整理不少,已出锥形。
使用到的工具:
Snort_2_9_0_1_Installer.zip
WinPcap_4_1_2.zip
acid-1.9.6b23.tar.gz
apache_2.2.11-win32-x86-no_ssl.rar
php-5.2.13-Win32-VC6-x86.zip
adodb460.zip
snortrules-snapshot-CURRENT.rar
jpgraph-1.27.tar.gz
mysql-5.0.51a-win32.zip
配置完成后会给出下载地址
apache+php+mysql 配置前面有
因为我是在虚拟机上做的测试
就1个C盘 图就不截了
1:
安装Winpcap_4_1_2.zip
2:
安装Snort
我安装到C:\Snort\
cd c:\snort\bin
snort.exe -W 查看网卡
应该是看不到的 重启计算机就可以看到了
3:
导入数据
mysql我是安装在c:\mysql
cd c:\mysql\bin\
mysql -u root -p Enter:password
creat database snort
creat database acid
建立2个数据库
导入数据
mysql -D snort -u -p < c:\snort\schemas\create_mysql
mysql -D acid -u -p < c:\snort\schemas\create_mysql
4:用户权限设置
我是直接在phpadmin下设置的
新建2用户 snort acid 密码账户相同 赋给snort acid 对应数据库权限
5:安装adodb
解压adodb360.zip
说明下:apache 我安装在c:\apache\ 网站目录为c:\home\
把adodb放在home目录下
6:安装jpgrapg库
说明:php我直接放在c:\php下
把jpgrapg文件放到c:\php\目录下
7:安装acid
解压放到c:\home下 目录为acid
修改acid的配置文件
acid_conf.php
------------------------------------
$DBlib_path = "c:\home\adodb";
$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "3306";
$alert_user = "snort";
$alert_password = "snort";
/* Archive DB connection parameters */
$archive_dbname = "acid";
$archive_host = "localhost";
$archive_port = "3306";
$archive_user = "acid";
$archive_password = "acid";
$ChartLib_path = "c:\php\jpgraph\src";
配置完后
http://localhost/acid 访问会提示运行数据库
运行完后 可以看到acid的界面了
8:安装snort规则库
解压把里面的规则复制到c:\snort\rules\
9: 修改snort配置文件
c:\snort\etc\snort.conf
-----------------------------------
修改
include classification.config
include reference.config
改为绝对路径
include c:\snort\etc\classification.config
include c:\snort\etc\reference.config
设置snort输出
output database: log,mysql, user=snort password=snort dbname=snort host=localhost
var HOME_NET any --修改 192.168.1.0/24
var RULE_PATH C:\Snort\rules 规则文件
dynamicpreprocessor directory C:/Snort/lib/snort_dynamicpreprocessor ----修改目录路径
dynamicengine C:/Snort/lib/snort_dynamicengine/sf_engine.dll ----注意"/","\"问题
在'# output log_tcpdump: tcpdump.log' 下插入下一行:
output alert_fast: alert.ids
10: 启动snort
c:\snort\bin\
snotr 可以直接运行
c:\snort\bin>snort -c "c:\snort\etc\snort.conf" -l "c:/snort/log" -i 1 -d -e -X
加载snort.conf运行
参数说明:
-X 参数用于在数据链接层记录raw packet 数据
-d 参数记录应用层的数据
-e 参数显示/记录第二层报文头数据
-c 参数用以指定snort 的配置文件的路径
-i 指明监听的网络接口。
运行的时候很容易出错 看错误提示更改就OK了
亲自测试完成 如配置无法完成 请留言 可以手打错了地方