C:\snort\snort\bin\snort.exe –W,如果安装 snort成功会出现一个可爱的小猪,
10、安装 mysql
指定路径为 c:\mysql
11、创建 snort 数据库的表
复制 c:\snort\schames 文件夹下的 create_mysql 文件到 c:\mysql\bin 文件夹下
打开 mysql 的的客户端执行如下命令
mysql> Create database snort;
mysql> Create database snort_archive;
mysql> Use snort;
mysql> Source create_mysql;
mysql> show tables;
mysql> Use snort_archive;
mysql> Source create_mysql;
mysql> show tables;
建立acid 和snort 用户
mysql> grant usage on *.* to " identified by "acidtest";
mysql> grant usage on *.* to " identified by "snorttest";
mysql> grant select,insert,update,delete,create,alter on snort .* to ";
mysql> grant select,insert,update,delete,create,alter on snort_archive .* to ";
mysql> grant select,insert,update,delete,create,alter on snort .* to ";
mysql> grant select,insert,update,delete,create,alter on snort_archive .* to ";
12、 加入 php 对 mysql 的支持:
修改 c:\windows\php.ini 文件去掉 extension=php_mysql.dll 前的分号。
复制c:\php5\ext 文件夹下的 php_mysql.dll 文件到 c:\windows 文件夹。
复制c:\php5\libmysql.dll文件到c:\windows\system32下
13、安装 adodb
解压缩 adodb 到 c:\php5\adodb 文件夹下。
14、 安装 jgraph
解压缩 jpgraph 到 c:\php5\jpgraph 文件夹下。
15、安装 acid
解压缩 acid 到 c\apache\htdocs\acid 文件夹下
修改 acid_conf.php 文件
$DBlib_path = "c:\php5\adodb";
$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "3306";
$alert_user = "snort";
$alert_password = "snorttest";
/* Archive DB connection parameters */
$archive_dbname = "snort_archive";
$archive_host = "localhost";
$archive_port = "3306";
$archive_user = "acid";
$archive_password = "acidtest";
$ChartLib_path = "c:\php5\jpgraph\src";
16、 在浏览器中初始化 acid 数据库:
在打开页面中点取“Create ACID AG”按钮,让系统自动在mysql中建立acid 运行必须的数据库
17、简单的snort配置,打开c:\Snort\etc下的snort.conf文件,将下列各行修改如下:
dynamicengine c:\Snort\lib\snort_dynamicengine\sf_engine.dll
dynamicpreprocessor directory c:\Snort\lib\snort_dynamicpreprocessor
var RULE_PATH c:/snort/rules
include c:\snort\etc\classification.config
include c:\Snort\etc\reference.config
修改snort.conf里的dynamicpreprocessor directory c:\Snort\lib\snort_dynamicpreprocessor时,将dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so
dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libsf_dns_preproc.so
dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libsf_ftptelnet_preproc.so
dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libsf_smtp_preproc.so
dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libsf_ssh_preproc.so
改为:
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dcerpc.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dns.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dll
配置snort的输出插件, 打开c:\Snort\etc下的snort.conf文件,添加如下行:
output database: alert, Mysql, host=localhost port=3306 dbname=snort user=root password=111111 encoding=hex detail=Full
# }
(注意:如果mysql和snort不在同一台服务器上,要将“localhost”改为具体的mysql服务器的ip地址)
18、 为Snort添加响应规则,或配置Snort的规则,也可以从Internet下载已有的规则,
本实例是通过现有的规则包——snortrules-snapshot-CURRENT.tar解压到c:\snort相应目录来实现的(规则需要注册才可以下载)
19、 启动 snort 入侵检测
c:\>snort –c c:\snort\etc\snort.conf –l c:\snort\log –devX
-X 参数用于在数据链接层记录raw packet 数据
-d 参数记录应用层的数据
-e 参数显示/记录第二层报文头数据
-c 参数用以指定snort 的配置文件的路径
-i 参数指定监视的网络适配器的编号
20、如果出现以下错误 :
ERROR: Unable to open rules file: ../rules/local.rules or c:\snort\etc\../rules/local.rules
Fatal Error, Quitting..
处理方法 : 规则包还没有安装
21、再次运行20项命令,出现如下错误:
Loading dynamic engine /usr/local/lib/snort_dynamicengine/libsf_engine.so... ERROR: Failed to load /usr/local/lib/snort_dynamicengine/libsf_engine.so: 126
Fatal Error, Quitting..
处理方法 : 在 snort 的配置文件中指定 libsf_engine. 的路径和文件名
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so... ERROR: Failed to load /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so: 126
处理方法 : 在 snort 的配置文件中指定 libsf_dcerpc_prepro 的路径和文件名
修改以上错误后再次运行C:\snort\bin\snort.exe –c “c:\snort\etc\snort.conf” –l “c:\snort\log” –d -e –X -v -i 2
2为网卡的编号。
此时会出现:Not Using PCAP_FRAMES
关闭snort运行程序,输入:Set PCAP_FRAMES=MAX ,snort -W保存配置。
再次运行:C:\snort\bin\snort.exe –c “c:\snort\etc\snort.conf” –l “c:\snort\log” –d -e –X -v i 2
此时会出现:using PCAP_FRAMES即可
