windows环境下snort的安装配置.docx
《windows环境下snort的安装配置.docx》由会员分享,可在线阅读,更多相关《windows环境下snort的安装配置.docx(17页珍藏版)》请在冰豆网上搜索。
windows环境下snort的安装配置
windows环境下snort的安装配置
D
httpd.conf是apache的配置文件。
在安装目录etc目录下可以找到。
2:
安装PHP5:
假设你的系统安装于C盘,否则下列目录均须改成相应的盘的目录。
C:
\PHP\目录下的php5ts.dll文件到C:
\windows\(如果是windows2000操作系统,则为C:
\WINNT\目录,下同,不再重复说明)目录下。
复制C:
\PHP\目录下所有dll文件于C:
\windows\system32\目录下:
PHP安装目录设为c:
\PHP,php.ini配置文件(是由php.ini-recommend文件改名生成的)根据需要修改下面两行
extension=php_mssql.dll
extension=php_mysql.dll
取消注释.(让php支持mysql数据库)
此外:
还需修改php.ini中extension_dir指定路径。
应该是:
extension_dir=c:
/php/ext(根据php安装路径中的目录名来设定)。
调用GD库取消;extension=php_gd2.dll,前面的分号。
另外需要注意:
php4和mysql5配合有问题,据说是mysql5登录方式较以前版本有变化。
所以一般选择php4+mysql4,或者php5+mysql5。
修改apache配置文件httpd.conf,作如下修改:
LoadModulephp5_module"c:
/php/php5apache2.dll"
AddTypeapplication/x-httpd-php.php
修改的内容和方式如下
Apache默认的网页文件夹在C:
\Apache2.2\htdocs
修改完成后,重启apache
在apache的htdocs目录下新建index.php,
index.php文件内容:
php
phpinfo();?
>
使用http:
//localhost/index.php
测试php是否安装成功
正常情况结果如下图:
3)安装winpcap
按向导提示完成即可(有时会提示重启计算机。
)使网卡处于混杂模式,能够抓取数据包。
4)安装snort
采用默认安装完成即可
安装完成使用下列命令行验证是否成功
C:
\Snort\bin>snort.exe-W(也可以看到所有网卡的Interface列表)
看到那个狂奔的小猪了吗?
看到了,就表示snort安装成功。
5)安装和设置mysql
设置数据库实例流程:
建立snort运行必须的snort库和snort_archive库
C:
\ProgramFiles\MySQL\MySQLServer5.0\bin>mysql-uroot-p
Enterpassword:
(你安装时设定的密码,这里使用mysql这个密码)
mysql>createdatabasesnort;
mysql>createdatabasesnort_archive;
使用C:
\Snort\schemas目录下的create_mysql脚本建立Snort运行必须的数据表
c:
\mysql\bin\mysql-Dsnort-uroot-p\snort\schemas\create_mysql
c:
\mysql\bin\mysql-Dsnort_archive-uroot-p\snort\schemas\create_mysql
附:
使用mysql-Dsnort-uroot–p命令进入snort数据库后,使用showtables命令可以查看已创建的表。
建立acid和snort用户,在root用户下建立
mysql>grantusageon*.*to"acid"@"localhost"identifiedby"acidtest";
mysql>grantusageon*.*to"snort"@"localhost"identifiedby"snorttest";
为acid用户和snort用户分配相关权限
mysql>grantselect,insert,update,delete,create,alteronsnort.*to"snort"@"localhost";
mysql>grantselect,insert,update,delete,create,alteronsnort.*to"acid"@"localhost";
mysql>grantselect,insert,update,delete,create,alteronsnort_archive.*to"acid"@"localhost";
mysql>grantselect,insert,update,delete,create,alteronsnort_archive.*to"snort"@"localhost";
5)安装adodb:
解压缩adodb360.zip至c:
\php\adodb目录下
6)安装jpgrapg库
解压缩jpgraph-1.12.2.tar.gz至c:
\php\jpgraph
7)安装acid
解压缩acid-0.9.6b23.tar.gz至c:
\apache2\htdocs\acid目录下
修改acid_conf.php文件
$DBlib_path="c:
\php\adodb";
$alert_dbname="snort";
$alert_host="localhost";
$alert_port="3306";
$alert_user="acid";
$alert_password="acidtest";
/*ArchiveDBconnectionparameters*/
$archive_dbname="snort_archive";
$archive_host="localhost";
$archive_port="3306";
$archive_user="acid";
$archive_password="acidtest";
$ChartLib_path="c:
\php\jpgraph\src";
8)建立acid运行必须的数据库:
http:
//你的ip地址/acid/acid_db_setup.php
按照系统提示建立–c若不成功,则将acid_db_setup.php中的建数据表语句自行提取出来在mysql数据库中建表,如下:
CREATETABLEacid_ag(
ag_idINTUNSIGNEDNOTNULLAUTO_INCREMENT,
ag_nameVARCHAR(40),
ag_descTEXT,
ag_ctimeDATETIME,
ag_ltimeDATETIME,
PRIMARYKEY(ag_id),
INDEX(ag_id));
CREATETABLEacid_ag_alert(
ag_idINTUNSIGNEDNOTNULL,
ag_sidINTUNSIGNEDNOTNULL,
ag_cidINTUNSIGNEDNOTNULL,
PRIMARYKEY(ag_id,ag_sid,ag_cid),
INDEX(ag_id),
INDEX(ag_sid,ag_cid));
CREATETABLEacid_ip_cache(
ipc_ipINTUNSIGNEDNOTNULL,
ipc_fqdnVARCHAR(50),
ipc_dns_timestampDATETIME,
ipc_whoisTEXT,
ipc_whois_timestampDATETIME,
PRIMARYKEY(ipc_ip),
INDEX(ipc_ip));
CREATETABLEacid_event(
sidINTUNSIGNEDNOTNULL,
cidINTUNSIGNEDNOTNULL,
signatureINTUNSIGNEDNOTNULL,
sig_nameVARCHAR(255),
sig_class_idINTUNSIGNED,
sig_priorityINTUNSIGNED,
timestampDATETIMENOTNULL,
ip_srcINTUNSIGNED,
ip_dstINTUNSIGNED,
ip_protoINT,
layer4_sportINTUNSIGNED,
layer4_dportINTUNSIGNED,
RIMARYKEY(sid,cid),
INDEX(signature),
INDEX(sig_name),
INDEX(sig_class_id),
INDEX(sig_priority),
INDEX(timestamp),
INDEX(ip_src),
INDEX(ip_dst),
INDEX(ip_proto),
INDEX(layer4_sport),
INDEX(layer4_dport));
9)解压snortrules-snapshot-CURRENT.tar.gz到c:
\snort目录下
编辑c:
\snort\etc\snort.conf
需要修改的地方:
includeclassification.config
includereference.config
改为绝对路径
includec:
\snort\etc\classification.config
includec:
\snort\etc\reference.config
设置snort输出alert到mysqlserver
outputdatabase:
log,mysql,user=rootpassword=mysqldbname=snort
host=localhost
varHOME_NET192.168.1.0/24----(你所处的网段)
varRULE_PATHC:
\Snort\rules-----(规则文件存放的目录)
dynamicpreprocessordirectoryC:
\Snort\lib\snort_dynamicpreprocessor
dynamicengineC:
\Snort\lib\snort_dynamicengine\sf_engine.dll
在测试之前,你要在local.rules文档里加入下面的语句:
alertipanyany->anyany(msg:
"IPPacketdetected";sid:
1000000;)
10)启动snort
c:
\snort\bin>snort-c"c:
\snort\etc\snort.conf"-l"c:
\snort\logs"-i2–d-e-X
-X参数用于在数据链接层记录rawpacket数据
-d参数记录应用层的数据
-e参数显示/记录第二层报文头数据
-c参数用以指定snort的配置文件的路径
-i指明监听的网络接口。
11)测试snort
http:
//你的ip地址/acid
如果一切正常显示如下图:
终于把windows下的snort配置完了。