在windows server 2003搭建snort入侵检测系统步骤

2008-03-11 11:37:01

　标签：IDS snort安装　　　[推送到技术圈]

一、部署IDS入侵检测系统所需软件:

1、apache

下载 : http://apache.mirror.phpchina.com/httpd/binaries/win32/apache_2.2.8-win32-x86-no_ssl.msi

2、acid

下载 : http://acidlab.sourceforge.net/acid-0.9.6b23.tar.gz

3、adodb

下载 : http://jaist.dl.sourceforge.net/sourceforge/adodb/adodb504.tgz

4、jpgraph

下载 : http://hem.bredband.net/jpgraph2/jpgraph-2.3.tar.gz

5、mysql

下载 :http://mysql.mirror.kangaroot.net/Downloads/MySQL-5.0/mysql-5.0.51a-win32.zip

6、php

下载 :http://cn.php.net/distributions/php-5.2.5-Win32.zip

7、snort

下载 : http://www.snort.org/dl/binaries/win32/Snort_2_8_0_2_Installer.exe

8、winpcap

下载 :http://www.winpcap.org/install/bin/WinPcap_4_0_2.exe

9、snortrules

下载 :http://www.snort.org 需要注册用户才能下载

二、安装步骤：

计划把所有的软件包安装到 c:\ids 文件夹

1、安装 apache

指定安装目录 c:\ids\apache

2、安装 php

解压缩 php 到 c:\ids\php5 文件夹

复制 php5ts.dll 文件到 c:\windows\system32 文件夹

复制 php.ini-dist 到 c:\windows 下并重命名为 php.ini

修改 c:\ids\apache\conf\httpd.conf 文件 , 加入 apache 对 php 的支持如下图：

图1

上图为旧版本的写法

加入：loadmodule php5_module c:\ids\php\php5apache2.dll，

新版本的写法：loadmodule php5_module c:/ids/php5/php5apache2_2.dll。

图2

加入：addtype application/x-httpd-php .php

3、修改 c:\widows\php.ini 文件 , 掉 extension=php_gd2.dll 前的分号

复制 c:\ids\php5\ext 文件夹下 php_gd2.dll 文件到 c:\windows 文件夹下

4、重新启动 apache

5、在 c:\ids\apache\htdocs 文件夹下编写 test.php 文件内容为 <?php phpinfo(); ?>

6、打开浏览器输入 http://lcoalhsot/test.php. 如果浏览到了 php 的信息则说明一切正常，（注意：如果 test.php 文件出现下载提示，原因是 addtype 的那句话有错误，检查修改就可以了）如下图：

上图为之前节的旧版本图，偷懒一下，最新版本的应该是 PHP Version 5.2.5。

7、安装 winpcap

采取默认值即可

8、安装 snort 并指定路径为 c:\ids\snort 文件夹

9、测试 snort 安装是否正确

C:\ids\snort\snort\bin\snort.exe –W，如果安装 snort成功会出现一个可爱的小猪，如下图：

10、安装 mysql

指定路径为 c:\ids\mysql

11、创建 snort 数据库的表

复制 c:\ids\snort\schames 文件夹下的 create_mysql 文件到 c:\ids\mysql\bin 文件夹下

打开 mysql 的的客户端执行如下命令

Create database snort;

Create database snort_archive;

Use snort;

Source create_mysql;

Use snort_archive;

Source create_mysql;

Grant all on *.* to “root”@”localhost”

12、加入 php 对 mysql 的支持：

修改 c:\windows\php.ini 文件去掉 extension=php_mysql.dll 前的分号。

复制c:\ids\php5\ext 文件夹下的 php_mysql.dll 文件到 c:\windows 文件夹。

复制c:\ids\php5\libmysql.dll文件到c:\windows\system32下。

13、安装 adodb

解压缩 adodb 到 c:\ids\php5\adodb 文件夹下。

14、安装 jgraph

解压缩 jpgraph 到 c:\ids\php5\jpgraph 文件夹下。

15、安装 acid

解压缩 acid 到 c\ids\apache\htdocs\acid 文件夹下

修改 acid_conf.php 文件

为以下内容

$DBlib_path = "c:\ids\php5\adodb";

$DBtype = "mysql";

$alert_dbname = "snort";

$alert_host = "localhost";

$alert_port = "3306";

$alert_user = "root";

$alert_password = "810930";

$archive_dbname = "snort_archive";

$archive_host = "localhost";

$archive_port = "3306";

$archive_user = "root";

$archive_password = "810930";

$ChartLib_path = "c:\ids\php5\jpgraph\src";

16、重启apache、mysql服务。

17、在浏览器中初始化 acid 数据库：

http://localhost/acid/acid_db_setup.php

如果配置以上11~18步正确，会出现如下图：

18、解压缩 snort 规则包

把压缩包内的所有文件解压缩到 c:\ids\snort\ 下

19、启动 snort 入侵检测

C:\ids\snort\bin\snort.exe –c “c:\ids\snort\etc\snort.conf” –l “c:\ids\snort\log” –d -e –X

如果你希望看到 snort 抓取的数据包则可以在 -X 之后加入参数 -v

20、如果出现以下错误：

ERROR: Unable to open rules file: ../rules/local.rules or c:\ids\snort\etc\../rules/local.rules

Fatal Error, Quitting..

处理方法：规则包还没有安装

21、再次运行20项命令，出现如下错误：

Loading dynamic engine /usr/local/lib/snort_dynamicengine/libsf_engine.so... ERROR: Failed to load /usr/local/lib/snort_dynamicengine/libsf_engine.so: 126

Fatal Error, Quitting..

处理方法 : 在 snort 的配置文件中指定 libsf_engine. 的路径和文件名

Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so... ERROR: Failed to load /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so: 126

处理方法 : 在 snort 的配置文件中指定 libsf_dcerpc_prepro 的路径和文件名

22、修改 snort 配置文件 c:\ids\snort\etc\snort.conf

修改内容如下:

dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_dcerpc.dll

dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_dns.dll

dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dll

dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dll

dynamicpreprocessor file C:\ids\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dll

dynamicengine C:/ids/Snort/lib/snort_dynamicengine/sf_engine.dll

output database: alert, mysql, user=root password=810930 dbname=snort host=localhost encoding=hex detail=full

include c:\ids\snort\etc\classification.config

include c:\ids\snort\etc\reference.config

图1

图2

图3

修改以上错误后再次运行C:\ids\snort\bin\snort.exe –c “c:\ids\snort\etc\snort.conf” –l “c:\ids\snort\log” –d -e –X -v -i 2

2为网卡的编号。

此时会出现：Not Using PCAP_FRAMES

关闭snort运行程序，输入：Set PCAP_FRAMES=MAX ，snort -W保存配置。

再次运行：C:\ids\snort\bin\snort.exe –c “c:\ids\snort\etc\snort.conf” –l “c:\ids\snort\log” –d -e –X -v i 2

此时会出现：using PCAP_FRAMES

23、查看统计数据

http://www.lrq.com/acid/acid_main.php

本文出自 “小张” 博客，请务必保留此出处http://chuan.blog.51cto.com/130796/65178

昵称：
验证码：		点击图片可刷新验证码　　博客过2级，无需填写验证码
内容：