Snort 安装指南(Windows2003平台)
2007-05-05 02:41:37
Snort 是一套非常优秀的IDS和网络监测系统,值得大中型网络管理者和网络安全研究人员去学习使用. 注:本文不适合普通电脑用户阅读. 安装平台: Windows Server 2003 SP1 + MS SQL / My SQL + IIS / Apache + PHP4 / PHP5 需要软件包:(以下软件包都可以从本站直接下载获取) Snort 2.6.1.1 Windows 版本的Snort 安装包 以及 Snort 规则库(注册用户下载) http://www.snort.org/dl/binaries/win32/ WinPcap 3.1 网络数据包截取驱动程序 (4.0Beta 2 版也可) http://winpcap.polito.it/ BSAE 1.2.7 基于php 的入侵检测数据库分析控制台 http://sourceforge.net/project/showfiles.php?group_id=103348 PHP4 / PHP5 Windows 版本的php 脚本环境支持 http://www.php.net/downloads.php adodb493a(Active Data Objects Data Base)库for PHP http://sourceforge.net/project/showfiles.php?group_id=42718 jpgraph 1.20.5 图形库for PHP4 / jpgraph 2.1.4 图形库for PHP5 http://www.aditus.nu/jpgraph/jpdownload.php Apache 2.0.59
http://httpd.apache.org/ MySQL 5.0.27 数据库 http://www.mysql.com 安装说明: 1.配置 Apache + PHP 或者 IIS + PHP 环境, 这方面网上例子很多, 不做详述. PHP 安装目录设为 c:\PHP, php.ini 配置文件根据需要修改下面两行 extension=php_mssql.dll extension=php_mysql.dll 取消注释. 此外:还需修改php.ini中extension_dir指定路径。 如果是php4,应该是:extension_dir = c:/php/extensions 如果是php5,应该是:extension_dir = c:/php/ext 根据php安装路径中的目录名来设定。 调用GD库
取消;extension=php_gd2.dll,前面的分号。 因为要安装pear,所以还要指定pear的安装路径(pear的安装后面再说),如:
include_path = c:\php\pear 另外需要注意:php4和mysql5配合有问题,据说是mysql5登录方式较以前版本有变化。所以一般选择php4+mysql4,或者php5+mysql5。
修改apache配置文件httpd.conf,作如下修改:
如果是php4: LoadModule php4_module "c:/php/sapi/php4apache2.dll" AddType application/x-httpd-php .php 如果是php5: LoadModule php5_module "c:/php/php5apache2.dll" AddType application/x-httpd-php .php php.ini不需要拷贝到windows目录中,只要httpd.conf中作如下指定: PHPIniDir "c:/php" 修改完成后,重启apache。如果启动报错,不妨使用apache 的test模式启动来查看具体错误。DOS下进入apache安装路径的bin目录。运行:apache.exe -t,或者httpd.exe -t(不同apache版本的执行文件有区别)
安装pear(windows系统下安装方式):
1) 访问http://go-pear.org。显示一php代码页,将这些代码保存为一php文件,放到web目录中,然后在浏览器中打开该文件。如图(pear安装)。按提示操作即可。注意需要指定安装目录。一般选择php的安装目录就可以了。安装完成后要在php.ini中添加相应配置:include_path = "PEAR安装路径" 2)PEAR的默认安装并不包含Image_Graph,此外要安装Image_Graph,还需要安装Image_Color,Image_Canvas-alpha。所以,在DOS窗口下进入PEAR安装路径。运行: pear install image_color pear install image_canvas-alpha pear install image_graph-alpha *为什么要加"-alpha",因为似乎只有alpha包。 2. 解压缩 base-1.2.7.tar.gz 至 c:\wwwroot 目录, 并将此目录设为 web 主目录. 解压缩 adodb493a.zip 至 c:\wwwroot\adodb 目录 根据你使用的 PHP 版本, 解压缩 jpgraph-1.20.5.zip 或 jpgraph-2.1.4.tar.gz 至 c:\wwwroot\jpgraph 目录 3.安装 WinPcap 和 Snort, 使用默认安装路径 c:\snort,安装过程中注意选择数据库类型 将 snortrules-snapshot-CURRENT.tar.gz 规则库内容解压缩到 c:\Snort ==================== 以下为 MS-SQL 安装 ==================== SQL2000里新建 snort 用户, 新建 snort 数据库并赋予 snort 用户 DB_owner 权限 用 snort 用户登录SQL查询分析器, a. 使用 c:\Snort\schemas\create_mssql 的内容在查询分析器里执行, b..访问 http://localhost/index.php 的 BASE 目录,根据提示完成安装. 配置完成后会在 wwwroot 目录下生成 base_conf.php 这个配置文件, 如果要重新配置, 删除此文件即可. ==================== 以下为 MySQL 安装 ==================== a.MySQL 里面新建 snort 数据库 mysql> create database snort; 转到 snort 数据库 mysql> use snort; Database changed mysql> 在>后执行 c:\Snort\schemas\create_mysql 的内容 b.访问 http://localhost/index.php 的 BASE 目录,根据提示完成安装.
4.配置 C:\Snort\etc\snort.conf var RULE_PATH C:\Snort\rules dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll include c:\snort\etc\classification.config include c:\snort\etc\reference.config output database: log, mssql, dbname=snort user=snort password=snort 或 output database: log, mysql, user=root password=snort dbname=snort host=localhost 5.运行 Snort 输出结果到 sql, C:\snort\bin>Snort -W 可以看到所有网卡的 Interface 列表 C:\snort\bin>snort -c "c:\snort\etc\snort.conf" -i 2 -l c:\temp -d -e (参数很多,具体请查帮助) 上面的 2 是想监控的网卡的 Interface 序号。 在 http://127.0.0.1/index.php 就可以实时查看结果了. 备注:
如果相关 Alert 太多, 可以通过修改 snort/etc/threshold.conf 文件, suppress gen_id 119, sig_id 4 # http_inspect: BARE BYTE UNICODE ENCODING 来处理 |
zywhy
博客统计信息
热门文章
最新评论
友情链接