安装基本的Windows***检测系统(WinIDS)

预安装任务

提示:下列任务这些必须在安装WinIDS前完成

提示:

1.在一些情况下微软系统默认安装IIS。要保证在开始安装WinIDS前IIS已被移除(IIS的默认网站会占用80端口)。

2.进入到

C:\Windows\system32\drivers\etc
适用写字板打开hosts文件,将本机ip winids加入到文件中(如下所示),保存退出。

clip_image001

在命令行中使用ping winids测试。连通即可。

3.将下载的AIO软件包解压缩

安装WinPcap

clip_image002

一路next,finish即可。

安装和配置Snort

1.安装Snort程序到c:\snort

提示:在安装开始的第二个步“Install Options”处,由于Snort的所有Windows版本已经默认支持将日志记录到Mysql和ODBC数据库服务器,所以此处可以选择第一个单选按钮或者可以选择其它两个以添加额外的数据库支持。

clip_image004

Snort安装第二步图示

2.将snortrules-snapshot-CURRENT.zip中的文件解压到c:\snort相应文件夹中。

clip_image005

解压snortrules-snapshot-CURRENT.zip完成后我们会看到下图

clip_image006

把文件夹rules里面的文件复制到c:\snort\rules文件夹下

把文件夹so_rules复制到c:\snort文件夹里面

把doc文件夹下面的文件夹signatures复制到c:\snort\doc文件夹下,覆盖已有的文件夹。

3.进入c:\snort\etc
使用写字板编辑snort.conf文件,如下所示:

clip_image008

提示:使用写字板中的“查找”寻找下列变量。

所有更改内容如下所示:

原始
var HOME_NET any

现状
var HOME_NET 192.168.1.0/24

原始
var EXTERNAL_NET any
现状
var EXTERNAL_NET !$HOME_NET

原始
var RULE_PATH ../rules
现状
var RULE_PATH c:\snort\rules
原始
# config detection: search-method lowmem

现状
config detection: search-method lowmem

原始
dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
现状
dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor
原始
dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
现状
dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll

提示:查找条目
preprocessor stream4_reassemble' (less the quotes)’
并添加下面一行到该条目之下。
preprocessor stream4_reassemble:both,ports 21 23 25 53 80 110 111 139 143 445 513 1433

提示:查找条目
Preprocessor sfportscan' (less the quotes)’
并改变下一行。

原始
sense_level { low }
现状
sense_level { low } \

在上一行下面加入:
logfile { portscan.log }

提示:在
# output log_tcpdump: tcpdump.log
下插入下一行:
output alert_fast:alert.ids

原始
# output database: log, mysql, user=root password=test dbname=db host=localhost
现状
output database: log,mysql,user=snort password=snort dbname=snort host=winids sensor_name=WINIDS
原始
include classification.config
现状
include c:\snort\etc\classification.config
原始
include reference.config
现状
include c:\snort\etc\reference.config

原始
# include threshold.conf

现状
include c:\snort\etc\threshold.conf

保存并退出。

4、测试Snort安装

打开命令行,进入snort\bin的目录,在提示符下输入
cd c:\snort\bin 回车

在命令提示符下输入
snort –W 回车。如下图所示

clip_image009

提示:当’-W’参数被使用的时候,Snort将探测多个接口,并且以数字(1-x)形式显示。Snort需要知道有哪些接口可以监控,如果没有发现网络接口,安装必须停止直到问题解决。

When the -W switch was used in the above run line, Snort may have detect multiple interfaces, and displayed then by numbers (1-x). Snort will need to know which interface to monitor. If No interface are found, the install MUST stop until the problem is corrected.

提示:下面的过程需要将WinIDS连接到网络,并且需要产生通讯。这里我们用的是在8号机上建立一台web服务器,输入完成snort –v –i2这个命令后,让5号机去访问8号机就可以看到如下图所示的数据了。

从命令行输入
snort –v –i2 回车。如下图所示

clip_image011

使用虚拟机获取的Snort –v –i2效果图

提示:这将以详细输出模式运行snort,并在接口2上探测通讯。

提示:如果只有一个网卡,因为通讯的产生我们应该会在命令行窗口看到流经的数据统计,如果探测器上装有多个网卡并且在命行行窗口看不到数据统计,而且snort也在运行中,那么从任务管理器停止snort,然后改变’snort –v –iN’中N的值再次运行snort,直到有通讯数据统计出现在命令行窗口中。

提示:N的值需要记住,以备配置文件中使用

命令行中使用’CTRL+C’或者通过任务管理器来结束Snort

**********************提示直到看到这个上面的这个图,否则实验不能继续。***********************