资源描述
部署入侵检测系统
1、 安装apache
将apache安装在c:\apache 目录中,其他的按照向导默认安装就可以了。如果这台计算机上其他的服务占用了80端口的话,就在配置文件c:\apache\conf\httpd.conf中修改listen 80为其他的端口
2、 添加apache对php的支持
解压php-5.1.6-win32.zip至c:\php5目录中
复制php5ts.dll文件到%systemroot%\system32中
复制php.ini-dist至%systemroot%目录下,更名为php.ini
在c:\apache\conf\httpd.conf文件中添加:
LoadModule php5_module c:/php5/php5apache2.dll (这里是正斜杠)
AddType application/x-httpd-php .php (“.php”之前有一个空格是必须的)
3、 打php的补丁
解压php5apache2.dll-php5.1.x.zip到任何目录中
将解压的文件php5apache2.dll文件复制到c:\php5目录下
将解压的文件httpd.exe.manifest文件复制到c:\apache\bin目录中
运行解压文件vcredist_x86.exe文件
(若文件不能运行安装,则到微软网站下载并安装“dotnetfx.exe”——.net2.0框架)
4、 添加apache对gd库的支持
修改%systemroot%\php.ini 找到“extension=php_gd2.dll”去掉前面的“;”
复制c:\php5\ext\php_gd2.dll文件到%systemroot%下
5、 测试
在c:\apache\htdocs目录中新建test.php文件,在其中输入下列命令
<?phpinfo();?>
使用http://localhost:端口号/test.php
6、 安装winpcap——按照向导安装就好了
7、 安装snort——采用默认安装就好了
安装完成后使用下列命令验证是否安装成功
C:\snort\bin>snort –W
在左上角显示一个狂奔的可爱的小猪就说明snort安装成功了
8、 安装和配置MySQL
采用默认安装,将MySQL安装在c:\mysql目录中
安装完成后需要建立snort的一些相关的数据库
C:\mysql\bin\mysql –u root –p (后回车输入root用户的密码,在安装时设置的登陆MySQL数据库)
Mysql>create database snort;
Mysql>create database snort_archive;
(创建数据库snort和snort_archive,这里必须以“;”结束命令)
将c:\snort\schemas目录下的create_mysql复制到c:\mysql\bin下,建立snort运行必须的数据表,实现语句为
Mysql>use snort
Mysql>source create_mysql
Mysql>use snort_archive
Mysql>source create_mysql
Mysql>show tables; 可以查看数据表
为MySQL建立snort和acid账号,是IDScenter或者acid能正常访问MySQL中与snort相关的数据文件,实现语句为:
Mysql>grant usage on *.* to “acid”@”localhost” identified by “acidtest”;
Mysql>grant usage on *.* to “snort”@”localhost” identified by “snorttest”;
这里的acidtest和snorttest是两个用户的密码
为acid用户和snort用户分配相关权限,实现语句为:
Mysql>grant select,insert,update,delete,create,alter on snort .* to “snort”@”localhost”;
Mysql>grant select,insert,update,delete,create,alter on snort_archive .* to “snort”@”localhost”;
Mysql>grant select,insert,update,delete,create,alter on snort .* to “acid”@”localhost”;
Mysql>grant select,insert,update,delete,create,alter on snort_archive .* to “acid”@”localhost”;
9、 启用php对MySQL的支持
修改%systemroot%\php.ini 找到“extension=php_mysql.dll”去掉前面的“;”
复制c:\php5\ext\php_mysql.dll文件到%systemroot%下
复制c:\php5\libmysql.dll文件到%systemroot%\system32下
10、安装adodb
解压adodb456.zip到c:\php5\adodb目录中
11、安装jpgraph
解压jpgraph-2.0.tar.gz到c:\php5\jpgraph
12、安装acid
解压acid-0.9.6b23.tar.gz到c:\apache\htdocs\acid目录中
修改acid_conf.php文件为下列格式
$DBlib_path = "c:\php5\adodb
$alert_dbname = "snort ";
$alert_host = "localhost";
$alert_port = "3306
$alert_user = "snort
$alert_password = "snorttest
/* Archive DB connection parameters */
$archive_dbname = "snort_archive";
$archive_host = "localhost";
$archive_port = "3306
$archive_user = "acid
$archive_password = "acidtest
建立acid运行必须的数据库
http://localhost/acid/acid_db_setup.php
13、配置snort
安装时有让选择使用哪种数据库:选择默认,其他两种需要提前安装sql server和Oracle的客户端
编辑c:\snort\etc\snort.conf文件为如下格式
Include classification.config
Include regerence.config
修改为绝对路径
Include c:\snort\etc\classification.config
Include c:\snort\etc\regerence.config
设置snort 输出alert 到mysql server
Output database: alter, mysql, host=localhost user=root password=安装sql时的密码 dbname=snort encoding=hex detail=full
修改dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
为 dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor
修改dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
为 dynamicengine c:\snot\lib\snort_dynamicengine\sf_engine.dll
将网卡监听的数据返回给snort
set PACP_FRANES=MAX,snort –W
将snortrules-snapshot-CURRENT.tar文件解压到snort的目录下,这个操作就是创建snort的规则
测试snort是否工作正常
C:\snort\bin> snort –c “c:\snort\etc\snort.conf” –l “c:\snort\log” –deX –i 2
到次入侵检测系统就搭建完成了,使用http://localhost/acid就能够查看到入侵行为了
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
