windows 2003下snort安裝 2007-12-09 16:03

snort 是一個強(qiáng)大的輕量級的網(wǎng)絡(luò)***檢測系統(tǒng)。它具有實時數(shù)據(jù)流量分析和日志IP 網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對內(nèi)容進(jìn)行搜索/匹配。它能夠檢測各種不同的***方式，對***進(jìn)行實時報警。Snort 可以運(yùn)行在*nix/Win32 平臺上。 　　本文將主要介紹Win2003 Server 下Snort 的安裝與配置，關(guān)于Snort 的體系結(jié)構(gòu)和規(guī)則，可以參考其他相關(guān)資。 　　安裝與配置 　　首先下載以下軟件包： 　　acid-0.9.6b23.tar.gz 　　[url]http://www.cert.org/kb/acid[/url] 　　基于php 的***檢測數(shù)據(jù)庫分析控制臺 　　adodb360.zip 　　[url]http://php.weblogs.com/adodb[/url] 　　ADOdb（Active Data Objects Data Base）庫for PHP 　　apache_2.0.46-win32-x86-no_src.msi 　　[url]http://www.apache.org[/url] 　　Windows 版本的Apache Web 服務(wù)器 　　jpgraph-1.12.2.tar.gz 　　[url]http://www.aditus.nu/jpgraph[/url] 　　OO 圖形庫for PHP 　　mysql-4.0.13-win.zip 　　[url]http://www.mysql.com[/url] 　　Windows 版本的Mysql 數(shù)據(jù)庫服務(wù)器 　　php-4.3.2-Win32.zip 　　[url]http://www.php.net[/url] 　　Windows 版本的php 腳本環(huán)境支持 　　snort-2_0_0.exe 　　[url]http://www.snort.org[/url] 　　Windows 版本的Snort 安裝包 　　WinPcap_3_0.exe 　　[url]http://winpcap.polito.[/url]it/ 　　網(wǎng)絡(luò)數(shù)據(jù)包截取驅(qū)動程序 　　phpmyadmin-2.5.1-php.zip 　　[url]http://www.phpmyadmin.net[/url] 　　基于php 的Mysql 數(shù)據(jù)庫管理程序 　　（需要國外代理訪問） 　　首先安裝Apache_2.0.46 For Windows 　　安裝的時候注意，如果你已經(jīng)安裝了IIS 并且啟動了Web Server，因為IIS WebServer 默認(rèn)在TCP 80 端口監(jiān)聽，所以會和Apache WebServer 沖突，我們可以修改Apache WebServer為其他端口。選擇定制安裝，安裝路徑修改為c:\apache 安裝程序會自動建立c:\apache2 目錄，繼續(xù)以完成安裝。 　　安裝完成后首先修改c:\apache2\conf\httpd.conf，定制安裝完成后，apache web server 默認(rèn)在8080 端口監(jiān)聽，我們修改為其他不常用的高端端口： 　　修改Listen 8080 為Listen 50080 　　安裝apache 為服務(wù)方式運(yùn)行 　　c:\apache2\bin\apache –k install 　　添加Apache 對PHP 的支持： 　　解壓縮php-4.3.2-Win32.zip 至c:\php 　　拷貝php4ts.dll 至%systemroot%\system32 　　拷貝php.ini-dist 至%systemroot%\php.ini 　　修改php.ini 　　extension=php_gd2.dll 　　同時拷貝c:\php\extension\php_gd2.dll 至%systemroot%\ 　　以上添加gd 圖形庫支持 　　在httpd.conf 中添加LoadModule php4_module "c:/php/sapi/php4apache2.dll" 　　AddType application/x-httpd-php .php 　　啟動Apache 服務(wù) 　　net start apache2 　　在c:\apache2\htdocs 目錄下新建test.php， 　　test.php 文件內(nèi)容： 　　 　　使用[url]http://192.168.0.15:50080/test.php[/url] 　　測試php 是否安裝成功 　　安裝Snort_2_0_0 　　使用默認(rèn)安裝路徑c:\snort 　　安裝Mysql 　　默認(rèn)安裝Mysql 至c:\mysql， 　　安裝mysql 為服務(wù)方式運(yùn)行 　　c:\mysql\bin\mysqld-nt –install 　　啟動mysql 服務(wù) 　　net start mysql 　　ps:Win2003 Server 下如果出現(xiàn)不能啟動mysql，新建my.ini 　　內(nèi)容為： 　　[mysqld] 　　basedir=C:\MySQL 　　bind-address=127.0.0.1 　　datadir=C:\MySQL\data 　　注意其中的basedir 和datadir 目錄是否指向了正確的目錄． 　　把my.ini 拷貝至%systemroot%目錄下就可以了 　　配置mysql 　　為默認(rèn)root 帳號添加口令： 　　c:\>cd mysql\bin 　　c:\>mysql mysql 　　mysql>set password for "root"@"localhost" = password('erFl87tr32Gk'); 　　刪除默認(rèn)的any@%帳號 　　mysql>delete from user where user='' and host = '%'; 　　mysql>delete from db where user='' and host = '%'; 　　mysql>delete from tables_priv where user='' and host = '%'; 　　mysql>delete from columns_priv where user='' and host = '%'; 　　刪除默認(rèn)的any@localhost 帳號 　　mysql>delete from user where user ='' and host = 'localhost'; 　　mysql>delete from db where user = '' and host = 'localhost'; 　　mysql>delete from tables_priv where user='' and host = 'localhost'; 　　mysql>delete from columns_priv where user='' and host= 'localhost'; 　　刪除默認(rèn)的root@%帳號 　　mysql>delete from user where user = 'root' and host = '%'; 　　mysql>delete from db where user = 'root' and `host` = '%'; 　　mysql>delete from tables_priv where user= 'root' and host = '%'; 　　mysql>delete from columns_priv where user = 'root' and host = '%'; 　　這樣只允許root 從localhost 連接 　　建立snort 運(yùn)行必須的snort 庫和snort_archive 庫 　　mysql>create database snort; 　　mysql>create database snort_archive; 　　使用c:\snort\contrib 目錄下的create_mysql 腳本建立Snort 運(yùn)行必須的數(shù)據(jù)表 　　c:\mysql\bin\mysql -D snort -u root -p < c:\snort\contrib\create_mysql 　　c:\mysql\bin\mysql -D snort_archive -u root -p < c:\snort\contrib\create_mysql 　　建立acid 和snort 用戶 　　mysql> grant usage on *.* to "acid"@"localhost" identified by "acidtest"; 　　mysql> grant usage on *.* to "snort"@localhost" identified by "snorttest"; 　　為acid 用戶和snort 用戶分配相關(guān)權(quán)限 　　mysql> grant select,insert,update,delete,create,alter on snort .* to "acid"@"localhost"; 　　mysql> grant select,insert on snort .* to "snort"@"localhost"; 　　mysql> grant select,insert,update,delete,create,alter on snort_archive .* to "acid"@"localhost"; 　　安裝adodb: 　　解壓縮adodb360.zip 至c:\php\adodb 目錄下 　　安裝acid 　　解壓縮acid-0.9.6b23.tar.gz 至c:\apache2\htdocs\acid 目錄下 　　修改acid_conf.php 文件 　　$DBlib_path = "c:\php\adodb"; 　　$alert_dbname = "snort"; 　　$alert_host = "localhost"; 　　$alert_port = ""; 　　$alert_user = "acid"; 　　$alert_password = "log_snort"; 　　/* Archive DB connection parameters */ 　　$archive_dbname = "snort_archive"; 　　$archive_host = "localhost"; 　　$archive_port = ""; 　　$archive_user = "acid"; 　　$archive_password = "archive_snort"; 　　$ChartLib_path = "c:\php\jpgraph\src"; 　　建立acid 運(yùn)行必須的數(shù)據(jù)庫： 　　[url]http://192.168.0.15:50080/acid/acid_db_setup.php[/url] 　　按照系統(tǒng)提示建立 　　安裝jpgrapg 庫 　　解壓縮jpgraph-1.12.2.tar.gz 至c:\php\ jpgraph 　　修改jpgraph.php 　　DEFINE("CACHE_DIR","/tmp/jpgraph_cache/"); 　　安裝winpcap 　　配置Snort 　　編輯c:\snort\etc\snort.conf 　　需要修改的地方： 　　include classification.config 　　include reference.config 　　改為絕對路徑 　　include c:\snort\etc\classification.config 　　include c:\snort\etc\reference.config 　　設(shè)置snort 輸出alert 到mysql server 　　output database: alert, mysql, host=localhost user=snort password=snort dbname=snort 　　encoding=hex detail=full 　　測試snort 是否正常工作： 　　c:\snort\bin>snort -c "c:\snort\etc\snort.conf" -l "c:\snort\logs" -d -e -X 　　-X 參數(shù)用于在數(shù)據(jù)鏈接層記錄raw packet 數(shù)據(jù) 　　-d 參數(shù)記錄應(yīng)用層的數(shù)據(jù) 　　-e 參數(shù)顯示／記錄第二層報文頭數(shù)據(jù) 　　-c 參數(shù)用以指定snort 的配置文件的路徑

轉(zhuǎn)載于:https://blog.51cto.com/flycisco/54761

總結(jié)

以上是生活随笔為你收集整理的windows 2003下snort安装的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。