SNORT入侵检测系统实验1

基于SNORT的入侵检测系统配置与实验•实验目的熟悉入侵检测工具SNORT在WINDOWS中的安装和配置方法•实验环境一台安装了WINDOWS2000/XP/2003操作系统的计算机，连接到本地局域网中。实验内容所需软件1.Acid基于PHP的入侵检测数据库分析控制台。2.Adodb为PHP提供统一的数据库连接函数。3.ApacheWINDOWS版本的ApacheWeb服务器4.JpgraphPHP所用图形库。5.MysqlWINDOWS版本的MYSQL数据库，用于存储SNORT的日志、报警、权限等。6.PHPWINDOWS环境中PHP支持环境。7.SNORTWINDOWS中的SNORT安装包，入侵检测的核心部分。8.WINPCAP网络数据包截取驱动程序，用于从网卡中抓取数据包。9.SNORTRULES提供拦截数据包的规则。实验步骤1.安装APACHE至C:\ids\apache，测试Apache站点。2.安装PHP至C:\ids\php51）将Php5ts.dll复制到\\System32下，把Php.int-dist复制到\\Windows下并重新命名为Php.ini.2）添加GD图形库的支持，将Phi.ini中把“;extension=php_gd2.dll”和“;extension=php_mysql.dll”这两条语句前面的分号去掉。实验内容3）将C:\ids\php5\ext下的文件php_gd2.dll,php_mysql.dll复制至C:\windows下；将php_mysql.dll复制至C:\windows\system32下；将C:\ids\php5\libmysql.dll复制至C:\windows\system32下。4）添加APACHE对PHP的支持。在C:\ids\apache\conf\httpd.conf的末尾添加以下语句：•LoadModulephp5_modulec:/ids/php5/php5apache2_2.dll•AddTypeapplication/x-httpd-php.php5）重启APACHE。6）在C:\ids\APACHE\htdocs目录下新建TEST.PHP，内容：?phpinfo();?。在IE中测试PHP是否成功安装。3.安装SNORT和WINPCAP1）安装WINPCAP。2）安装SNORT至C:\ids\snort。3）在命令行方式下，进入c:\ids\snort\bin，执行命令：snort.exe–W，测试SNORT是否成功安装。1）安装MYSQL至C:\ids\Mysql，4.安装配置MYSQL数据库并按向导提示配置MysqlServer：其他设置可默认或自由选择，设置并记好ROOT密码。2）进入Mysql控制台，建立SNORT运行必须的SNORT数据库和SNORT_ARCHIVE数据库。3）复制C:\ids\snort\schames下的create_mysql文件到C:\ids\snort\bin下。4）在命令行方式下分别输入和执行以下两条命令。上面两个语句表示以ROOT身份，使用create_mysql脚本文件建立SNORT数据库所必须的数据表。5）进入MYSQL控制台，输入下面的语句。在本地数据库中建立ACID（密码为ACIDTEST）和SNORT（密码为SNORTTEST）两个用户。6）在MYSQL控制台下，继续输入以下命令，为新建的用户在SNORT和SNORT_ARCHIVE数据库中分配权限。5.安装ADODB将ADODB解压缩至C:\ids\php5\adodb目录下即可。6.安装配置数据控制台ACID。1）将ACID解压缩至:C\ids\apache\htdocs\acid目录下。2）修改该目录下的ACID_CONF.PHP文件，修改内容如下：$DBlib_path=c:\ids\php5\adodb;$DBtype=mysql;•$alert_dbname=snort;•$alert_host=localhost;•$alert_port=3306;•$alert_user=acid;•$alert_password=acidtest;•/*ArchiveDBconnectionparameters*/•$archive_dbname=snort_archive;•$archive_host=localhost;•$archive_port=3306;•$archive_user=acid;•$archive_password=acidtest;•$ChartLib_path=c:\ids\php5\jpgraph\src;3）重启APACHE服务。在IE中输入：，打开页面后，单击CreateACIDAG按钮，建立数据库。7.安装JPGRAPH库解压缩JPGRAPH至：C:\ids\php5\jpgraph.8.解压缩SNORT规则包。把SNORT规则包的所有文件解压缩至：C:\ids\snort下，替换其中的文件和文件夹。9.修改SNORT配置文件。打开C:\ids\snort\etc\snort.conf，修改内容如下：•#pathtodynamicpreprocessorlibraries•dynamicpreprocessorfileC:\ids\snort\lib\snort_dynamicpreprocessor\sf_dce2.dll•dynamicpreprocessorfileC:\ids\snort\lib\snort_dynamicpreprocessor\sf_dcerpc.dll•dynamicpreprocessorfileC:\ids\snort\lib\snort_dynamicpreprocessor\sf_dns.dll•dynamicpreprocessorfileC:\ids\snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dll•dynamicpreprocessorfileC:\ids\snort\lib\snort_dynamicpreprocessor\sf_smtp.dll•dynamicpreprocessorfileC:\ids\snort\lib\snort_dynamicpreprocessor\sf_ssh.dll•dynamicpreprocessorfileC:\ids\snort\lib\snort_dynamicpreprocessor\sf_ssl.dll#pathtobasepreprocessorenginedynamicengineC:\ids\snort\lib\snort_dynamicengine\sf_engine.dll#databaseoutputdatabase:alert,mysql,user=acidpassword=acidtestdbname=snorthost=localhostencoding=hexdetail=full#metadatareferencedata.donotmodifytheselinesincludeC:\ids\snort\etc\classification.configincludeC:\ids\snort\etc\reference.config10.启动SNORT入侵检测。1）以命令行下输入以下命令，启动SNORT程序。（如果希望看到SNOR抓取的数据包，可以-X之后加-V。运行结果如下：2）执行以下命令加速SNORT并保存配置。11.查看统计数据从安装有SNORT的主机上打开IE，并输入，进入ACID分析控制台主界面，从中便可以查看到统计数据。至此，基于SNORT的入侵检测系统配置结束。后续工作则是完善SNORT规则配置文件。Local.rules•#$Id:local.rules,v1.132005/02/1001:11:04bmcExp$•#----------------•#LOCALRULES•#----------------•#Thisfileintentionallydoesnotcomewithsignatures.Putyourlocal•#additionshere.•alerticmpanyany-$HOME_NETany(msg:icmpPacket;sid:1234567890;rev:1;)