Snort入侵檢測系統(tǒng)的配置與使用

1、貴州大學實驗報告學院：計信學院專業(yè)：班級:姓名學號實驗組實驗時間指導教師成績實驗項目名稱實驗三 Snort入侵檢測系統(tǒng)的配置與使用實驗目的學會措建Snort+Windows+Mysql+Php+Acid的網(wǎng)絡入侵檢測系統(tǒng)平臺,并學習簡單Snort規(guī)則的編寫與使用，了解 Snort的檢測原理。實驗要求學會措建Snort+Windows+Mysql+Php+Acid的網(wǎng)絡入侵檢測系統(tǒng)平臺,并學習簡單Snort 規(guī)則的編寫與使用，了解 Snort的檢測原理。實驗原理(1) Apache_2.0.46的安裝與配置(2) php-4.3.2 的安裝與配置(3) snort2.0.0的安裝與配置(4) M

2、ysql數(shù)據(jù)庫的安裝與配置(5) adodb的安裝與配置(6) 數(shù)據(jù)控制臺acid的安裝與配置(7) jpgraph庫的安裝(8) winpcap的安裝與配置(9) snort規(guī)則的配置(10) 測試snort的入侵檢測相關(guān)功能實驗儀器(1)裝后 Windows2000或 WindowsXP操作系統(tǒng)的 PC機；(2) Apache_2.0.46、php-4.3.2、snort2.0.0 、Mysql、adodb、acid、jpgraph 庫、 winpcap等軟件。實驗步驟(1) Apache_2.0.46的安裝與配置(2) php-4.3.2 的安裝與配置(3) snort2.0.0的安裝與

3、配置(4) Mysql數(shù)據(jù)庫的安裝與配置(5) adodb的安裝與配置(6) 數(shù)據(jù)控制臺acid的安裝與配置(7) jpgraph庫的安裝(8) winpcap的安裝與配置(9) snort規(guī)則的配置(10) 測試snort的入侵檢測相關(guān)功能(一) windows環(huán)境下snort的安裝1、安裝 Apache_2.0.46(1)雙擊 Apache_2.0.46-win32-x86-no_src.msi ,安裝在默認文件夾 C:apache下。安裝程序會在該文件夾下自動產(chǎn)生一個子文件夾apache2。(2)打開配置文件 C:apacheapache2confhttpd.conf，將其中的 List

4、en 8080,更改為Listen 50080 。(這主要是為了避免沖突)。(3)進入命令行運行方式(單擊“開始”按鈕，選擇“運行”，在彈出窗口中輸入cmd,回車)，轉(zhuǎn)入 C:apacheapachebin 子目錄，輸入下面命令：C:apacheapache2binapache - k install將apache設(shè)置為以windows中的服務方式運行。2、安裝PHP(1)解壓縮 php-432-Win32.zip 至 C:php 。(2)復制 C:php 下 php4ts.dll 至systemroot%System32 , php.ini-distH %systemroot%php.ini

5、 。(3)添加 gd 圖形支持庫，在 php.ini 中添加 extension=php_gd2.dll 。如果 php.ini 有該句，將此句前面的“；”注釋符去掉。(4)添力口 Apache 對 PHP的支持。在 C:apahceapache2confhttpd.conf中添力口:實驗內(nèi)容LoadModule php4_moduleC:/php/sapi/php4apache2.dll AddTypeapplication/x-httpd-php .php(5)進入命令行運行方式，輸入下面命令：Net start apache2 (這將啟動 Apache Web 服務)(6)在 C:apa

6、cheapche2htdocs目錄下新建 test.php 測試文件，test.php 文件內(nèi)容為 使用，測試PH幅否成功安裝，如成功安裝，則在瀏覽器中出現(xiàn)如下圖所 示的網(wǎng)頁PhP)PHP Verslon4X2HndOWt MT CBE3TflW20Hn 5.1 build J BOOQuid Md的的 H XDillMISdH1MTVC1 API.-pame J.o 畫Mrturil (Mi其145巾15喉ir dftRM響P W li二 mhnMu由禮 v. iiPIP 21.UQ2C0IJ二加 2043Zevid EritMltfijaonDia口曲電目didTtoMdP*】盤in-，晶

7、q hp. uliy.曲 C onipifl gtlib3、安裝 snort安裝snort-2_0_0.exe , snort的默認安裝路徑在 C:snort安裝配置Mysql數(shù)據(jù)庫(1)安裝Mysql到默認文件夾 C:mysql ,并在命令行方式下進入C:mysqlbin ,輸入下面命令：C:mysqlbinmysqld - install 這將使 mysql 在 Windows 中以服務方式運行。(2)在命令行方式下輸入net start mysql ,啟動 mysql服務(3)進入命令行方式，輸入以下命令C:mysqlbinmysql - u root - p如下圖：pniyiiqlxh

8、ininiet utart myn&qlMySQL服務己舁啟動成功二: Ms11 MbltiirMjalEat 自甘 PAceutsiML：Mk Inom h)表示屏幕上出現(xiàn)的提示符，下同)：(Mysql ) create database snort;(Mysql ) create database snort_archive;注意：在輸入分號后mysql才會編譯執(zhí)行語句。上面的create語句建立了 snort運行必須的snort數(shù)據(jù)庫和snort_archive數(shù)據(jù)庫。(2)輸入quit命令退出mysql后，在出現(xiàn)的提示符之后輸入：(c:mysqlbin ) Mysql - Dsnort

9、 - u root - p ) Mysql - D snort_archive - u root-p) grant usage on *.* to “acid loacalhost identified by acidtest ;(mysql) grant usage on *.* to “snort ” loacalhost identified by “snorttest ;上面兩個語句表示在本地數(shù)據(jù)庫中建立了acid (密碼為acidtest )和snort (密碼為snorttet )兩個用戶，以備后面使用。(4)在mysql提示符后面輸入下面的語句：(mysql) grant sel

10、ect,insert,update,delete,create,alteron snort.*to adid localhost;(mysql) grant select,insert on snort.* to “snort ” localhost;(mysql) grant select,insert,update,delete,create,alter onsnort_archive.* to “adid localhost;這是為新建的用戶在snort和snort_archive數(shù)據(jù)庫中分配權(quán)限。4、安裝 adodb將adodb360.zip 解壓縮至 C:phpadodb 目錄下，即

11、完成了 adodb的安裝。安裝配置數(shù)據(jù)控制臺acid(1)解壓縮 acid-0.9.6b23.tat.gz 至 C:apacheapache2htdocsacid 目錄下。(2)修改 C:apahceapache2htdocs下白勺 acid_conf.php 文件：DBlib_path = C:phpadodb;$DBtype= mysql;$alert_dbname = snort;$alert_host = localhost;$alert_port = 3306;$alert_user = acid;$alert_password = acidtest;/* Archive DB co

12、nnection parameters */ $archive_dbname = snort_archive; $archive_host = localhost;$archive_port = 3306;$archive_user = acid;$archive_password = acidtest;$ChartLib_path= C:phpjpgraphsrc ;注意：修改時要將文件中原來的對應內(nèi)容注釋掉，或者直接覆蓋。(3)查看網(wǎng)頁，如下圖所示，單擊 create ACID AG 建立數(shù)據(jù)庫。5、安裝jpgraph庫(1)解壓縮 jpgraph-1.12.2.tar.gz 至 C:ph

13、pjpgraph(2)修改C:phpjpgrahsrc 下jpgraph.php 文件，去掉下面語句的注釋。 DEFINE ( CACHE_DIR , /tmp/jpgraph_cache/ );安裝 winpcap安裝默認選項和默認路徑安裝winpcap。配置并啟動snort(3)打開C:snortetcsnort.conf 文件，將文件中的下列語句：include classification.configinclude reference.config修改為絕對路徑:include C:snortetcclassfication.config include C:snortetcrefe

14、rence.config(4)在該文件的最后加入下面語句：user=snort password=snorttestOutput database: alert,mysql,host=localhostdbname=snort encoding=hex detail=full(5)進入命令行方式，輸入下面的命令:C:snortbinsnort一c C:snortetcsnort.conf-1 C:snortlogi-rwian ?ty In.9 胃 2.rt(2)配置snort的內(nèi)、外網(wǎng)檢測范圍。上面的命令將啟動 snort ,如果snort正常運行，系統(tǒng)最后將顯示如下圖所示 none-l r

15、no ioinyi i-:yeiild-l工Ai- llulg-ld-249 5s h Id Ln $- -Loe J. Jl- t y. -Buitlicuiml -20匕情心unds-&-U1I Ijirn-id-1typfi-ltothtrflkinp-dal;ncnndfl-SRt 少 pe-Bolihcu ujhC -2 ti-S nn-ll =1r liij0iff-1d-3a75t y M =T Jhy* nlvnlri岑”由0 kli門 niinEf七 ype; 4Hl* kfcrar: king -dis honimt T Hsec find s -Enlt LaLi2jit

16、 loni CariiiJlet b -Knnrr1! C3 .H-QimiClyiSqT- FUkRTOf-Wl 102 4Build 3HiCifa-Ec.h 1:raR：Ehe5；ciiLLRt:f i:reiat;onq whw4等nnrt 3口野彳Port By Hlclbditf 1 Rd工零.net . ww.dktUIHJ2 PcirC By Chi-lis(6)打開：50080/acid/acid_main.php網(wǎng)頁，進入 acid分析控制臺主界面。如上述配置均正確，將出現(xiàn)如下圖所示的頁面。OuurlMi - Thu 0#產(chǎn)巾| Ifl 第心 ID 等 sritlkcaih

17、g-sl:i-Ecfecmdi va raHkcic 1(1=1Timt Mibdwi p g”sToedI Nfiiinbtf of AJIt-rlK 0Tiflfic PiKfUc 帕卡期c3TCP和以UDPWI號加式且事班Mi* 弟巾 口舊 IP ddd&SS4B tlUMP N J Uniqup Ip 2口LHM PortE, 4口口rt- iian? n-：& TCP(OJ UDP(fl) Dbsi P-aMi- U冷 TCP(OJ UDP($Home_NET any(msg: udpids/dns-version-query” ;content: version ;)重啟snort

18、和acid檢測控制臺，使規(guī)則生效。II Li:由11 口0，Ln biniJ Apache Ld q|1 世ezfFl仁 IPandl/iiKU ipor*of LIbh ilifdtill a ”世 dlLU the U direLLiui*.UU Chdfigp ttii tonn sppciFic IP mildir*號號眄 布寫 hnun h中1 口w tnU prPUFnt 由pHch早 From glnmnivig mnlD HI hntind TP 司rflrlr甲5.日.(ClrfLE-/) tlHListm 12-311_56.7S :80 Listen EfiB&flUU

19、OpiiAnii: Sihurvd OLjpct (DSD) Support實% I、j r*J- I I I-i 11!-11.i -1. I -： 1. il 1,“.尸1111 i 1-.1 ,-：L- |1. 1 i all . 1 H. ； i1 V I .1.1. -K .iJ I- i 1 r= vrrar nn .i cri-n-i-r Gr-u片EnF :仃 i 1；111 , 1 r r- : r ,!：!-! - r 1 1 1iII ! 1 ! I r:驗數(shù)I 1 . 1-d -.11 1- 1 ： i- , * i- i- i 1! - ： 1 1 - -.-1 i

20、i-i-： -r 1. ii I-Ml-，-1 H -.: j iFiM卜 1;it.n rt二tdgd -!iu ! !:1 IIi-ii. ii iii n r ： I -.i iihilii- ii;i n c 11-i r n t111 n.n A -nr m - r,0i r據(jù)k. 3 1 J.-L J . rtl iK . LJ L .p . pl U . . L . JIHt -.L J-r c fJ.L ri：Illi III. -1 1 ll lll.-l 1 1rill0 |P- i： |- P 1 -. i 1:1-lh- Idit產(chǎn) ntlir r n 7 r 1 -

21、111 nd1- 11nn rn ier. r 1:i fhlint rt iTinv-n r ，1 n u * 1s、n -i Lp. *- 1L J i .1 r;明？ I 八,七13 t rj,vrs. t u J 11乂u.l ”U;ilffiii-cnRipi Ir- nrcinyf：Ji-1 j.l La1. 7 j.L iiPlli III1. -l!ir.rii-illip - nr.：i |L.r?r H-IIh-prT inn：:l- , T 1. . . , , - J .： - ., , r !.1：. r ： II . ,.!. ,. ： - 1,松- m ”w川 +

22、”丁 一 .心,uhl jk1 ： i-.ti .n i Jim !1. r .u- iu r i r i i - iC:Documents and Gettingsfitlmin istratorNet start apache2請求的服務己安丸.請鍵入NET HELPMSG 21B2麻書更紜時幫叫C： XDacunients and SettingsAdmin istratoiPHP Version 4.3.2SyvtmM0W3 MT C褪*882X801 S 1 WW 邦00(Md MtMv 28 200315060$Smvn APIApxh*20KnOtWtQl CMrcriy3g】-

23、u eot - p歹ql Urr 12.22 DUtrih 4.B.22. for an95/明n%l (i32CupyidgM 2062 MySQL ABI his cof tvaro conos with ABSOUIlkLY NO VfIRHANlY. This is fre software, and get arc we leone to xdify and redistribute it under the Gil licence lluiye： nyxql (OPT!OHS 11J.t.ba、，-7. ZipDitplay thic help and txic.-auto-reha3hEnable autorwtic rehAshijMf. One doosn noed to useJrehash, to table and field completion, hut startup and recennect nay t4ke a long”