如何在WinXP平台下架设Snort+acid入侵侦测系统

 

主要是根据top777的安装步骤重新整理，原文有一些错误，这里纠正了。 

 

安装文件列表

　　在正式安装前，请大家先下载下列档案

．appserv-win32- 2.4.1 .exe

　作用：可快速建立Apache/PHP/MySQL环境。

　网址：http://www.appservnetwork.com/?modules=&applang=tw

　备注：请下载 2.4.1 版本即可，否则Snort连结至MySQL会产生错误。

．WinPcap_3_0.exe

　作用：把网卡设置为“混杂”模式，然后处理网络截取的封包

　网址：http://winpcap.polito.it/default.htm

．Snort_232_Build12_Installer.exe或2.0版本

　作用：Windows版的Snort安装程序

　网址：http://www.snort.org/

．acid- 0.9.6 b23.tar.gz

　作用：PHP网页模式的入侵侦测数据库分析控制台。

　网址：http://www.cert.org/kb/acid/

．adodb480.zip

　作用：PHP数据库链接库

　网址：http://adodb.sourceforge.net/

．jpgraph-1.20.3.tar.gz

　作用：Object-Oriented图形链接库For PHP

　网址：http://www.aditus.nu/jpgraph/

安装步骤

一、首先安装appserv-win32- 2.4.1 .exe。

二、安装完毕后，至C:/WINNT开启php.ini这个档案，寻找

allow_call_time_pass_reference=Off字符串，将它更改为

　　allow_call_time_pass_reference=On后，存档离开。

三、『开始』→『程序集』→『Appserv』→『Apache Control Server』

　　→『Apache Monitor』，会出现在系统列（小时钟旁边），按右键

　　『Open Apache Monitor』开启后，按下『restart』重新加载php.ini

四、开启IE，网址打入自己的IP地址(http://localhost)测试Appserv是否安装成功。

五、安装WinPcap_3_0.exe。

六、安装Snort_232_Build12_Installer.exe

七、进入http://localhost/phpmyadmin 新增/indexSnort使用者（建立这个使用者其实也没有必要，使用数据库自带的root也可以，这个链接原文中也有问题，这里修改过了）

使用者名称:snort

主 机:% (设定任何主机都可登入)

密 码:(自己设定)

确认密 码:(自己设定)

八、建立snort与snort_archive（搞不懂建立这个数据库是做什么用的，反正我没有建照样安装成功了）数据库。

九、 在mysql数据库操作页面上为snort数据库添加表项，即执行C:/Snort/contrib内之create_mysql文件的sql命令（原文中这个步骤是错误的）。

十、解压缩adodb480.zip至C:/Appserv/php/adodb目录中

十一、解压缩jpgraph-1.17.tar.gz至C:/Appserv/php/jpgraph目录中

十二、解压缩acid- 0.9.6 b23.tar.gz至C:/Appserv/www/acid目录中

十三、编辑C:/Appserv/www/acid/acid_conf.php档案如下(利用寻找功能去修改字符串)

$DBlib_path="c:/appserv/php/adodb"

 

$alert_dbname = "snort";

$alert_host = "localhost";

$alert_port = "";

$alert_user = "root";

$alert_password = "";

 

$archive_dbname = "snort_archive";

$archive_host = "localhost";

$archive_port = "";

$archive_user = "root";

$archive_password = "";

 

$ChartLib_path = "C:/AppServ/php/jpgraph/src";

十四、建立acid所需要的数据库，使用IE进入http://localhost/acid/acid_db_setup.php

点击页面上面的两个按钮与snort数据库建立关联（原文中这里介绍的很模糊，如果这一步没有成功，可能是第9步没没有给数据库建立必要的表，重新执行第9步）。

十五、编辑C:/Snort/etc/snort.conf档案如下

var RULE_PATH c:/snort/rules

output database: alert, mysql, user=root dbname=snort host=localhost

include C:/Snort/etc/classification.config

include C:/Snort/etc/reference.config

十六、至C:/Snort/bin/目录底下新增runsnort.bat档案，内容如下

snort -c "c:/snort/etc/snort.conf" -l "c:/snort/log" -d -e -X

十七、『开始』→『执行』键入cmd进入命令提示字符模式，键入

『cd c:/snort/bin』至C:/snort/bin目录下，再键入『runsnort』。

十八、开启后勿关闭窗口。回到IE打入http://localhost/acid观看，即完成Snort设定。

=======================================================================

补充:

安装SAM(Snort Alert Monitor)

安装文件列表

．j2re-1_4_2_07-windows-i586-p.exe

功用:Java Runtime Environment，安装后才能执行sam.jar程序

网址:http://java.sun.com/j2se/ 1.4.2 /download.html

．sam_20050206_bin.zip

功能:Snort监控程序

网址:http://freesoftware.lookandfeel.com/sam/

安装步骤

一、安装j2re-1_4_2_07-windows-i586-p.exe后，解压缩

sam_20050206_bin.zip至C:/SAM目录中，利用JRE开启

sam.jar程序。

二、Database Login画面中设定

hostname→localhost:3306

Database→snort

username→snort

password→(刚才在mysql设定snort的密码)

按下OK即可。