windows环境下snort的安装配置.docx

windows环境下snort的安装配置.docx

《windows环境下snort的安装配置.docx》由会员分享，可在线阅读，更多相关《windows环境下snort的安装配置.docx（17页珍藏版）》请在冰豆网上搜索。

windows环境下snort的安装配置

windows环境下snort的安装配置

D

httpd.conf是apache的配置文件。

在安装目录etc目录下可以找到。

2：

安装PHP5：

假设你的系统安装于C盘，否则下列目录均须改成相应的盘的目录。

C:

\PHP\目录下的php5ts.dll文件到C:

\windows\（如果是windows2000操作系统，则为C:

\WINNT\目录，下同，不再重复说明）目录下。

　　复制C:

\PHP\目录下所有dll文件于C:

\windows\system32\目录下：

　PHP安装目录设为c:

\PHP,php.ini配置文件（是由php.ini-recommend文件改名生成的）根据需要修改下面两行

extension=php_mssql.dll

extension=php_mysql.dll

取消注释.（让php支持mysql数据库）

此外：

还需修改php.ini中extension_dir指定路径。

应该是：

extension_dir=c:

/php/ext（根据php安装路径中的目录名来设定）。

调用GD库取消;extension=php_gd2.dll，前面的分号。

另外需要注意：

php4和mysql5配合有问题，据说是mysql5登录方式较以前版本有变化。

所以一般选择php4+mysql4，或者php5+mysql5。

修改apache配置文件httpd.conf，作如下修改：

LoadModulephp5_module"c:

/php/php5apache2.dll"

AddTypeapplication/x-httpd-php.php

修改的内容和方式如下

Apache默认的网页文件夹在C:

\Apache2.2\htdocs

修改完成后，重启apache

在apache的htdocs目录下新建index.php，

index.php文件内容：

php

phpinfo（）;?

>

使用http:

//localhost/index.php

测试php是否安装成功

正常情况结果如下图：

3）安装winpcap

按向导提示完成即可（有时会提示重启计算机。

）使网卡处于混杂模式，能够抓取数据包。

4）安装snort

采用默认安装完成即可

安装完成使用下列命令行验证是否成功

C:

\Snort\bin>snort.exe-W（也可以看到所有网卡的Interface列表）

看到那个狂奔的小猪了吗？

看到了，就表示snort安装成功。

5）安装和设置mysql

设置数据库实例流程：

建立snort运行必须的snort库和snort_archive库

C:

\ProgramFiles\MySQL\MySQLServer5.0\bin>mysql-uroot-p

Enterpassword:

（你安装时设定的密码，这里使用mysql这个密码）

mysql>createdatabasesnort;

mysql>createdatabasesnort_archive;

使用C:

\Snort\schemas目录下的create_mysql脚本建立Snort运行必须的数据表

c:

\mysql\bin\mysql-Dsnort-uroot-p

\snort\schemas\create_mysql

c:

\mysql\bin\mysql-Dsnort_archive-uroot-p

\snort\schemas\create_mysql

附：

使用mysql-Dsnort-uroot–p命令进入snort数据库后，使用showtables命令可以查看已创建的表。

建立acid和snort用户,在root用户下建立

mysql>grantusageon*.*to"acid"@"localhost"identifiedby"acidtest";

mysql>grantusageon*.*to"snort"@"localhost"identifiedby"snorttest";

为acid用户和snort用户分配相关权限

mysql>grantselect,insert,update,delete,create,alteronsnort.*to"snort"@"localhost";

mysql>grantselect,insert,update,delete,create,alteronsnort.*to"acid"@"localhost";

mysql>grantselect,insert,update,delete,create,alteronsnort_archive.*to"acid"@"localhost";

mysql>grantselect,insert,update,delete,create,alteronsnort_archive.*to"snort"@"localhost";

5）安装adodb:

解压缩adodb360.zip至c:

\php\adodb目录下

6）安装jpgrapg库

解压缩jpgraph-1.12.2.tar.gz至c:

\php\jpgraph

7）安装acid

解压缩acid-0.9.6b23.tar.gz至c:

\apache2\htdocs\acid目录下

修改acid_conf.php文件

$DBlib_path="c:

\php\adodb";

$alert_dbname="snort";

$alert_host="localhost";

$alert_port="3306";

$alert_user="acid";

$alert_password="acidtest";

/*ArchiveDBconnectionparameters*/

$archive_dbname="snort_archive";

$archive_host="localhost";

$archive_port="3306";

$archive_user="acid";

$archive_password="acidtest";

$ChartLib_path="c:

\php\jpgraph\src";

8）建立acid运行必须的数据库：

http:

//你的ip地址/acid/acid_db_setup.php

按照系统提示建立–c若不成功，则将acid_db_setup.php中的建数据表语句自行提取出来在mysql数据库中建表，如下：

CREATETABLEacid_ag（

ag_idINTUNSIGNEDNOTNULLAUTO_INCREMENT,

ag_nameVARCHAR（40）,

ag_descTEXT,

ag_ctimeDATETIME,

ag_ltimeDATETIME,

PRIMARYKEY（ag_id）,

INDEX（ag_id））；

CREATETABLEacid_ag_alert（

ag_idINTUNSIGNEDNOTNULL,

ag_sidINTUNSIGNEDNOTNULL,

ag_cidINTUNSIGNEDNOTNULL,

PRIMARYKEY（ag_id,ag_sid,ag_cid）,

INDEX（ag_id）,

INDEX（ag_sid,ag_cid））；

CREATETABLEacid_ip_cache（

ipc_ipINTUNSIGNEDNOTNULL,

ipc_fqdnVARCHAR（50）,

ipc_dns_timestampDATETIME,

ipc_whoisTEXT，

ipc_whois_timestampDATETIME,

PRIMARYKEY（ipc_ip）,

INDEX（ipc_ip））；

CREATETABLEacid_event（

sidINTUNSIGNEDNOTNULL,

cidINTUNSIGNEDNOTNULL,

signatureINTUNSIGNEDNOTNULL,

sig_nameVARCHAR（255）,

sig_class_idINTUNSIGNED,

sig_priorityINTUNSIGNED,

timestampDATETIMENOTNULL,

ip_srcINTUNSIGNED,

ip_dstINTUNSIGNED,

ip_protoINT,

layer4_sportINTUNSIGNED,

layer4_dportINTUNSIGNED,

RIMARYKEY（sid,cid）,

INDEX（signature）,

INDEX（sig_name）,

INDEX（sig_class_id）,

INDEX（sig_priority）,

INDEX（timestamp）,

INDEX（ip_src）,

INDEX（ip_dst）,

INDEX（ip_proto）,

INDEX（layer4_sport）,

INDEX（layer4_dport））；

9）解压snortrules-snapshot-CURRENT.tar.gz到c:

\snort目录下

编辑c:

\snort\etc\snort.conf

需要修改的地方：

includeclassification.config

includereference.config

改为绝对路径

includec:

\snort\etc\classification.config

includec:

\snort\etc\reference.config

设置snort输出alert到mysqlserver

outputdatabase:

log,mysql,user=rootpassword=mysqldbname=snort

host=localhost

varHOME_NET192.168.1.0/24----（你所处的网段）

varRULE_PATHC:

\Snort\rules-----（规则文件存放的目录）

dynamicpreprocessordirectoryC:

\Snort\lib\snort_dynamicpreprocessor

dynamicengineC:

\Snort\lib\snort_dynamicengine\sf_engine.dll

在测试之前，你要在local.rules文档里加入下面的语句：

alertipanyany->anyany（msg:

"IPPacketdetected";sid:

1000000;）

10）启动snort

c:

\snort\bin>snort-c"c:

\snort\etc\snort.conf"-l"c:

\snort\logs"-i2–d-e-X

-X参数用于在数据链接层记录rawpacket数据

-d参数记录应用层的数据

-e参数显示／记录第二层报文头数据

-c参数用以指定snort的配置文件的路径

-i指明监听的网络接口。

11）测试snort

http:

//你的ip地址/acid

如果一切正常显示如下图：

终于把windows下的snort配置完了。