Windows平台下基于snort的入侵检测系统安装详解

第 1 页 共 12 页

Windows平台下基于snort的入侵检测系统安装详解

序言：最近公司网络总是不间断出现点问题，也搭建了一些流量监控服务器进行监控和分析；也一直在关注网络安全方面的知识。看到snort IDS是一个开源的软件，突然想学习下。就有了搭建Windows下Snort IDS的想法。一下内容参考网络上的资料。

1.软件准备

Apache，php,mysql,winpcap,snort,acid,adodb,jpgraph等

2.软件安装

window平台 ：windows xp sp3

(1) apache的安装

一路下一步，具体配置如下图：

第 2 页 共 12 页

安装完成后验证web服务是否运行正常

(2) mysql安装

第 3 页 共 12 页

第 4 页 共 12 页

第 5 页 共 12 页

第 6 页 共 12 页

(3) php安装

解压php压缩包到C盘下并命名为php

复制c:phpphpini-dist到c:windows下并重命名为

复制c:，c: 到 c:windowssystem32下

复制c:phpextphp_到c:windowssystem32下

修改 c:apacheconfhttpd配置文件

添加 LoadModule php5_module c:/php/php5apache2_

AddType application/x-httpd-php .php

重启apache服务

在c:apachehtdocs下新建

phpinfo();

?>

/ 验证php能否工作

第 7 页 共 12 页

修改c:windows下文件

extension_dir = "c:phpext"

去掉“；” extension=php_

去掉“；” extension=php_

重启apache服务

验证php对mysql和gd库的支持

第 8 页 共 12 页

(4) winpcap安装

按向导进行安装

(5)snort安装

按向导进行安装

第 9 页 共 12 页

(6)复制C:Snortschemas下的create_mysql到C:mysqlbin下

创建snort需要的数据库

通过source create_mysql 创建snort,snort_archive数据库

第 10 页 共 12 页

(7) 解压acid、adodb、jpgraph相关压缩包并复制到C:apachehtdocs下如图

修改acid_文件

$DBlib_path = "c:apachehtdocsadodb";

$alert_dbname = "snort";

$alert_host = "localhost";

$alert_port = "3306";

第 11 页 共 12 页

$alert_user = "root";

$alert_password = "password";

/* Archive DB connection parameters */

$archive_dbname = "snort_archive";

$archive_host = "localhost";

$archive_port = "3306";

$archive_user = "root";

$archive_password = "password";

$ChartLib_path = "c:apachehtdocsjpgraphsrc";

(8)解压缩snortrules包，并拷贝到snort安装目录

修改c:文件如下

var HOME_NET [192.168.12.0/23,192.168.14.0/23] /监控网段

var RULE_PATH c:snortrules /指定规则库

/指定动态处理器路径

dynamicpreprocessor file c:snortlibsnort_dynamicpreprocessorsf_

dynamicpreprocessor file c:snortlibsnort_dynamicpreprocessorsf_

dynamicpreprocessor file c:snortlibsnort_dynamicpreprocessorsf_

dynamicpreprocessor file c:snortlibsnort_dynamicpreprocessorsf_

dynamicpreprocessor file c:snortlibsnort_dynamicpreprocessorsf_

dynamicpreprocessor file c:snortlibsnort_dynamicpreprocessorsf_

dynamicpreprocessor file c:Snortlibsnort_dynamicpreprocessorsf_

dynamicengine c:snortlibsnort_dynamicenginesf_

/注销掉动态监测功能

# dynamicdetection file /usr/local/lib/snort_dynamicrules/

# dynamicdetection file /usr/local/lib/snort_dynamicrules/

# dynamicdetection file /usr/local/lib/snort_dynamicrules/

# dynamicdetection file /usr/local/lib/snort_dynamicrules/

# dynamicdetection file /usr/local/lib/snort_dynamicrules/

# dynamicdetection file /usr/local/lib/snort_dynamicrules/

# dynamicdetection file /usr/local/lib/snort_dynamicrules/

# dynamicdetection file /usr/local/lib/snort_dynamicrules/

# dynamicdetection file /usr/local/lib/snort_dynamicrules/

# dynamicdetection file /usr/local/lib/snort_dynamicrules/

# dynamicdetection file /usr/local/lib/snort_dynamicrules/

# dynamicdetection file /usr/local/lib/snort_dynamicrules/

# dynamicdetection file /usr/local/lib/snort_dynamicrules/

# dynamicdetection file /usr/local/lib/snort_dynamicrules/

/指定输出数据库类型及用户名、密码、数据库名等信息

第 12 页 共 12 页

output database: alert, mysql, user=root password=password dbname=snort host=localhost

/指定路径

include c:

include c:

保存退出

cd c:snortbin

snort -c c: -l c:snortlog -de -i2

在攻击机器上ping 搭建snort的服务器，然后登录ACID控制台，界面如下：

说明snort入侵检测平台搭建成功！看到网上的搭建说明都不是很详解和具体还有部分错误，此文档为Windows XP实际搭建和测试截图（绝对真实和可行）！后续深入完成snort规则的定制及Linux下snort的搭建。