Snort 安装指南(Windows2003平台)
Snort 是一套非常优秀的IDS和网络监测系统,值得大中型网络管理者和网络安全研究人员去学习使用.
注:本文不适合普通电脑用户阅读.
安装平台: Windows Server 2003 SP1 + MS SQL / My SQL + IIS / Apache + PHP4 / PHP5
需要软件包:(以下软件包都可以从本站直接下载获取)
Snort 2.6.1.1 Windows 版本的Snort 安装包 以及 Snort 规则库(注册用户下载)
[url]http://www.snort.org/dl/binaries/win32/[/url]
WinPcap 3.1 网络数据包截取驱动程序 (4.0Beta 2 版也可)
[url]http://winpcap.polito.it/[/url]
BSAE 1.2.7 基于php 的入侵检测数据库分析控制台
[url]http://sourceforge.net/project/showfiles.php?group_id=103348[/url]
PHP4 / PHP5 Windows 版本的php 脚本环境支持
[url]http://www.php.net/downloads.php[/url]
adodb493a(Active Data Objects Data Base)库for PHP
[url]http://sourceforge.net/project/showfiles.php?group_id=42718[/url]
jpgraph 1.20.5 图形库for PHP4 / jpgraph 2.1.4 图形库for PHP5
[url]http://www.aditus.nu/jpgraph/jpdownload.php[/url]
2. 解压缩 base-1.2.7.tar.gz 至 c:\wwwroot 目录, 并将此目录设为 web 主目录.
解压缩 adodb493a.zip 至 c:\wwwroot\adodb 目录
根据你使用的 PHP 版本, 解压缩 jpgraph-1.20.5.zip 或 jpgraph-2.1.4.tar.gz
至 c:\wwwroot\jpgraph 目录
3.安装 WinPcap 和 Snort, 使用默认安装路径 c:\snort,安装过程中注意选择数据库类型
将 snortrules-snapshot-CURRENT.tar.gz 规则库内容解压缩到 c:\Snort
====================
以下为 MS-SQL 安装
====================
SQL2000里新建 snort 用户, 新建 snort 数据库并赋予 snort 用户 DB_owner 权限
用 snort 用户登录SQL查询分析器,
a. 使用 c:\Snort\schemas\create_mssql 的内容在查询分析器里执行,
b..访问 [url]http://localhost/index.php[/url] 的 BASE 目录,根据提示完成安装.
配置完成后会在 wwwroot 目录下生成 base_conf.php 这个配置文件, 如果要重新配置, 删除此文件即可.
====================
以下为 MySQL 安装
====================
a.MySQL 里面新建 snort 数据库
mysql> create database snort;
转到 snort 数据库
mysql> use snort;
Database changed
mysql>
在>后执行 c:\Snort\schemas\create_mysql 的内容
注:本文不适合普通电脑用户阅读.
安装平台: Windows Server 2003 SP1 + MS SQL / My SQL + IIS / Apache + PHP4 / PHP5
需要软件包:(以下软件包都可以从本站直接下载获取)
Snort 2.6.1.1 Windows 版本的Snort 安装包 以及 Snort 规则库(注册用户下载)
[url]http://www.snort.org/dl/binaries/win32/[/url]
WinPcap 3.1 网络数据包截取驱动程序 (4.0Beta 2 版也可)
[url]http://winpcap.polito.it/[/url]
BSAE 1.2.7 基于php 的入侵检测数据库分析控制台
[url]http://sourceforge.net/project/showfiles.php?group_id=103348[/url]
PHP4 / PHP5 Windows 版本的php 脚本环境支持
[url]http://www.php.net/downloads.php[/url]
adodb493a(Active Data Objects Data Base)库for PHP
[url]http://sourceforge.net/project/showfiles.php?group_id=42718[/url]
jpgraph 1.20.5 图形库for PHP4 / jpgraph 2.1.4 图形库for PHP5
[url]http://www.aditus.nu/jpgraph/jpdownload.php[/url]
Apache 2.0.59
[url]http://httpd.apache.org/[/url]
MySQL 5.0.27 数据库
[url]http://www.mysql.com[/url]
安装说明:
1.配置 Apache + PHP 或者 IIS + PHP 环境, 这方面网上例子很多, 不做详述.
PHP 安装目录设为 c:\PHP, php.ini 配置文件根据需要修改下面两行
extension=php_mssql.dll
extension=php_mysql.dll
取消注释.
此外:还需修改php.ini中extension_dir指定路径。
如果是php4,应该是:extension_dir = c:/php/extensions
如果是php5,应该是:extension_dir = c:/php/ext
根据php安装路径中的目录名来设定。
[url]http://httpd.apache.org/[/url]
MySQL 5.0.27 数据库
[url]http://www.mysql.com[/url]
安装说明:
1.配置 Apache + PHP 或者 IIS + PHP 环境, 这方面网上例子很多, 不做详述.
PHP 安装目录设为 c:\PHP, php.ini 配置文件根据需要修改下面两行
extension=php_mssql.dll
extension=php_mysql.dll
取消注释.
此外:还需修改php.ini中extension_dir指定路径。
如果是php4,应该是:extension_dir = c:/php/extensions
如果是php5,应该是:extension_dir = c:/php/ext
根据php安装路径中的目录名来设定。
调用GD库
取消 ;extension=php_gd2.dll,前面的分号。
取消 ;extension=php_gd2.dll,前面的分号。
因为要安装pear,所以还要指定pear的安装路径(pear的安装后面再说),如:
include_path = c:\php\pear
include_path = c:\php\pear
另外需要注意: php4和mysql5配合有问题,据说是mysql5登录方式较以前版本有变化。所以一般选择php4+mysql4,或者php5+mysql5。
修改apache配置文件httpd.conf,作如下修改:
如果是php4:
LoadModule php4_module "c:/php/sapi/php4apache2.dll"
AddType application/x-httpd-php .php
如果是php5:
LoadModule php5_module "c:/php/php5apache2.dll"
AddType application/x-httpd-php .php
php.ini不需要拷贝到windows目录中,只要httpd.conf中作如下指定:
PHPIniDir "c:/php"
如果是php4:
LoadModule php4_module "c:/php/sapi/php4apache2.dll"
AddType application/x-httpd-php .php
如果是php5:
LoadModule php5_module "c:/php/php5apache2.dll"
AddType application/x-httpd-php .php
php.ini不需要拷贝到windows目录中,只要httpd.conf中作如下指定:
PHPIniDir "c:/php"
修改完成后,重启apache。如果启动报错,不妨使用apache 的test模式启动来查看具体错误。DOS下进入apache安装路径的bin目录。运行:apache.exe -t,或者httpd.exe -t(不同apache版本的执行文件有区别)
安装pear(windows系统下安装方式):
1) 访问 [url]http://go-pear.org[/url]。显示一php代码页,将这些代码保存为一php文件,放到web目录中,然后在浏览器中打开该文件。如图(pear安装)。按提示操作即可。注意需要指定安装目录。一般选择php的安装目录就可以了。安装完成后要在php.ini中添加相应配置:include_path = "PEAR安装路径"
2)PEAR的默认安装并不包含Image_Graph,此外要安装Image_Graph,还需要安装Image_Color,Image_Canvas-alpha。所以,在DOS窗口下进入PEAR安装路径。运行:
pear install image_color
pear install image_canvas-alpha
pear install image_graph-alpha
*为什么要加"-alpha",因为似乎只有alpha包。
1) 访问 [url]http://go-pear.org[/url]。显示一php代码页,将这些代码保存为一php文件,放到web目录中,然后在浏览器中打开该文件。如图(pear安装)。按提示操作即可。注意需要指定安装目录。一般选择php的安装目录就可以了。安装完成后要在php.ini中添加相应配置:include_path = "PEAR安装路径"
2)PEAR的默认安装并不包含Image_Graph,此外要安装Image_Graph,还需要安装Image_Color,Image_Canvas-alpha。所以,在DOS窗口下进入PEAR安装路径。运行:
pear install image_color
pear install image_canvas-alpha
pear install image_graph-alpha
*为什么要加"-alpha",因为似乎只有alpha包。
2. 解压缩 base-1.2.7.tar.gz 至 c:\wwwroot 目录, 并将此目录设为 web 主目录.
解压缩 adodb493a.zip 至 c:\wwwroot\adodb 目录
根据你使用的 PHP 版本, 解压缩 jpgraph-1.20.5.zip 或 jpgraph-2.1.4.tar.gz
至 c:\wwwroot\jpgraph 目录
3.安装 WinPcap 和 Snort, 使用默认安装路径 c:\snort,安装过程中注意选择数据库类型
将 snortrules-snapshot-CURRENT.tar.gz 规则库内容解压缩到 c:\Snort
====================
以下为 MS-SQL 安装
====================
SQL2000里新建 snort 用户, 新建 snort 数据库并赋予 snort 用户 DB_owner 权限
用 snort 用户登录SQL查询分析器,
a. 使用 c:\Snort\schemas\create_mssql 的内容在查询分析器里执行,
b..访问 [url]http://localhost/index.php[/url] 的 BASE 目录,根据提示完成安装.
配置完成后会在 wwwroot 目录下生成 base_conf.php 这个配置文件, 如果要重新配置, 删除此文件即可.
====================
以下为 MySQL 安装
====================
a.MySQL 里面新建 snort 数据库
mysql> create database snort;
转到 snort 数据库
mysql> use snort;
Database changed
mysql>
在>后执行 c:\Snort\schemas\create_mysql 的内容
b.访问 [url]http://localhost/index.php[/url] 的 BASE 目录,根据提示完成安装.
4.配置 C:\Snort\etc\snort.conf
var RULE_PATH C:\Snort\rules
dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor
dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll
include c:\snort\etc\classification.config
include c:\snort\etc\reference.config
output database: log, mssql, dbname=snort user=snort password=snort
或
output database: log, mysql, user=root password=snort dbname=snort host=localhost
5.运行 Snort 输出结果到 sql,
C:\snort\bin>Snort -W 可以看到所有网卡的 Interface 列表
C:\snort\bin>snort -c "c:\snort\etc\snort.conf" -i 2 -l c:\temp -d -e (参数很多,具体请查帮助)
上面的 2 是想监控的网卡的 Interface 序号。
在 [url]http://127.0.0.1/index.php[/url] 就可以实时查看结果了.
4.配置 C:\Snort\etc\snort.conf
var RULE_PATH C:\Snort\rules
dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor
dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll
include c:\snort\etc\classification.config
include c:\snort\etc\reference.config
output database: log, mssql, dbname=snort user=snort password=snort
或
output database: log, mysql, user=root password=snort dbname=snort host=localhost
5.运行 Snort 输出结果到 sql,
C:\snort\bin>Snort -W 可以看到所有网卡的 Interface 列表
C:\snort\bin>snort -c "c:\snort\etc\snort.conf" -i 2 -l c:\temp -d -e (参数很多,具体请查帮助)
上面的 2 是想监控的网卡的 Interface 序号。
在 [url]http://127.0.0.1/index.php[/url] 就可以实时查看结果了.
备注:
如果相关 Alert 太多, 可以通过修改
snort/etc/threshold.conf 文件,
suppress gen_id 119, sig_id 4 # http_inspect: BARE BYTE UNICODE ENCODING
来处理
如果相关 Alert 太多, 可以通过修改
snort/etc/threshold.conf 文件,
suppress gen_id 119, sig_id 4 # http_inspect: BARE BYTE UNICODE ENCODING
来处理
最新的 规则可以在下面这个地址下载:
[url]http://www.bleedingthreats.net/cgi-bin/viewcvs.cgi/rules/[/url]
[url]http://www.bleedingthreats.net/cgi-bin/viewcvs.cgi/rules/[/url]