1、实验内容1、 Apache_2.0.46的安装与配置2、 php-4.3.2的安装与配置3、 snort2.0.0的安装与配置4、 Mysql数据库的安装与配置5、 adodb的安装与配置6、 数据控制台acid的安装与配置7、 jpgraph库的安装8、 winpcap的安装与配置9、 snort规则的配置10、 测试snort的入侵检测相关功能实验环境Pc机; 安装有Apache_2.0.46php-4.3.2snort2.0.0MysqlAdodbwinpcap实验步骤 (一) windows环境下snort的安装1 安装Apache_2.0.46(1) 双击Apache_2.0.46-
2、win32-x86-no_src.msi,安装在默认文件夹C:apache下。安装程序会在该文件夹下自动产生一个子文件夹apache2。(2) 打开配置文件C:apacheapache2confhttpd.conf,将其中的Listen 8080,更改为Listen 50080。(这主要是为了避免冲突)。(3) 进入命令行运行方式(单击“开始”按钮,选择“运行”,在弹出窗口中输入“cmd”,回车),转入C:apacheapachebin子目录,输入下面命令:C:apacheapache2binapache k install将apache设置为以windows中的服务方式运行。2 安装PHP(
3、1) 解压缩php-4.3.2-Win32.zip至C:php。(2) 复制C:php下php4ts.dll 至%systemroot%System32,php.ini-dist至%systemroot%php.ini。(3) 添加gd图形支持库,在php.ini中添加extension=php_gd2.dll。如果php.ini有该句,将此句前面的“;”注释符去掉。(4) 添加Apache对PHP的支持。在C:apahceapache2confhttpd.conf中添加:LoadModule php4_module “C:/php/sapi/php4apache2.dll”AddType a
4、pplication/x-httpd-php .php(5) 进入命令行运行方式,输入下面命令:Net start apache2 (这将启动Apache Web服务)(6) 在C:apacheapche2htdocs目录下新建test.php测试文件,test.php文件内容为使用http:/127.0.0.1:50080/test.php,测试PHP是否成功安装,如成功安装,则在浏览器中出现如下图所示的网页3 安装snort安装snort-2_0_0.exe,snort的默认安装路径在C:snort4 安装配置Mysql数据库(1) 安装Mysql到默认文件夹C:mysql,并在命令行方式
5、下进入C:mysqlbin,输入下面命令:mysqlbinmysqld install这将使mysql在Windows中以服务方式运行。(2) 在命令行方式下输入net start mysql,启动mysql服务(3) 进入命令行方式,输入以下命令 C:mysqlbinmysql u root p 如下图: 出现Enter Password提示符后直接按“回车”,这就以默认的没有密码的root用户登录mysql数据库。(4) 在mysql提示符后输入下面的命令(Mysql)表示屏幕上出现的提示符,下同):(Mysql)create database snort;)create database
6、 snort_archive;注意:在输入分号后mysql才会编译执行语句。上面的create语句建立了snort运行必须的snort数据库和snort_archive数据库。(5) 输入quit命令退出mysql后,在出现的提示符之后输入:(c:)Mysql D snort u root psnortcontribcreate_mysql)Mysql D snort_archive u root p)grant usage on *.* to “acid”loacalhost” identified by “acidtest”;(mysql)grant usage on *.* to “sn
7、ort”loacalhost” identified by “snorttest”; 上面两个语句表示在本地数据库中建立了acid(密码为acidtest)和snort(密码为snorttet)两个用户,以备后面使用。(7) 在mysql提示符后面输入下面的语句:)grant select,insert,update,delete,create,alter on snort.* to “adid”localhost;)grant select,insert on snort.* to “snort”localhost;)grant select,insert,update,delete,cre
8、ate,alter on snort_archive.* to “adid”localhost;这是为新建的用户在snort和snort_archive数据库中分配权限。5 安装adodb将adodb360.zip解压缩至C:phpadodb目录下,即完成了adodb的安装。6 安装配置数据控制台acid(1) 解压缩acid-0.9.6b23.tat.gz至C:apacheapache2htdocsacid目录下。(2) 修改C:apahceapache2htdocs下的acid_conf.php文件:DBlib_path = phpadodb;$DBtype=”mysql”;$alert_
9、dbname = snort$alert_host = localhost$alert_port = 3306$alert_user = acid$alert_password = acidtest/* Archive DB connection parameters */$archive_dbname = snort_archive$archive_host = $archive_port = $archive_user = $archive_password = $ChartLib_path=”C:phpjpgraphsrc”;修改时要将文件中原来的对应内容注释掉,或者直接覆盖。(3) 查
10、看http:50080/acid/acid_db_setup.php网页,如下图所示,单击create ACID AG 建立数据库。7 安装jpgraph库(1) 解压缩jpgraph-1.12.2.tar.gz至C:phpjpgraphphpjpgrahsrc下jpgraph.php文件,去掉下面语句的注释。DEFINE(”CACHE_DIR”,”/tmp/jpgraph_cache/”);8 安装winpcap安装默认选项和默认路径安装winpcap。9 配置并启动snort(1) 打开C:snortetcsnort.conf文件,将文件中的下列语句:include classificat
11、ion.configinclude reference.config修改为绝对路径:include C:snortetcclassfication.configsnortetcreference.config(2) 在该文件的最后加入下面语句:Output database: alert,mysql,host=localhost user=snort password=snorttest dbname=snort encoding=hex detail=full(3) 进入命令行方式,输入下面的命令:snortbinsnort c “C:snortetcsnort.conf” l “C:sno
12、rtlog” d e X上面的命令将启动snort,如果snort正常运行,系统最后将显示如下图所示(4) 打开http:50080/acid/acid_main.php网页,进入acid分析控制台主界面。如上述配置均正确,将出现如下图所示的页面。(二)Windows下snort的使用1 完善配置文件snortetcsnort.conf(2) 配置snort的内、外网检测范围。将snort.conf文件中var Home_NET any语句中的any改为自己所在的子网地址,即将snort监测的内网设置为本机所在局域网。如本地IP为192.168.1.10,则将any改为192.168.1.0/
13、24。并将var EXTERNAL_NET any语句中的any改为!192.168.1.1/24,即将snort监测的外网改为本机所在局域网以外的网络(3) 设置监测包含规则。找到snort.conf文件中描述规则的部分,前面加“#”表示该规则没有启用,将local.rules之前的“#”去掉,其余规则保持不变。2 使用控制台查看结果3 配置snort规则snortruleslocal.rules文件。(2) 在规则中添加一条语句,实现对内网的UDP协议相关流量进行检测,并报警:udp ids/dns-version-query。语句如下:Alert tcp any any-$Home_NE
14、T any(msg:”udp ids/dns-version-query”;content:”version”;)重启snort和acid检测控制台,使规则生效。实验结果及分析 (一) windows环境下snort的安装apacheapache2confhttpd.conf,将其中的Listen 80,更改为Listen 50080。(%systemroot%代表的是系统中的C盘下的windows目录)LoadModule php4_module C:/php/sapi/php4apache2.dll使用http:mysqlbinmysqld-nt -install 上面两个语句表示在本地数据库中建立了acid(密码为acidtest)和snort(密码为snorttest)两个用户,以备后面使用。按照系统提示建立数据库,正常建立后出现相应的网页。如下图:1、完善配置文件192.168.1.0/24,即将snort监测的外网改为本机所在局域网以外的网络2、使用控制台查看结果3、配置snort规则实验总结 通过本次实验,我学会了基本的snort技术的入侵检测技术。但是过程中也遇到了一些问题,在同学和老师的帮助下,顺利的完成了实验,希望在以后的学习和实验中,自己能有更加突出的表现,掌握更多的专业知识指导教师意见 签名: 年 月 日
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1