您的位置:360文档中心› Snort入侵检测系统的配置与使用

Snort入侵检测系统的配置与使用

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

贵州大学实验报告

学院:计信学院专业:班级:

3、安装snort

安装snort-2_0_0.exe,snort的默认安装路径在C:\snort

安装配置Mysql数据库

(1)安装Mysql到默认文件夹C:\mysql,并在命令行方式下进入C:\mysql\bin,输入下面命令:C:\mysql\bin\mysqld ––install 这将使mysql在Windows中以服务方式运行。

(2)在命令行方式下输入net start mysql,启动mysql服务

(3)进入命令行方式,输入以下命令

C:\mysql\bin>mysql –u root –p

如下图:

出现Enter Password提示符后直接按“回车”,这就以默认的没有密码的root用户

$archive_dbname = "snort_archive";

$archive_host = "localhost";

$archive_port = "3306";

$archive_user = "acid";

$archive_password = "acidtest";

$ChartLib_path=”C:\php\jpgraph\src”;

注意:修改时要将文件中原来的对应内容注释掉,或者直接覆盖。

(3)查看http://127.0.0.1:50080/acid/acid_db_setup.php网页,如下图所示,单击create ACID AG 建立数据库。

5、安装jpgraph库

(1)解压缩jpgraph-1.12.2.tar.gz至C:\php\jpgraph

(2)修改C:\php\jpgrah\src下jpgraph.php文件,去掉下面语句的注释。

DEFINE(”CACHE_DIR”,”/tmp/jpgraph_cache/”);

安装winpcap

安装默认选项和默认路径安装winpcap。

配置并启动snort

(3)打开C:\snort\etc\snort.conf文件,将文件中的下列语句:

include classification.config

include reference.config

修改为绝对路径:

include C:\snort\etc\classfication.config

include C:\snort\etc\reference.config

(4)在该文件的最后加入下面语句:

Output database: alert,mysql,host=localhost user=snort

password=snorttest dbname=snort encoding=hex detail=full

(5)进入命令行方式,输入下面的命令:

C:\snort\bin>snort –c “C:\snort\etc\snort.conf”–l “C:\snort\log”–d –e –X

上面的命令将启动snort,如果snort正常运行,系统最后将显示如下图所示

(6)打开http://127.0.0.1:50080/acid/acid_main.php网页,进入acid分析控制台主界面。如上述配置均正确,将出现如下图所示的页面。

二、Windows下snort的使用

1、完善配置文件

(1)打开C:\snort\etc\snort.conf

(2)配置snort的内、外网检测范围。

将snort.conf文件中var Home_NET any语句中的any改为自己所在的子网地址,即将snort监测的内网设置为本机所在局域网。如本地IP为192.168.1.10,则将any改为192.168.1.0/24。

并将var EXTERNAL_NET any语句中的any改为!192.168.1.1/24,即将snort 监测的外网改为本机所在局域网以外的网络

(3)设置监测包含规则。

找到snort.conf文件中描述规则的部分,前面加“#”表示该规则没有启用,将local.rules之前的“#”去掉,其余规则保持不变。

2、使用控制台查看结果

3、配置snort规则

(1)打开C:\snort\rules\local.rules文件。

(2)在规则中添加一条语句,实现对内网的UDP协议相关流量进行检测,并报警:

udp ids/dns-version-query。

语句如下:Alert tcp any any->$Home_NET any(msg:”udp ids/dns-version-query”;content:”version”;)

重启snort和acid检测控制台,使规则生效。

注:各学院可根据教学需要对以上栏木进行增减。表格内容可根据内容扩充。

相关文档
最新文档