IDS SNORT ACID搭建流程
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IDS-Snort+ACID搭建流程
>ACID入侵数据库分析控制台,通过WEB界面来查看snort数据的工具。为了使用ACID,用户系统中必须安装Snort,Apache,MYSQL,PHP。他们之间的关系如下:
1:当入侵者进入用户的网络后,snort根据规则检测到入侵行为后,根据其配置文件/etc/ snort/snort.conf的配置,将信息记录到MYSQL数据库中。
2:用户使用浏览器连接到IDS服务器,请求ACID页面。
3:PHP连接到数据库,提取信息。
4:Apache响应浏览器,用户就可以在浏览器中查看,操作等。
将Apache MYSQL PHP装上
安装ACID
以上软件包的作用:
Snort主程序,不用说了。
安装过程中,会创建:
/etc/snort存放规则和配置文件
/var/log/snort存放日志
/usr/share/doc/snort-xxx snort文档文件README就在这里。
/usr/sbin/snort-plain主程序文件
/etc/rc.d/init.d/snortd start restart stop脚本。
Snort-mysql代替系统snort的主程序文件,使snort可以支持mysql数据库。
Php-acid ACID软件包。里面一堆的以PHP写的网页。
Php-adodb跟PHP访问数据库有关,在/ar/www/adodb。
Php-jpgraph JPG图像函数库,ACID采用它来创建入侵数据的图表。分析图就是靠它来创建的,使用户能更直观的去分析。/var/www/jpgraph-xxx
安装完后创建一个PHP测试页,看看APACHE和PHP安装是否成功。
/var/www/html
Vi index.php
Phpinfo();
?>
配置MYSQL
启动MYSQL,service mysqld start
会提示需要设置root密码
Mysqladmin–u root password test
创建两个库snort_log snort_archive
然后需要为这两个数据库创建相关的表,snort保存不同类型的数据需要不同的表。不过,snort软件包已经提供创建表的脚本啦,不用去手动创建。Archive是个长期存储信息的数据库。(假如你只有一个数据库的话,为了提高数据库的效率,你把一些数据从库中删除了,当有一天突然需要用的时候,那你就等着哭吧。所以archive就是专用来保存数据的,你可以把snort_log中的数据全删掉,以提高效率。以前的数据可以去archive中查找)
现在导入表:
>use snort_log;
>source/usr/share/snort-2.8.0.1/schemas/create_mysql;
>use snort_archive;
>source/usr/share/snort-2.8.0.1/schemas/create_mysql;
修改snort配置文件
/etc/snort/snort.conf
改成这样:
让入侵检测的数据记录到snort_log中。
ACID的配置:
Cp–a/var/www/acid/var/www/html
Copy到网站主目录中,这样你才能访问到呀。
修改配置文件:
Vim/var/www/html/acid/acid_conf.php
DBlib_path:adodb的安装路径
php-jpgraph的安装路径
修改/etc/php.ini
我现在使用的ACID是基于PHP4开发的,之前安装的PHP为版本5,所以有些功能受限,需要更改:
Register_log_arrays=Off该为On
Vim/var/www/html/acid/acid_db.inc
加个()使ACID可以正常访问snort_archive。
最后一个
创建ACID用户
Htpasswd–b/var/www/acid-users username userpaassword
启动服务
Service httpd start
Service mysqld start
Snort–c/etc/snort/snort.conf–D
Man snort
输入URL
安装完毕,不过现在snort不起任何作用,你就算对他发个DOS攻击,都不带反应的。
因为rules是空的,IDS用规则来去检测,现在没有规则,他还能做什么?
导入规则:
Snort虽说是免费开源的,但他的规则可是需要拿钱买滴。。
扫了下端口,出现记录了。