Snort入侵检测系统的配置与使用Word格式.docx

Snort入侵检测系统的配置与使用Word格式.docx

《Snort入侵检测系统的配置与使用Word格式.docx》由会员分享，可在线阅读，更多相关《Snort入侵检测系统的配置与使用Word格式.docx（19页珍藏版）》请在冰豆网上搜索。

实验内容

1、Apache_2.0.46的安装与配置

2、php-4.3.2的安装与配置

3、snort2.0.0的安装与配置

4、Mysql数据库的安装与配置

5、adodb的安装与配置

6、数据控制台acid的安装与配置

7、jpgraph库的安装

8、winpcap的安装与配置

9、snort规则的配置

10、测试snort的入侵检测相关功能

实验环境

Pc机；

安装有Apache_2.0.46

php-4.3.2

snort2.0.0

Mysql

Adodb

winpcap

实验步骤

（一）windows环境下snort的安装

1．安装Apache_2.0.46

（1）双击Apache_2.0.46-win32-x86-no_src.msi，安装在默认文件夹C:

\apache下。

安装程序会在该文件夹下自动产生一个子文件夹apache2。

（2）打开配置文件C:

\apache\apache2\conf\httpd.conf，将其中的Listen8080，更改为Listen50080。

（这主要是为了避免冲突）。

（3）进入命令行运行方式（单击“开始”按钮，选择“运行”，在弹出窗口中输入“cmd”，回车），转入C:

\apache\apache\bin子目录，输入下面命令：

C:

\apache\apache2\bin>

apache–kinstall

将apache设置为以windows中的服务方式运行。

2．安装PHP

（1）解压缩php-4.3.2-Win32.zip至C:

\php。

（2）复制C:

\php下php4ts.dll至%systemroot%\System32，php.ini-dist至%systemroot%\php.ini。

（3）添加gd图形支持库，在php.ini中添加extension=php_gd2.dll。

如果php.ini有该句，将此句前面的“；

”注释符去掉。

（4）添加Apache对PHP的支持。

在C:

\apahce\apache2\conf\httpd.conf中添加：

LoadModulephp4_module“C:

/php/sapi/php4apache2.dll”

AddTypeapplication/x-httpd-php.php

（5）进入命令行运行方式，输入下面命令：

Netstartapache2

（这将启动ApacheWeb服务）

（6）在C:

\apache\apche2\htdocs目录下新建test.php测试文件，test.php文件内容为<

?

phpinfo（）;

>

使用http:

//127.0.0.1:

50080/test.php，测试PHP是否成功安装，如成功安装，则在浏览器中出现如下图所示的网页

3．安装snort

安装snort-2_0_0.exe，snort的默认安装路径在C:

\snort

4．安装配置Mysql数据库

（1）安装Mysql到默认文件夹C:

\mysql，并在命令行方式下进入C:

\mysql\bin，输入下面命令：

\mysql\bin\mysqld––install

这将使mysql在Windows中以服务方式运行。

（2）在命令行方式下输入netstartmysql，启动mysql服务

（3）进入命令行方式，输入以下命令

C:

\mysql\bin>

mysql–uroot–p

如下图：

出现EnterPassword提示符后直接按“回车”，这就以默认的没有密码的root用户登录mysql数据库。

（4）在mysql提示符后输入下面的命令（（Mysql>

）表示屏幕上出现的提示符，下同）：

（Mysql>

）createdatabasesnort;

）createdatabasesnort_archive;

注意：

在输入分号后mysql才会编译执行语句。

上面的create语句建立了snort运行必须的snort数据库和snort_archive数据库。

（5）输入quit命令退出mysql后，在出现的提示符之后输入:

（c:

）Mysql–Dsnort–uroot–p<

\snort\contrib\create_mysql

）Mysql–Dsnort_archive–uroot–p<

上面两个语句表示以root用户身份，使用C:

\snort\contrib目录下的create_mysql脚本文件，在snort数据库和snort_archive数据库中建立了snort运行必须的数据表。

在此形式输入的命令后没有“；

”。

屏幕上会出现密码输入提示，由于这里是用的是没有密码的root用户，直接按“回车”即可。

（6）再次以root用户身份登录mysql数据库，在提示符后输入下面的语句：

（mysql>

）grantusageon*.*to“acid”@”loacalhost”identifiedby“acidtest”;

（mysql>

）grantusageon*.*to“snort”@”loacalhost”identifiedby“snorttest”;

上面两个语句表示在本地数据库中建立了acid（密码为acidtest）和snort（密码为snorttet）两个用户，以备后面使用。

（7）在mysql提示符后面输入下面的语句：

）grantselect,insert,update,delete,create,alteronsnort.*to“adid”@”localhost;

）grantselect,insertonsnort.*to“snort”@”localhost;

）grantselect,insert,update,delete,create,alteronsnort_archive.*to“adid”@”localhost;

这是为新建的用户在snort和snort_archive数据库中分配权限。

5．安装adodb

将adodb360.zip解压缩至C:

\php\adodb目录下，即完成了adodb的安装。

6．安装配置数据控制台acid

（1）解压缩acid-0.9.6b23.tat.gz至C:

\apache\apache2\htdocs\acid目录下。

（2）修改C:

\apahce\apache2\htdocs下的acid_conf.php文件：

DBlib_path="

\php\adodb"

;

$DBtype=”mysql”;

$alert_dbname="

snort"

$alert_host="

localhost"

$alert_port="

3306"

$alert_user="

acid"

$alert_password="

acidtest"

/*ArchiveDBconnectionparameters*/

$archive_dbname="

snort_archive"

$archive_host="

$archive_port="

$archive_user="

$archive_password="

$ChartLib_path=”C:

\php\jpgraph\src”;

修改时要将文件中原来的对应内容注释掉，或者直接覆盖。

（3）查看http:

50080/acid/acid_db_setup.php网页，如下图所示，单击createACIDAG建立数据库。

7．安装jpgraph库

（1）解压缩jpgraph-1.12.2.tar.gz至C:

\php\jpgraph

\php\jpgrah\src下jpgraph.php文件，去掉下面语句的注释。

DEFINE（”CACHE_DIR”,”/tmp/jpgraph_cache/”）;

8．安装winpcap

安装默认选项和默认路径安装winpcap。

9．配置并启动snort

（1）打开C:

\snort\etc\snort.conf文件，将文件中的下列语句：

includeclassification.config

includereference.config

修改为绝对路径：

includeC:

\snort\etc\classfication.config

\snort\etc\reference.config

（2）在该文件的最后加入下面语句：

Outputdatabase:

alert,mysql,host=localhostuser=snortpassword=snorttestdbname=snortencoding=hexdetail=full

（3）进入命令行方式，输入下面的命令：

\snort\bin>

snort–c“C:

\snort\etc\snort.conf”–l“C:

\snort\log”–d–e–X

上面的命令将启动snort，如果snort正常运行，系统最后将显示如下图所示

（4）打开http:

50080/acid/acid_main.php网页，进入acid分析控制台主界面。

如上述配置均正确，将出现如下图所示的页面。

（二）Windows下snort的使用

1．完善配置文件

\snort\etc\snort.conf

（2）配置snort的内、外网检测范围。

将snort.conf文件中varHome_NETany语句中的any改为自己所在的子网地址，即将snort监测的内网设置为本机所在局域网。

如本地IP为192.168.1.10，则将any改为192.168.1.0/24。

并将varEXTERNAL_NETany语句中的any改为！

192.168.1.1/24，即将snort监测的外网改为本机所在局域网以外的网络

（3）设置监测包含规则。

找到snort.conf文件中描述规则的部分，前面加“#”表示该规则没有启用，将local.rules之前的“#”去掉，其余规则保持不变。

2．使用控制台查看结果

3．配置snort规则

\snort\rules\local.rules文件。

（2）在规则中添加一条语句，实现对内网的UDP协议相关流量进行检测，并报警：

udpids/dns-version-query。

语句如下：

Alerttcpanyany->

$Home_NETany（msg:

”udpids/dns-version-query”;

content:

”version”;

）

重启snort和acid检测控制台，使规则生效。

实验结果

及

分析

（一）windows环境下snort的安装

\apache\apache2\conf\httpd.conf，将其中的Listen80，更改为Listen50080。

（%systemroot%代表的是系统中的C盘下的windows目录）

LoadModulephp4_moduleC:

/php/sapi/php4apache2.dll

　　使用http:

\mysql\bin\mysqld-nt-install

上面两个语句表示在本地数据库中建立了acid（密码为acidtest）和snort（密码为snorttest）两个用户，以备后面使用。

　　按照系统提示建立数据库，正常建立后出现相应的网页。

如下图：

1、完善配置文件

192.168.1.0/24，即将snort监测的外网改为本机所在局域网以外的网络

2、使用控制台查看结果

3、配置snort规则

实验总结

通过本次实验，我学会了基本的snort技术的入侵检测技术。

但是过程中也遇到了一些问题，在同学和老师的帮助下，顺利的完成了实验，希望在以后的学习和实验中，自己能有更加突出的表现，掌握更多的专业知识

指导教师意见

签名：

年月日