snort配置步骤

1．在Windows环境下安装snort。（1）安装Apache_2.0.46①双击apache_2.0.46-win32-x86-no_src.msi，安装在文件夹C:\apache下。安装程序会在该文件夹下自动产生一个子文件夹apache2。②为了避免ApacheWeb服务器的监听端口与WindowsIIS中的Web服务器的80监听端口发生冲突，这里需要将ApacheWeb服务器的监听端口进行修改。打开配置文件C:\apache\apache2\conf\httpd.conf，将其中的Listen80，更改为Listen50080。如图3.34所示。图3.34修改apache的监听端口③单击“开始”按钮，选择“运行”，输入cmd，进入命令行方式。输入下面的命令：C:\cdapache\apache2\binC:\apache\apache2\bin\apache–kinstall这是将apache设置为以Windows中的服务方式运行。如图3.35所示。图3.35Apache以服务方式运行（2）安装PHP①解压缩php-4.3.2-Win32.zip里面的文件至C:\php\。②复制C:\php下php4ts.dll至%systemroot%\System32，复制C:\php下php.ini-dist至%systemroot%\，然后修改文件名为：php.ini。③添加gd图形库支持，把C:\php\extensions\php_gd2.dll拷贝到%systemroot%\System32，在php.ini中添加extension=php_gd2.dll。如果php.ini有该句，将此语句前面的“；”注释符去掉。如图3.36所示图3.36修改php.ini配置文件④添加Apache对PHP的支持。在C:\apache\apache2\conf\httpd.conf中添加：LoadModulephp4_moduleC:/php/sapi/php4apache2.dllAddTypeapplication/x-httpd-php.php如图3.37和图3.38所示。图3.37修改httpd.conf图3.38修改httpd.conf⑤单击“开始”按钮，选择“运行”，输入cmd进入命令行方式，在弹出的窗口中输入下面命令：netstartapache2这将在Windows中启动ApacheWeb服务。如图3.39所示。图3.39启动ApacheWeb服务⑥在C:\apache\apache2\htdocs目录下新建test.php测试文件，test.php文件内容为?phpinfo();?。使用，测试PHP是否安装成功，如安装成功，则在浏览器中出现test.php的网页。如图3.40所示。图3.40PHP测试页（3）安装snort安装snort-2_0_0.exe，snort的安装路径在C:\snort。（4）安装配置MySQL数据库①安装Mysql到文件夹c:\mysql，并在命令行方式下进入C:\mysql\bin，输入下面的命令：（C:\mysql\bin）mysqld–nt–install这将使mysql在Windows中以服务方式运行。如图3.41所示图3.41MySQL以服务方式运行②在命令行方式下输入netstartmysql，启动mysql服务。如图3.42所示。图3.42启动MySQL服务③在命令行方式下进入C:\mysql\bin，输入下面的命令：（C:\mysql\bin）mysql–uroot–p这是将出现Enterpassword提示符，直接按“回车”，这就以默认的没有密码的root用户登录Mysql数据库。如图3.43所示。图3.43以root用户登录MySQL数据库④在Mysql提示符后输入下面的命令：(Mysql)createdatabasesnort;(Mysql)createdatabasesnort_archive;上面的create语句建立了snort运行必需的snort数据库和snort_archive数据库。⑤输入quit命令退出Mysql后，在出现的提示符之后输入：(C:\mysql\bin)mysql–Dsnort–uroot–pC:\snort\contrib\create_mysql(C:\mysql\bin)mysql–Dsnort_archive–uroot–pC:\snort\contrib\create_mysql上面两个语句表示以root用户身份，使用C:\snort\contrib目录下的create_mysql脚本文件，在snort数据库和snort_archive数据库中建立了snort运行必需的数据表。屏幕上会出现密码输入提示，由于这里使用的是没有密码的root用户，直接按“回车”即可。如图3.44所示。图3.44分别在snort和snort_archive库中建立snort运行需要的数据表⑥参照步骤③，再次以root用户登陆mysql数据库，在提示符后输入下面的语句：(mysql)grantusageon*.*to“acid”@”localhost”identifiedby“acidtest”;(mysql)grantusageon*.*to“snort”@”localhost”identifiedby“snorttest”;上面两个语句表示在本地数据库中建立了acid（密码为acidtest）和snort（密码为snorttest）两个用户，以备后面使用。如图3.45所示。图3.45在本地数据库中创建acid用户和snort用户⑦在Mysql提示符后面输入下面的语句：(mysql)grantselect,insert,update,delete,create,alteronsnort.*to“acid”@”localhost”;(mysql)grantselect,insertonsnort.*to“snort”@”localhost”;(mysql)grantselect,insert,update,delete,create,alteronsnort_archive.*to“acid”@”localhost”;这是为新建的用户在snort和snort_archive数据库中分配权限。如图3.46所示。图3.46分配权限（5）安装adodb将adodb453.zip解压缩至C:\php\adodb目录下，即完成了adodb的安装。（6）安装配置数据控制台acid①解压缩acid-0.9.6b23.tar.gz至C:\apache\apache2\htdocs\acid目录下。②修改C:\apache\apache2\htdocs\acid下的acid_conf.php文件：$DBlib_path=”C:\php\adodb”;$DBtyp=”mysql”;$alert_dbname=”snort”;$alert_host=”localhost”;$alert_port=”3306”;$alert_user=”acid”;$alert_password=”acidtest”;/*ArchiveDBconnectionparameters*/$archive_dbname=”snort_archive”;$archive_host=”localhost”;$archive_port=”3306”;$archive_user=”acid”;$archive_password=”acidtest”$ChartLib_path=”C:\php\jpgraph\src”;③查看hhtp://127.0.0.1:50080/acid/acid_db_setup.php网页，单击createACIDAG建立数据库，如图3.47所示。图3.47acid_db_setup.php网页按照系统提示建立数据库，正常建立后出现相应的网页。如图3.48所示。图3.48ACID数据库建成后的网页（7）安装jpgraph库①解压缩jpgraph-1.12.2.tar.gz至C:\php\jpgraph②修改C:\php\jpgraph\src下jpgraph.php文件，去掉下面语句的注释：DEFINE(“CACHE_DIR”,”/tmp/jpgraph_cache/”);（8）安装winpcap按照默认选项和默认路径安装winpcap。Winpcap的版本可能会影响下面启动snort。（9）配置并启动snort①打开C:\snort\etc\snort.conf文件，将文件中的下列语句：includeclassification.configincludereference.config修改为绝对路径：includeC:\snort\etc\classification.configincludeC:\snort\etc\reference.config②在该文件的最后加入下面的语句：outputdatabase:alert,mysql,host=localhostuser=snortpassword=snorttestdbname=snortencoding=hexdetail=full③命令行方式下输入下面的命令：C:\cdsnort\binC:\snort\binsnort–c”C:\snort\etc\snort.conf”–l”C:\snort\log”–d–e–X上面的命令将启动snort，如果snort正常运行，系统最后将显示相应的信息。如图3.49所示。图3.49snort正常运行的状态④打开网页，进入acid分析控制台主界面。查看上述配置是否正确。如图3.50所示。图3.50acid分析控制台页面（10）完善配置文件①打开C:/snort/etc/snort.conf文件，查看现有配置。②设置snort的内、外网检测范围。将snort.conf文件中varHOME_NETany语句中的any改为自己所在的子网地址，即将snort监测的内网设置为本机所在的局域网。如本地IP为192.168.1.10，则将any改为192.168.1.0/24。并将varEXTERNAL_NETany语句中的any改为!192.168.1.0/24，即将snort监测的外网改为本机所在局域网以外的网络。③设置监测包含的规则。找到snort.conf文件中描述规则的部分（即最后部分都是.rules的语句），前面加“#”表示该规则没有启用，将local.rules之前的“#”去掉，其余规则保持不变。如图3.51所示。图3.51snort.conf文件中包含的检测规则文件在配置好snort的基础上，练习使用ACID检测控制台查看检测结果。