本例当中所有的软件都可以在下列地址下载:
W W W . rayfile. com /files/ fb1a6ef3-5b19-11de-9e95-0014221b798a
解压密码:suodihai
本例视频文件exe格式,有配音可在下列地址下载:
W W W . rayfile. com /files/ 95ad02d1-5bfc-11de-9649-0014221b798a 
解压密码:suodihai
由于51cto不允许发布链接  大家把上面的地址复制,把空格去掉即可下载
以上链接如果失效请发电子邮件至: suodihai@foxmail.com查询
 
 
 
 
 
 
 
 
 
 
 
 
 
 
clip_p_w_picpath001
WinIDS以其安装的简便著称(-_-!)。在大多数环境下安装Windows Instrusion Detection System(Windows***检测系统)是一个非常简单的过程,通常花费不到一个小时的时间来完成之。本文介绍使用世界知名的SNORT***检测引擎、MySQL数据库、Apache Web服务器和BASE(Basic Analysis and Security Engine,Kevin Johnson)来部署一个Windows***检测系统的主控端或者单独的Windows***检测系统。
我们把所有相关需要的软件做成了一个AIO(即All IN ONE)软件包,下面是关于其中我们用到的主要软件包的描述。
Apache Web Server 这是主要的Internet Web站点的服务器软件,为我们的BASE安全控制台提供运行平台。
Snort Snort是一个轻量的网络***检测系统,用于在IP网络上实施实时的通讯分析和包日志记录。这是我们用来在网络上收集信息的软件。
WinPcap: WinPcap 是由伯克利分组捕获库派生而来的分组捕获库,它是在Windows 操作平台上来实现对底层包的截取过滤。WinPcap 为用户级的数据包提供了Windows 下的一个平台。WinPcap 是 BPF 模型和 Libpcap 函数库在 Windows 平台下网络数据包捕获和网络状态分析的一种体系结构,这个体系结构是由一个核心的包过滤驱动程序,一个底层的动态连接库 Packet.dll 和一个高层的独立于系统的函数库 Libpcap 组成。底层的包捕获驱动程序实际为一个协议网络驱动程序,通过对 NDIS 中函数的调用为 Win95、Win98、WinNT、和 Win2000 提供一类似于 UNIX 系统下 Berkeley Packet Filter 的捕获和发送原始数据包的能力。Packet.dll 是对这个 BPF 驱动程序进行访问的 API 接口,同时它有一套符合 Libpcap 接口(UNIX 下的捕获函数库)的函数库。
MySQL Server MySQL 是一个基于SQL的应用于众多平台的数据库服务器,我们用它来存储Snort的告警信息。所有的来自IDS探测器的告警信息都被存储在我们的MySQL数据库中。
ADODB PHP中一个对象导向的数据库封包链接库,它提供了共通的应用程序接口来跟所有支持的数据库沟通,简化了你的程序的数据库移植性操作。ADODB是Active Data Object DataBase的缩写,目前支持MySQL、PostgreSQL、Oracle、Interbase、Microsoft SQL Server、Access、FoxPro、Sybase、ODBC及ADO。
PHP: 这是一个广泛使用的通用脚本语言,特别适用于Web开发并且可以被嵌入到HTML中。
Basic Analysis and Security Engine (BASE): BASE是一个用来查看Snort IDS告警的Web应用程序。BASE is a web-based application for viewing Snort IDS alerts. 所有探测器的信息在这里被加工整理以方便查看。
正式开始前:请注意以下条件!
强制的先决条件
只能使用包含在我们的AIO软件包中的程序
干净的Windows 2000/XP/Vista/2003安装
所有SP包和补丁均已安装
系统分区(比如C:\)最小5G
WinIDS分区(比如D:\)10G以上
保证探测器拥有静态TCP/IP设置并且接入网络
在WinIDS上解除所有防火墙应用程序
新的WinIDS探测器必须被允许接触所有网络通讯。这可以通过将探测器接入拥有端口映射功能的交换机上,hub上,或者是一个网络节点处。
* 在开始安装前,我们强烈建议您使用MBSA( Microsoft Baseline Security Analyzer)解决所有的安全问题。
说明:本译文使用C盘作为WinIDS的分区。
大家看看两幅图知道我的2台电脑的环境
clip_p_w_picpath002
                                 5号机的ip地址
clip_p_w_picpath003
                                            8号机的ip地址