实验3.2 入侵检测系统安装和使用.

实验3.2 入侵检测系统安装和使用
【实验目的】
通过安装并运行一个snort系统，了解入侵检测系统的作用和功能
【实验内容】
安装并配置appahe，安装并配置MySQL，安装并配置snort；服务器端安装配置php脚本，通过IE浏览器访问IDS
【实验环境】
硬件PC机一台。

系统配置：操作系统windows XP以上。

【实验步骤】
安装apache服务器
安装的时候注意，本机的80 端口是否被占用，如果被占用则关闭占用端口的程序。

选择定制安装，安装路径修改为c:\apache 安装程序会自动建立c:\apache2 目录，继续以完成安装。

添加Apache 对PHP 的支持
1）解压缩php-5.2.6-Win32.zip至c:\php
2）拷贝php5ts.dll文件到%systemroot%\system32
3）拷贝php.ini-dist (修改文件名) 至%systemroot%\php.ini
修改php.ini
extension=php_gd2.dll
extension=php_mysql.dll
同时拷贝c:\php\extension下的php_gd2.dll与php_mysql.dll 至%systemroot%\
4）添加gd库的支持在C:\apache\Apache2\conf\httpd.conf中添加：LoadModule php5_module "c:/php5/php5apache2.dll"
AddType application这一行下面加入下面两行：
AddType application/x-httpd-php .php .phtml .php3 .php4
AddType application/x-httpd-php-source .phps
5）添加好后，保存http.conf文件，并重新启动apache服务器。

现在可以测试php脚本：
在c:\apache2\htdocs 目录下新建test.php
test.php 文件内容：
〈?phpinfo();?〉
使用http://localhost/test.php
测试php 是否安装成功
2、安装配置snort
安装程序WinPcap_4_0_2.exe；缺省安装即可
安装Snort_2_8_1_Installer.exe；缺省安装即可
将snortrules-snapshot-CURRENT目录下的所有文件复制(全选)到c:\snort目录下。

将文件压缩包中的snort.conf覆盖C:\Snort\etc\snort.conf
3、安装MySql配置mysql
解压mysql-5.0.51b-win32.zip，并安装。

采取默认安装，注意设置root帐号和其密码
J检查是否已经启动mysql服务
在安装目录下运行命令：（一般为c:\mysql\bin）
mysql -u root –p
输入刚才设置的root密码
运行以下命令
c:\>mysql -D mysql -u root -p < c:\snort_mysql （需要将snort_mysql复制到c 盘下，当然也可以复制到其他目录）
运行以下命令：
c:\mysql\bin\mysql -D snort -u root -p < c:\snort\schemas\create_mysql
c:\mysql\bin\mysql -D snort_archive -u root -p < c:\snort\schemas\create_mysql
4、安装其他工具
1）安装adodb，解压缩adodb497.zip到c:\php\adodb 目录下
2）安装jpgrapg 库，解压缩jpgraph-1.22.1.tar.gz到c:\php\jpgraph，并且修改C:\php\jpgraph\src\jpgraph.php，添加如下一行：
DEFINE("CACHE_DIR","/tmp/jpgraph_cache/");
3) 安装acid，解压缩acid-0.9.6b23.tar.gz 到c:\apache\htdocs\acid 目录下，并将C:\Apache\htdocs\acid\acid_conf.php文件的如下各行内容修改为：
$DBlib_path = "c:\php\adodb";
$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "3306";
$alert_user = "acid";
$alert_password = "acid";
$archive_dbname = "snort_archive";
$archive_host = "localhost";
$archive_port = "3306";
$archive_user = "acid";
$archive_password = "acid";
$ChartLib_path = "c:\php\jpgraph\src";
4）、通过浏览器访问http:/127.0.0.1/acid/acid_db_setup.php，在打开页面中点取“Create ACID AG”按钮，让系统自动在mysql中建立acid 运行必须的数据库
5、启动snort
测试snort是否正常：
c:\>snort -dev，能看到一只正在奔跑的小猪证明工作正常
查看本地网络适配器编号：
c:\>snort -W
正式启动snort；
snort -c "c:\snort\etc\snort.conf" -i 2 -l "c:\snort\logs" -deX
(注意其中-i 后的参数为网卡编号，由snort –W 察看得知)
这时通过http://localhost/acid/acid_main.php 可以察看入侵检测的结果
利用扫描实验的要求扫描局域网，查看检测的结果
【实验报告】
简单分析网络入侵检测snort的分析原理
分析所安装的入侵检测系统对攻击的检测结果。

附：
Appach启动动命令：
apache -k install
| apache -k start。