IDS SNORT ACID搭建流程

IDS-Snort+ACID搭建流程

>ACID入侵数据库分析控制台，通过WEB界面来查看snort数据的工具。为了使用ACID，用户系统中必须安装Snort,Apache,MYSQL,PHP。他们之间的关系如下：

1：当入侵者进入用户的网络后，snort根据规则检测到入侵行为后，根据其配置文件/etc/ snort/snort.conf的配置，将信息记录到MYSQL数据库中。

2：用户使用浏览器连接到IDS服务器，请求ACID页面。

3：PHP连接到数据库，提取信息。

4：Apache响应浏览器，用户就可以在浏览器中查看，操作等。

将Apache MYSQL PHP装上

安装ACID

以上软件包的作用：

Snort主程序，不用说了。

安装过程中，会创建：

/etc/snort存放规则和配置文件

/var/log/snort存放日志

/usr/share/doc/snort-xxx snort文档文件README就在这里。

/usr/sbin/snort-plain主程序文件

/etc/rc.d/init.d/snortd start restart stop脚本。

Snort-mysql代替系统snort的主程序文件，使snort可以支持mysql数据库。

Php-acid ACID软件包。里面一堆的以PHP写的网页。

Php-adodb跟PHP访问数据库有关，在/ar/www/adodb。

Php-jpgraph JPG图像函数库，ACID采用它来创建入侵数据的图表。分析图就是靠它来创建的，使用户能更直观的去分析。/var/www/jpgraph-xxx

安装完后创建一个PHP测试页，看看APACHE和PHP安装是否成功。

/var/www/html

Vi index.php

Phpinfo();

?>

配置MYSQL

启动MYSQL，service mysqld start

会提示需要设置root密码

Mysqladmin–u root password test

创建两个库snort_log snort_archive

然后需要为这两个数据库创建相关的表，snort保存不同类型的数据需要不同的表。不过，snort软件包已经提供创建表的脚本啦，不用去手动创建。Archive是个长期存储信息的数据库。（假如你只有一个数据库的话，为了提高数据库的效率，你把一些数据从库中删除了，当有一天突然需要用的时候，那你就等着哭吧。所以archive就是专用来保存数据的，你可以把snort_log中的数据全删掉，以提高效率。以前的数据可以去archive中查找）

现在导入表：

>use snort_log；

>source/usr/share/snort-2.8.0.1/schemas/create_mysql;

>use snort_archive;

>source/usr/share/snort-2.8.0.1/schemas/create_mysql;

修改snort配置文件

/etc/snort/snort.conf

改成这样：

让入侵检测的数据记录到snort_log中。

ACID的配置：

Cp–a/var/www/acid/var/www/html

Copy到网站主目录中，这样你才能访问到呀。

修改配置文件：

Vim/var/www/html/acid/acid_conf.php

DBlib_path:adodb的安装路径

php-jpgraph的安装路径

修改/etc/php.ini

我现在使用的ACID是基于PHP4开发的，之前安装的PHP为版本5，所以有些功能受限，需要更改：

Register_log_arrays=Off该为On

Vim/var/www/html/acid/acid_db.inc

加个（）使ACID可以正常访问snort_archive。

最后一个

创建ACID用户

Htpasswd–b/var/www/acid-users username userpaassword

启动服务

Service httpd start

Service mysqld start

Snort–c/etc/snort/snort.conf–D

Man snort

输入URL

安装完毕，不过现在snort不起任何作用，你就算对他发个DOS攻击，都不带反应的。

因为rules是空的，IDS用规则来去检测，现在没有规则，他还能做什么？

导入规则：

Snort虽说是免费开源的，但他的规则可是需要拿钱买滴。。

扫了下端口，出现记录了。