Snort入侵检测系统的配置与使用Word格式.docx

1、实验内容1、 Apache_2.0.46的安装与配置2、 php-4.3.2的安装与配置3、 snort2.0.0的安装与配置4、 Mysql数据库的安装与配置5、 adodb的安装与配置6、 数据控制台acid的安装与配置7、 jpgraph库的安装8、 winpcap的安装与配置9、 snort规则的配置10、 测试snort的入侵检测相关功能实验环境Pc机； 安装有Apache_2.0.46php-4.3.2snort2.0.0MysqlAdodbwinpcap实验步骤 （一） windows环境下snort的安装1 安装Apache_2.0.46（1） 双击Apache_2.0.46-

2、win32-x86-no_src.msi，安装在默认文件夹C:apache下。安装程序会在该文件夹下自动产生一个子文件夹apache2。（2） 打开配置文件C:apacheapache2confhttpd.conf，将其中的Listen 8080，更改为Listen 50080。（这主要是为了避免冲突）。（3） 进入命令行运行方式（单击“开始”按钮，选择“运行”，在弹出窗口中输入“cmd”，回车），转入C:apacheapachebin子目录，输入下面命令：C:apacheapache2binapache k install将apache设置为以windows中的服务方式运行。2 安装PHP（

3、1） 解压缩php-4.3.2-Win32.zip至C:php。（2） 复制C:php下php4ts.dll 至%systemroot%System32，php.ini-dist至%systemroot%php.ini。（3） 添加gd图形支持库，在php.ini中添加extension=php_gd2.dll。如果php.ini有该句，将此句前面的“；”注释符去掉。（4） 添加Apache对PHP的支持。在C:apahceapache2confhttpd.conf中添加：LoadModule php4_module “C:/php/sapi/php4apache2.dll”AddType a

4、pplication/x-httpd-php .php（5） 进入命令行运行方式，输入下面命令：Net start apache2 （这将启动Apache Web服务）（6） 在C:apacheapche2htdocs目录下新建test.php测试文件，test.php文件内容为使用http:/127.0.0.1:50080/test.php，测试PHP是否成功安装，如成功安装，则在浏览器中出现如下图所示的网页3 安装snort安装snort-2_0_0.exe，snort的默认安装路径在C:snort4 安装配置Mysql数据库（1） 安装Mysql到默认文件夹C:mysql，并在命令行方式

5、下进入C:mysqlbin，输入下面命令：mysqlbinmysqld install这将使mysql在Windows中以服务方式运行。（2） 在命令行方式下输入net start mysql，启动mysql服务（3） 进入命令行方式，输入以下命令 C:mysqlbinmysql u root p 如下图： 出现Enter Password提示符后直接按“回车”，这就以默认的没有密码的root用户登录mysql数据库。（4） 在mysql提示符后输入下面的命令（Mysql）表示屏幕上出现的提示符，下同）：（Mysql）create database snort;）create database

6、 snort_archive;注意：在输入分号后mysql才会编译执行语句。上面的create语句建立了snort运行必须的snort数据库和snort_archive数据库。（5） 输入quit命令退出mysql后，在出现的提示符之后输入:（c:）Mysql D snort u root psnortcontribcreate_mysql）Mysql D snort_archive u root p）grant usage on *.* to “acid”loacalhost” identified by “acidtest”;（mysql）grant usage on *.* to “sn

7、ort”loacalhost” identified by “snorttest”; 上面两个语句表示在本地数据库中建立了acid（密码为acidtest）和snort（密码为snorttet）两个用户，以备后面使用。（7） 在mysql提示符后面输入下面的语句：）grant select,insert,update,delete,create,alter on snort.* to “adid”localhost;）grant select,insert on snort.* to “snort”localhost;）grant select,insert,update,delete,cre

8、ate,alter on snort_archive.* to “adid”localhost;这是为新建的用户在snort和snort_archive数据库中分配权限。5 安装adodb将adodb360.zip解压缩至C:phpadodb目录下，即完成了adodb的安装。6 安装配置数据控制台acid（1） 解压缩acid-0.9.6b23.tat.gz至C:apacheapache2htdocsacid目录下。（2） 修改C:apahceapache2htdocs下的acid_conf.php文件：DBlib_path = phpadodb;$DBtype=”mysql”;$alert_

9、dbname = snort$alert_host = localhost$alert_port = 3306$alert_user = acid$alert_password = acidtest/* Archive DB connection parameters */$archive_dbname = snort_archive$archive_host = $archive_port = $archive_user = $archive_password = $ChartLib_path=”C:phpjpgraphsrc”;修改时要将文件中原来的对应内容注释掉，或者直接覆盖。（3） 查

10、看http:50080/acid/acid_db_setup.php网页，如下图所示，单击create ACID AG 建立数据库。7 安装jpgraph库（1） 解压缩jpgraph-1.12.2.tar.gz至C:phpjpgraphphpjpgrahsrc下jpgraph.php文件，去掉下面语句的注释。DEFINE（”CACHE_DIR”,”/tmp/jpgraph_cache/”）;8 安装winpcap安装默认选项和默认路径安装winpcap。9 配置并启动snort（1） 打开C:snortetcsnort.conf文件，将文件中的下列语句：include classificat

11、ion.configinclude reference.config修改为绝对路径：include C:snortetcclassfication.configsnortetcreference.config（2） 在该文件的最后加入下面语句：Output database: alert,mysql,host=localhost user=snort password=snorttest dbname=snort encoding=hex detail=full（3） 进入命令行方式，输入下面的命令：snortbinsnort c “C:snortetcsnort.conf” l “C:sno

12、rtlog” d e X上面的命令将启动snort，如果snort正常运行，系统最后将显示如下图所示（4） 打开http:50080/acid/acid_main.php网页，进入acid分析控制台主界面。如上述配置均正确，将出现如下图所示的页面。（二）Windows下snort的使用1 完善配置文件snortetcsnort.conf（2） 配置snort的内、外网检测范围。将snort.conf文件中var Home_NET any语句中的any改为自己所在的子网地址，即将snort监测的内网设置为本机所在局域网。如本地IP为192.168.1.10，则将any改为192.168.1.0/

13、24。并将var EXTERNAL_NET any语句中的any改为！192.168.1.1/24，即将snort监测的外网改为本机所在局域网以外的网络（3） 设置监测包含规则。找到snort.conf文件中描述规则的部分，前面加“#”表示该规则没有启用，将local.rules之前的“#”去掉，其余规则保持不变。2 使用控制台查看结果3 配置snort规则snortruleslocal.rules文件。（2） 在规则中添加一条语句，实现对内网的UDP协议相关流量进行检测，并报警：udp ids/dns-version-query。语句如下：Alert tcp any any-$Home_NE

14、T any（msg:”udp ids/dns-version-query”;content:”version”;）重启snort和acid检测控制台，使规则生效。实验结果及分析 （一） windows环境下snort的安装apacheapache2confhttpd.conf，将其中的Listen 80，更改为Listen 50080。（%systemroot%代表的是系统中的C盘下的windows目录）LoadModule php4_module C:/php/sapi/php4apache2.dll使用http:mysqlbinmysqld-nt -install 上面两个语句表示在本地数据库中建立了acid（密码为acidtest）和snort（密码为snorttest）两个用户，以备后面使用。按照系统提示建立数据库，正常建立后出现相应的网页。如下图：1、完善配置文件192.168.1.0/24，即将snort监测的外网改为本机所在局域网以外的网络2、使用控制台查看结果3、配置snort规则实验总结 通过本次实验，我学会了基本的snort技术的入侵检测技术。但是过程中也遇到了一些问题，在同学和老师的帮助下，顺利的完成了实验，希望在以后的学习和实验中，自己能有更加突出的表现，掌握更多的专业知识指导教师意见 签名： 年 月 日