Snort入侵检测系统的配置与使用Word格式.docx
《Snort入侵检测系统的配置与使用Word格式.docx》由会员分享,可在线阅读,更多相关《Snort入侵检测系统的配置与使用Word格式.docx(19页珍藏版)》请在冰豆网上搜索。
![Snort入侵检测系统的配置与使用Word格式.docx](https://file1.bdocx.com/fileroot1/2023-1/14/93c8eb49-ca5a-41f4-8b91-456948b5104a/93c8eb49-ca5a-41f4-8b91-456948b5104a1.gif)
实验内容
1、Apache_2.0.46的安装与配置
2、php-4.3.2的安装与配置
3、snort2.0.0的安装与配置
4、Mysql数据库的安装与配置
5、adodb的安装与配置
6、数据控制台acid的安装与配置
7、jpgraph库的安装
8、winpcap的安装与配置
9、snort规则的配置
10、测试snort的入侵检测相关功能
实验环境
Pc机;
安装有Apache_2.0.46
php-4.3.2
snort2.0.0
Mysql
Adodb
winpcap
实验步骤
(一)windows环境下snort的安装
1.安装Apache_2.0.46
(1)双击Apache_2.0.46-win32-x86-no_src.msi,安装在默认文件夹C:
\apache下。
安装程序会在该文件夹下自动产生一个子文件夹apache2。
(2)打开配置文件C:
\apache\apache2\conf\httpd.conf,将其中的Listen8080,更改为Listen50080。
(这主要是为了避免冲突)。
(3)进入命令行运行方式(单击“开始”按钮,选择“运行”,在弹出窗口中输入“cmd”,回车),转入C:
\apache\apache\bin子目录,输入下面命令:
C:
\apache\apache2\bin>
apache–kinstall
将apache设置为以windows中的服务方式运行。
2.安装PHP
(1)解压缩php-4.3.2-Win32.zip至C:
\php。
(2)复制C:
\php下php4ts.dll至%systemroot%\System32,php.ini-dist至%systemroot%\php.ini。
(3)添加gd图形支持库,在php.ini中添加extension=php_gd2.dll。
如果php.ini有该句,将此句前面的“;
”注释符去掉。
(4)添加Apache对PHP的支持。
在C:
\apahce\apache2\conf\httpd.conf中添加:
LoadModulephp4_module“C:
/php/sapi/php4apache2.dll”
AddTypeapplication/x-httpd-php.php
(5)进入命令行运行方式,输入下面命令:
Netstartapache2
(这将启动ApacheWeb服务)
(6)在C:
\apache\apche2\htdocs目录下新建test.php测试文件,test.php文件内容为<
?
phpinfo();
>
使用http:
//127.0.0.1:
50080/test.php,测试PHP是否成功安装,如成功安装,则在浏览器中出现如下图所示的网页
3.安装snort
安装snort-2_0_0.exe,snort的默认安装路径在C:
\snort
4.安装配置Mysql数据库
(1)安装Mysql到默认文件夹C:
\mysql,并在命令行方式下进入C:
\mysql\bin,输入下面命令:
\mysql\bin\mysqld––install
这将使mysql在Windows中以服务方式运行。
(2)在命令行方式下输入netstartmysql,启动mysql服务
(3)进入命令行方式,输入以下命令
C:
\mysql\bin>
mysql–uroot–p
如下图:
出现EnterPassword提示符后直接按“回车”,这就以默认的没有密码的root用户登录mysql数据库。
(4)在mysql提示符后输入下面的命令((Mysql>
)表示屏幕上出现的提示符,下同):
(Mysql>
)createdatabasesnort;
)createdatabasesnort_archive;
注意:
在输入分号后mysql才会编译执行语句。
上面的create语句建立了snort运行必须的snort数据库和snort_archive数据库。
(5)输入quit命令退出mysql后,在出现的提示符之后输入:
(c:
)Mysql–Dsnort–uroot–p<
\snort\contrib\create_mysql
)Mysql–Dsnort_archive–uroot–p<
上面两个语句表示以root用户身份,使用C:
\snort\contrib目录下的create_mysql脚本文件,在snort数据库和snort_archive数据库中建立了snort运行必须的数据表。
在此形式输入的命令后没有“;
”。
屏幕上会出现密码输入提示,由于这里是用的是没有密码的root用户,直接按“回车”即可。
(6)再次以root用户身份登录mysql数据库,在提示符后输入下面的语句:
(mysql>
)grantusageon*.*to“acid”@”loacalhost”identifiedby“acidtest”;
(mysql>
)grantusageon*.*to“snort”@”loacalhost”identifiedby“snorttest”;
上面两个语句表示在本地数据库中建立了acid(密码为acidtest)和snort(密码为snorttet)两个用户,以备后面使用。
(7)在mysql提示符后面输入下面的语句:
)grantselect,insert,update,delete,create,alteronsnort.*to“adid”@”localhost;
)grantselect,insertonsnort.*to“snort”@”localhost;
)grantselect,insert,update,delete,create,alteronsnort_archive.*to“adid”@”localhost;
这是为新建的用户在snort和snort_archive数据库中分配权限。
5.安装adodb
将adodb360.zip解压缩至C:
\php\adodb目录下,即完成了adodb的安装。
6.安装配置数据控制台acid
(1)解压缩acid-0.9.6b23.tat.gz至C:
\apache\apache2\htdocs\acid目录下。
(2)修改C:
\apahce\apache2\htdocs下的acid_conf.php文件:
DBlib_path="
\php\adodb"
;
$DBtype=”mysql”;
$alert_dbname="
snort"
$alert_host="
localhost"
$alert_port="
3306"
$alert_user="
acid"
$alert_password="
acidtest"
/*ArchiveDBconnectionparameters*/
$archive_dbname="
snort_archive"
$archive_host="
$archive_port="
$archive_user="
$archive_password="
$ChartLib_path=”C:
\php\jpgraph\src”;
修改时要将文件中原来的对应内容注释掉,或者直接覆盖。
(3)查看http:
50080/acid/acid_db_setup.php网页,如下图所示,单击createACIDAG建立数据库。
7.安装jpgraph库
(1)解压缩jpgraph-1.12.2.tar.gz至C:
\php\jpgraph
\php\jpgrah\src下jpgraph.php文件,去掉下面语句的注释。
DEFINE(”CACHE_DIR”,”/tmp/jpgraph_cache/”);
8.安装winpcap
安装默认选项和默认路径安装winpcap。
9.配置并启动snort
(1)打开C:
\snort\etc\snort.conf文件,将文件中的下列语句:
includeclassification.config
includereference.config
修改为绝对路径:
includeC:
\snort\etc\classfication.config
\snort\etc\reference.config
(2)在该文件的最后加入下面语句:
Outputdatabase:
alert,mysql,host=localhostuser=snortpassword=snorttestdbname=snortencoding=hexdetail=full
(3)进入命令行方式,输入下面的命令:
\snort\bin>
snort–c“C:
\snort\etc\snort.conf”–l“C:
\snort\log”–d–e–X
上面的命令将启动snort,如果snort正常运行,系统最后将显示如下图所示
(4)打开http:
50080/acid/acid_main.php网页,进入acid分析控制台主界面。
如上述配置均正确,将出现如下图所示的页面。
(二)Windows下snort的使用
1.完善配置文件
\snort\etc\snort.conf
(2)配置snort的内、外网检测范围。
将snort.conf文件中varHome_NETany语句中的any改为自己所在的子网地址,即将snort监测的内网设置为本机所在局域网。
如本地IP为192.168.1.10,则将any改为192.168.1.0/24。
并将varEXTERNAL_NETany语句中的any改为!
192.168.1.1/24,即将snort监测的外网改为本机所在局域网以外的网络
(3)设置监测包含规则。
找到snort.conf文件中描述规则的部分,前面加“#”表示该规则没有启用,将local.rules之前的“#”去掉,其余规则保持不变。
2.使用控制台查看结果
3.配置snort规则
\snort\rules\local.rules文件。
(2)在规则中添加一条语句,实现对内网的UDP协议相关流量进行检测,并报警:
udpids/dns-version-query。
语句如下:
Alerttcpanyany->
$Home_NETany(msg:
”udpids/dns-version-query”;
content:
”version”;
)
重启snort和acid检测控制台,使规则生效。
实验结果
及
分析
(一)windows环境下snort的安装
\apache\apache2\conf\httpd.conf,将其中的Listen80,更改为Listen50080。
(%systemroot%代表的是系统中的C盘下的windows目录)
LoadModulephp4_moduleC:
/php/sapi/php4apache2.dll
使用http:
\mysql\bin\mysqld-nt-install
上面两个语句表示在本地数据库中建立了acid(密码为acidtest)和snort(密码为snorttest)两个用户,以备后面使用。
按照系统提示建立数据库,正常建立后出现相应的网页。
如下图:
1、完善配置文件
192.168.1.0/24,即将snort监测的外网改为本机所在局域网以外的网络
2、使用控制台查看结果
3、配置snort规则
实验总结
通过本次实验,我学会了基本的snort技术的入侵检测技术。
但是过程中也遇到了一些问题,在同学和老师的帮助下,顺利的完成了实验,希望在以后的学习和实验中,自己能有更加突出的表现,掌握更多的专业知识
指导教师意见
签名:
年月日