Windos平台入侵检测配置 --Snort

整理不少，已出锥形。

使用到的工具：

Snort_2_9_0_1_Installer.zip

WinPcap_4_1_2.zip

acid-1.9.6b23.tar.gz

apache_2.2.11-win32-x86-no_ssl.rar

php-5.2.13-Win32-VC6-x86.zip

adodb460.zip

snortrules-snapshot-CURRENT.rar

jpgraph-1.27.tar.gz

mysql-5.0.51a-win32.zip

配置完成后会给出下载地址

apache+php+mysql 配置前面有

因为我是在虚拟机上做的测试

就1个C盘 图就不截了

1:

安装Winpcap_4_1_2.zip

2：

安装Snort

我安装到C:\Snort\

cd c:\snort\bin

snort.exe -W   查看网卡

应该是看不到的 重启计算机就可以看到了

3：

导入数据

mysql我是安装在c:\mysql

cd c:\mysql\bin\

mysql -u root -p   Enter：password

creat database snort

creat database acid

建立2个数据库

导入数据

mysql -D snort -u -p < c:\snort\schemas\create_mysql

mysql -D acid -u  -p < c:\snort\schemas\create_mysql

4:用户权限设置

我是直接在phpadmin下设置的

新建2用户 snort acid 密码账户相同 赋给snort acid 对应数据库权限

5：安装adodb

解压adodb360.zip

说明下：apache 我安装在c:\apache\ 网站目录为c:\home\

把adodb放在home目录下

6：安装jpgrapg库

说明:php我直接放在c:\php下

把jpgrapg文件放到c:\php\目录下

7：安装acid

解压放到c:\home下 目录为acid

修改acid的配置文件

acid_conf.php

------------------------------------

$DBlib_path = "c:\home\adodb";

$alert_dbname = "snort";

$alert_host = "localhost";

$alert_port = "3306";

$alert_user = "snort";

$alert_password = "snort";

/* Archive DB connection parameters */

$archive_dbname = "acid";

$archive_host = "localhost";

$archive_port = "3306";

$archive_user = "acid";

$archive_password = "acid";

$ChartLib_path = "c:\php\jpgraph\src";

配置完后

http://localhost/acid 访问会提示运行数据库

运行完后 可以看到acid的界面了

8：安装snort规则库

解压把里面的规则复制到c:\snort\rules\

9:  修改snort配置文件

c:\snort\etc\snort.conf

-----------------------------------

修改

include classification.config

include reference.config

改为绝对路径

include c:\snort\etc\classification.config

include c:\snort\etc\reference.config

设置snort输出

output database: log,mysql, user=snort password=snort dbname=snort host=localhost

var HOME_NET any   --修改 192.168.1.0/24

var RULE_PATH C:\Snort\rules   规则文件

dynamicpreprocessor directory  C:/Snort/lib/snort_dynamicpreprocessor ----修改目录路径

dynamicengine C:/Snort/lib/snort_dynamicengine/sf_engine.dll  ----注意"/","\"问题

在'# output log_tcpdump: tcpdump.log' 下插入下一行：

output alert_fast: alert.ids

10: 启动snort

c:\snort\bin\

snotr 可以直接运行

c:\snort\bin>snort -c "c:\snort\etc\snort.conf" -l "c:/snort/log" -i 1 -d -e -X

加载snort.conf运行 

参数说明：

-X 参数用于在数据链接层记录raw packet 数据

-d 参数记录应用层的数据

-e 参数显示／记录第二层报文头数据

-c 参数用以指定snort 的配置文件的路径

-i 指明监听的网络接口。

运行的时候很容易出错 看错误提示更改就OK了

亲自测试完成  如配置无法完成 请留言 可以手打错了地方