SNORT入侵检测系统实验ppt课件.ppt

基于SNORT的入侵检测系统配置与实验,实验目的 熟悉入侵检测工具SNORT在WINDOWS中的安装和配置方法实验环境一台安装了WINDOWS2000/XP/2003操作系统的计算机，连接到本地局域网中。,实验内容,所需软件Acid 基于PHP的入侵检测数据库分析控制台。Adodb 为PHP提供统一的数据库连接函数。Apache WINDOWS版本的Apache Web服务器Jpgraph PHP所用图形库。Mysql WINDOWS版本的MYSQL数据库，用于存储SNORT的日志、报警、权限等。PHP WINDOWS环境中PHP支持环境。SNORT WINDOWS中的SNORT安装包，入侵检测的核心部分。WINPCAP 网络数据包截取驱动程序，用于从网卡中抓取数据包。SNORTRULES 提供拦截数据包的规则。,实验步骤1.安装APACHE至 C:idsapache，测试Apache 站点。2.安装PHP至C:idsphp51）将Php5ts.dll复制到System32下，把Php.int-dist复制到Windows 下并重新命名为Php.ini. 2）添加GD图形库的支持，将Phi.ini中把“;extension=php_gd2.dll”和“;extension=php_mysql.dll”这两条语句前面的分号去掉。,实验内容,3）将C:idsphp5ext下的文件php_gd2.dll,php_mysql.dll复制至C:windows下；将php_mysql.dll复制至C:windowssystem32下；将C:idsphp5libmysql.dll复制至C:windowssystem32下。,4）添加APACHE对PHP的支持。在C:idsapacheconfhttpd.conf的末尾添加以下语句：LoadModule php5_module c:/ids/php5/php5apache2_2.dllAddType application/x-httpd-php .php,5）重启APACHE。6）在C:idsAPACHEhtdocs目录下新建TEST.PHP，内容：。在IE中测试PHP是否成功安装。,3.安装SNORT和WINPCAP,1）安装WINPCAP。2）安装SNORT至C:idssnort。3）在命令行方式下，进入c:idssnortbin，执行命令：snort.exe W，测试SNORT是否成功安装。,1）安装MYSQL至C:idsMysql，,4.安装配置MYSQL数据库,并按向导提示配置Mysql Server：,其他设置可默认或自由选择，设置并记好ROOT密码。,2）进入Mysql控制台，建立SNORT运行必须的SNORT数据库和SNORT_ARCHIVE数据库。,3）复制C:idssnortschames下的create_mysql文件到C:idssnortbin下。4）在命令行方式下分别输入和执行以下两条命令。,上面两个语句表示以ROOT身份，使用create_mysql脚本文件建立SNORT数据库所必须的数据表。,5）进入MYSQL控制台，输入下面的语句。在本地数据库中建立ACID（密码为ACIDTEST）和SNORT（密码为SNORTTEST）两个用户。,6）在MYSQL控制台下，继续输入以下命令，为新建的用户在SNORT和SNORT_ARCHIVE数据库中分配权限。,5.安装ADODB将ADODB解压缩至C:idsphp5adodb目录下即可。6.安装配置数据控制台ACID。1）将ACID解压缩至:Cidsapachehtdocsacid目录下。,2）修改该目录下的ACID_CONF.PHP文件，修改内容如下：$DBlib_path = c:idsphp5adodb;$DBtype = mysql;$alert_dbname = snort;$alert_host = localhost;$alert_port = 3306;$alert_user = acid;$alert_password = acidtest;/* Archive DB connection parameters */$archive_dbname = snort_archive;$archive_host = localhost;$archive_port = 3306;$archive_user = acid;$archive_password = acidtest;$ChartLib_path = c:idsphp5jpgraphsrc;,3）重启APACHE服务。在IE中输入：http:/localhost/acid/acid_db_setup.php，打开页面后，单击Create ACID AG按钮，建立数据库。,7.安装JPGRAPH库解压缩JPGRAPH至：C:idsphp5jpgraph.8.解压缩SNORT规则包。把SNORT规则包的所有文件解压缩至：C:idssnort下，替换其中的文件和文件夹。,9.修改SNORT配置文件。打开C:idssnortetcsnort.conf，修改内容如下：# path to dynamic preprocessor librariesdynamicpreprocessor file C:idssnortlibsnort_dynamicpreprocessorsf_dce2.dlldynamicpreprocessor file C:idssnortlibsnort_dynamicpreprocessorsf_dcerpc.dlldynamicpreprocessor file C:idssnortlibsnort_dynamicpreprocessorsf_dns.dlldynamicpreprocessor file C:idssnortlibsnort_dynamicpreprocessorsf_ftptelnet.dlldynamicpreprocessor file C:idssnortlibsnort_dynamicpreprocessorsf_smtp.dlldynamicpreprocessor file C:idssnortlibsnort_dynamicpreprocessorsf_ssh.dlldynamicpreprocessor file C:idssnortlibsnort_dynamicpreprocessorsf_ssl.dll,# path to base preprocessor enginedynamicengine C:idssnortlibsnort_dynamicenginesf_engine.dll# databaseoutput database:alert,mysql,user=acid password=acidtest dbname=snort host=localhost encoding=hex detail=full# metadata reference data. do not modify these linesinclude C:idssnortetcclassification.configinclude C:idssnortetcreference.config,10.启动SNORT入侵检测。 1）以命令行下输入以下命令，启动SNORT程序。（如果希望看到SNOR抓取的数据包，可以-X之后加-V。,运行结果如下：,2）执行以下命令加速SNORT并保存配置。,11.查看统计数据 从安装有SNORT的主机上打开IE，并输入http:/localhost/acid/acid_main.php，进入ACID分析控制台主界面，从中便可以查看到统计数据。至此，基于SNORT的入侵检测系统配置结束。后续工作则是完善SNORT规则配置文件。,Local.rules,# $Id: local.rules,v 1.13 2005/02/10 01:11:04 bmc Exp $# -# LOCAL RULES# -# This file intentionally does not come with signatures. Put your local# additions here.alert icmp any any - $HOME_NET any (msg:icmp Packet;sid:1234567890;rev:1;),