1、試驗內(nèi)容5試驗名稱試驗五：入侵檢測系統(tǒng)試驗日期2022 年5月28日1、安裝Apache Server2、PHP3Snort4winpcap 6adodb8jpgrapg 庫9snort試驗進程及步驟：1Apache Server2PHP1c:php2：拷貝c:php 下至c:windowssystem 名目下，然后更名為步驟 3：添加 gd extension=。假設(shè)是有該句，將此語句前面的“;”注釋符去掉留意：那個地址需要將文件c:phpext拷貝到名目c:php下4：添加Apache 對PHP的支持:c:apacheconf中添加：LoadModule php5_module “c”Ad

2、dType application/x- d-php.php留意.php 前面有空格改端口為：80805：重啟Apache6：在C:Apachehtdocs 名目下建測試文件， 文件內(nèi)容為步驟 7：利用，測試PHP 是不是成功安裝，如成功安裝，那么在閱讀器中顯現(xiàn)下面的網(wǎng)頁：3Snort4winpcap5MYSQL 數(shù)據(jù)庫；MysqlC:MySQLMySQL Server 123單擊“開頭”按鈕，選擇“運行”，輸入“cmd”，在顯現(xiàn)的命令行窗口中輸入下面的命令：cd c:mysqlMySQL server binc:mysqlMySQL server bin mysql -h localhost

3、 -u root -p123mysql 提示符后輸入下面的命令：mysql create database snort;留意：在輸入分號后mysql 才會編譯執(zhí)行語句mysqlcreate database snort_archive;(create 語句成立了snort 運行必需的snort 數(shù)據(jù)庫和snort_archive 數(shù)據(jù)庫)輸入“quit”mysql 后，在顯現(xiàn)的提示符以后輸入：mysql -D snort -u root -p c:snortschemascreate_mysqlmysql -D snort_archive -u root -p mysql -h localho

4、st -u root -p123在提示符后輸入下面的語句：mysqlgrant usage on *.* to “acid“l(fā)ocalhost“ identified by “acidtest“; mysqlgrant usage on *.* to “snort“l(fā)ocalhost“ identified by “snorttest“;上面兩個語句表示在本地數(shù)據(jù)庫中成立了aci密碼為acidtes和兩個用戶，以備后面利用)密碼為snorttestmysql 提示符后面輸入下面的語句mysql grant select,insert,update,delete,create,alter on

5、snort .* to “acid“l(fā)ocalhost“;mysql grant select,insert on snort .* to “snort“l(fā)ocalhost“;mysql grant select,insert,update,delete,create,alter on snort_archive .* to “acid“l(fā)ocalhost“;(這是為建的用戶在snortsnort_archive數(shù)據(jù)庫中安排權(quán)限)6adodbc:phpadodb5 adodb的安裝7acidc:apachehtdocsacid 名目下c:apachehtdocsacid 利用寫字板翻開查看網(wǎng)頁

6、，覺察顯現(xiàn)下面的錯誤：問題解決：(在文件C:WINDOWS中修改)；extension=去掉前面的分號再加上：extension_dir = “c:phpext “C:php 文件夾中, 拷到 c:windowssystem里。先重啟apache，并點擊create ACID AG成立數(shù)據(jù)庫查看網(wǎng)頁：八、安裝 jpgrapg 庫修改 c:phpjpgraghsrc下文件，去掉下面語句的注釋(或直接添加)DEFINE(“CACHE_DIR“,“/tmp/jpgraph_cache/“);9 snort將規(guī)那么庫“解壓，文件放在snort 的相應文件夾中。c:snortetc文件做如下修改：原:

7、var RULE_PATH ./rules改成: var RULE_PATH C:Snortrules原:var SO_RULE_PATH ./so_rules改成: var SO_RULE_PATH C:Snortso_rules原:var PREPROC_RULE_PATH ./preproc_rule改成: var PREPROC_RULE_PATH C:Snortpreproc_rules原: #dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/改成:dynamicpreprocessor di

8、rectory C:Snortlibsnort_dynamicpreprocessor(后面必定不要有/)原: #dynamicengine /usr/local/lib/snort_dynamicengine/改成:dynamicengine C:Snortlibsnort_dynamicengine原：dynamicdetection directory /usr/local/lib/snort_dynamicrules改成：dynamicdetection directory C:Snortlibsnort_dynamicrules原: include改成: include C:Snor

9、tetc原: include改成: include C:Snortetc原: include改成: include C:Snortetc原：# Does nothing in IDS mode 后面的幾個句子：#preprocessor normalize_ip4#preprocessor normalize_tcp: ips ecn stream#preprocessor normalize_icmp4#preprocessor normalize_ip6#preprocessor normalize_icmp6在之前加上#，注釋掉。原：preprocessor _inspect:globa

10、liis_unicode_map1252compress_depth65535decompress_depth 65535改成： preprocessor _inspect: global iis_unicode_map C:Snortetc 1252 compress_depth65535 decompress_depth 65535由于在windows 下那個文件在etc 文件夾下。把文件中的ipvar var，2 句話在最前面加#：# whitelist $WHITE_LIST_PATH/, # blacklist $BLACK_LIST_PATH/將原文中全部下面的代碼 在前面加#留意

11、：include $RULE_PATH/ ，這一句前面不加#在該文件的最終參加下面語句：output database: alert, mysql, host=localhost user=snort password=snorttest dbname=snortencoding=hex detail=full然后將C:Snortso_rulesprecompiledFC-12i386里的全部文件拷貝到C:Snortlibsnort_dynamicrules(沒有文件夾那么建該文件夾)cm，在命令行方式下輸入下面的命令：cdc:snortbin;c:snortbinsnort-c“c:snor

12、tetc“-l“c:snortlog“-d-e X留意X 大寫上面的命令將啟動Snort，假設(shè)是snort 正常運行，系統(tǒng)最終將顯示出下面的信息：留意：那個命令的執(zhí)行不要退出翻開網(wǎng)頁，進入acid 分析操縱臺主界面。如上述配置均正確，將顯現(xiàn)下面的頁面：需要有規(guī)那么才會有統(tǒng)計結(jié)果。 翻開c:snortrules文件：添加alert ip any any - any any (msg: “IP packet“;sid:9888;)Snort 安裝、配置完成：snort 的內(nèi)、外網(wǎng)檢測范圍：試驗結(jié)果及分析1、安裝Snort 時留意關(guān)閉防火墻2、設(shè)置snort 的內(nèi)、外網(wǎng)檢測范圍：將文件中var HOME_NET any 語句中的any 改成自己所在的子網(wǎng)地址，馬上snort 監(jiān)測的內(nèi)網(wǎng)設(shè)置為本機所在局域網(wǎng)。如本地IP 為，那么將a