid_conf.php文件,找到相应的行,并把它们改成:
$DBtype = "mysql";
$DBlib_path = "c:\php\adodb";
$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "";
$alert_user = "snort";
$alert_password = "yourpassword";
/* Archive DB connection parameters */
$archive_dbname = "snort_archive";
$archive_host = "localhost";
$archive_port = "";
$archive_user = "snort";
$archive_password = "yourpassword";
$ChartLib_path = "c:\php\jpgraph\src";
(3)打开 [url]http://localhost/acid/acid_db_setup.php[/url],测试基本功能是否安装成功。如果有错误,则根据错误情况重新检查。在正常情况下,到此处应该能够正常连接数据库。
六、安装jpgrapg 库
(1)解压缩jpgraph压缩包至c:\php\ jpgraph
(2)修改jpgraph.php
DEFINE("CACHE_DIR","/tmp/jpgraph_cache/");
3,运行snort,打开ACID
(1),进入cmd命令窗口,切换到snort安装目录,例如c:\snort\bin运行snort -c "c:\snort\etc\snort.conf" -l "c:\snort\logs" -d,运行后不要关闭窗口.
(2),输入 [url]http://localhost/acid/[/url],应该可以看到当前的网络情况分析。
OVER!