(完整版)Snort详细安装步骤

Snort 安装步骤
一，在本机的HOST文件里解析WINDIS，使其能解析出来
二．安装winpcap,一路next下去
二，安装snort，选择默认的安装目录
里面
四，修改snort里面的配置文件
五，六，
七、
八、
九、
十、
十一、
十二、将snort配置为系统服务
十一、测试snort 的安装，输入snort -W
2.用一台机子与其通信，用ping 192.168.4
3.200 –t 检测snort
这时候在命令行中使用’CTRL+C’或者通过任务管理器来结束Snort。

找到’Snort ’条目，将其启动类型设置为’自动’。

实验小结：
本次实验主要是配置snort入侵检测系统，最主要的步骤是在后面做检测snort是否成功安装时，输入snort -W 时，出现的网卡标号，要与目前机子使用的对照一下，并在输入snort –v –i() 中括号内输入刚才出现的那张网卡的标号，
是1，还是2 ，这样，在有流量通过这张网卡时，snort才可以检测得到数据包。

安装方法：如果你安装好了libpcap后，对snort安装将是很简单，关于libpcap的安装说明，你可以看看blackfire(/~bobdai/的一些文章，关于WINDOWS下的winpcap你可以看我站上的SNIFFER FOR NT上的安装说明。

装好libpcap后，你可以使用通常的命令：1.) ./configure 2.) make3.) make install 装好后你可以使用make clean清除一些安装时候产生的文件。

（有些系统如freebsd已经支持了libpcap，所以很轻松，不用再装了）。

而WINDOWS更简单，只要解包出来就可以了；参数介绍：命令行是snort -[options] <filters>选项：-A <alert> 设置<alert>的模式是full,fast,还是none full模式是记录标准的alert模式到alert文件中；Fast模式只写入时间戳，messages, IPs,ports到文件中，None模式关闭报警。

-a 是显示ARP包；-b 是把LOG的信息包记录为TCPDUMP格式，所有信息包都被记录为两进制形式，名字如snort-0612@1385.log，这个选项对于FAST 记录模式比较好，因为它不需要花费包的信息转化为文本的时间。

Snort在100Mbps网络中使用"-b"比较好。

-c <cf> 使用配置文件<cf>,这个规则文件是告诉系统什么样的信息要LOG，或者要报警，或者通过。

-C 在信息包信息使用ASCII码来显示，而不是hexdump，-d 解码应用层。

-D 把snort以守护进程的方法来运行，默认情况下ALERT记录发送到/var/log/snort.alert文件中去。

-e 显示并记录2个信息包头的数据。

-F <bpf>从<bpf>文件中读BPF过滤器（filters），这里的filters是标准的BPF格式过滤器，你可以在TCPDump里看到，你可以查看TCPDump 的man页怎样使用这个过滤器。

实验九 snort入侵检测系统软件的使用【实验目的】（1）理解入侵检测的作用和检测原理。

（2）理解误用检测和异常检测的区别。

（3）掌握Snort的安装、配置。

（4）掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。

【实验内容】（1）安装和配置入侵检测软件。

【实验环境】WindowsXP以上操作系统【实验步骤】（1）安装数据包截取驱动程序。

双击安装文件winpcap.exe ，一直单击“NEXT”按钮完成安装。

（2）安装snort 入侵检测系统：运行snort.exe ，按照安装向导提示完成安装。

其中在installation options窗口中选择第一个选项，表示不将报警数据日志写入到数据库或将日志写入到snort 支持的windows版本的数据库MYSQL和其他ODBC数据库中。

在choose components窗口中，建议将三个组件都选中。

（3）安装the appserv open object ：运行appserv.exe ，按照安装向导提示完成安装。

其中apache HTTP Server窗口中输入WEB服务器的域名主机名称和IP 地址、管理员的EMAIL地址、WEB 服务的端口号。

在弹出的MYSQL Database 窗口中输入MYSQL的相关信息，MYSQL 数据库用户的用户和密码等。

安装完成后，WWW目录为默认的WEB页的发布目录。

在开始菜单中启动APACHE 服务器和MYSQL数据库服务器，在本地计算机的浏览器中输入http://127.0.0.1 ，若出现教材中图7-16 的窗口表示APACHE服务器工作正常。

（4）ACID软件包的安装：解压缩acid.rar 数据包，解压缩到c:\appserv\www\acid 目录中。

（5）ADODB软件包的安装：解压缩adodb.rar 数据包，解压缩到c:\appserv\www\adodb 目录中。

（6）PHP图形库的安装：解压缩jpgraph.rar 数据包，解压缩到c:\appserv\www\jpgraph 目录中。

Snort在Windows下的集成式安装一．1.安装Snort和Wincap包2.AppServ3.安装AppServ在Server Name中输入域名localhost：Administrator's Email Address 中输入邮箱地址：*****************监听端口设为8080。

点击next，进入下一界面：在出现的界面中输入密码（enter root password）："Character Sets and Collations"选择"GB 2312Simplified Chese",下图所示：然后单击"Install",进入安装过程，出现下图：安装完成后将C:\Appserv\php5目录下的php.ini-dist 文件改名为php.Ini，并启动Apache和MySql。

（控制面板—管理—服务确保Apache和MySql已启动）安装完成后可以查看（MySQL启动如下图）在浏览器中输入http://localhost :8080 出现：表示安装成功！（2）测试AppServ首先查看"控制面板"/"管理"/"服务",确保Apache和MySQL已经启动，然后，在浏览器中输入http://localhost :8080/phpinfo.php,（下图）可以了解php的一些信息。

最后打开浏览器，输入http://localhost :8080/phpMyAdmin/index.php,（下图）输入用户名root和密码，可以浏览数据库内容(1)配置AppServ第一步编辑Apache服务器配置文件。

打开Apache2.2\conf文件中的httpd.conf,检查相应的一些值第二步编辑phpMyAdmin中的关键文件。

打开C:\AppServ\www\phpMyAdmin\libraries目录下的config.default.php文件第三步配置php.ini。

Snort 的安装一．安装Apache服务器1．为了保证Apache能够正常的安装与运行,在安装前应先把IIS的服务关闭,以免造成端口冲突,确保IIS服务已经禁用和关闭自启动2．把IIS服务关了后，就可以正常安装Apahce服务了3．安装Apache服务4．安装完Apache之后我们可以在浏览器中输入http：//localhost 测试Apache 安装是否成功，出现“It work ！”字样，则表示Apache安装成功。

二．安装PHP1．首先解压PHP文件到c:\ids\php5文件夹2．复制c:\ids\php5目录下php5ts.dll 文件到c:\windows\system32 目录下。

3．复制php5目录下的php.ini-dist 到c:\windows 下，并重命名为php.ini 4．修改c:\ids\apache\conf\httpd.conf 文件, 加入apache 对php 的支持，在文档的编辑器中点击查找“vhost_alias.sa”,然后再下一行加入：loadmodule php5_module c:\ids\php\php5apache2.dll，新版本的写法：loadmodule php5_module c:/ids/php5/php5apache2_2.dll 5．加入：addtype application/x-httpd-php .php，如图6．修改c:\widows\php.ini 文件,在文档的编辑器中点击查找“gz .tgz”,找到；extension=php_gd2.dll去掉extension=php_gd2.dll 前的分号7．复制c:\ids\php5\ext 文件夹下php_gd2.dll 文件到c:\windows 文件夹下8．进行相关配置后，我们重启下Apache，然后在Apache网页存放目录下c:\ids\apache\htdocs文件夹下编写test.php文件，内容为<?php phpinfo();?>，然后我们打开浏览器，输入http://localhost/test.php，如果浏览到php的信息页面则说明一切正常。

在windows环境下snort的安装配置1.安装apache (2)2：安装 PHP5： (4)3）安装winpcap (7)4）安装snort (7)5）安装和设置mysql (8)5）安装adodb: (14)6）安装jpgrapg 库 (15)7）安装acid (15)8）建立acid 运行必须的数据库： (16)9）解压 snortrules-snapshot-CURRENT.tar.gz到c:\snort目录下 (16)10）启动snort (17)11）测试snort (17)Snort 是一套非常优秀的IDS和网络监测系统，值得大中型网络管理者和网络安全爱好人员去学习使用．安装平台: Windows Server 2003 + My SQL + Apache + PHP5需要软件包:(以下软件包都可以从ftp上直接下载获取)1）Snort_2_6_1_1_Installer.exe Windows 版本的Snort 安装包2）snortrules-snapshot-CURRENT.tar.gz snort规则库3）winpcap3.1 网络数据包截取驱动程序（4.0Beta 2 版也可）4）acid-0.9.6b23.tar.gz 基于php 的入侵检测数据库分析控制台5）mysql-5.0.27-win32.zip Windows 版本的mysql安装包6）apache.zip Windows 版本的vapache 安装包7）jpgraph-2.1.4.tar.gz 图形库for PHP8）adodb465.zip ADOdb（Active Data Objects Data Base）库for PHP 9）php-5.2.0-Win32.zip Windows 版本的php 脚本环境支持入侵检测系统的安装说明：（注：软件包较多。

需要细心，和耐心。

现在就开始我们的snort配置之旅吧，痛苦着并快乐着。

s n o r t配置步骤1．在Windows环境下安装snort。

（1）安装Apache_2.0.46①双击apache_2.0.46-win32-x86-no_src.msi，安装在文件夹C:\apache下。

安装程序会在该文件夹下自动产生一个子文件夹apache2。

②为了避免Apache Web服务器的监听端口与Windows IIS中的Web服务器的80监听端口发生冲突，这里需要将Apache Web服务器的监听端口进行修改。

打开配置文件C:\apache\apache2\conf\httpd.conf，将其中的Listen 80，更改为Listen50080。

如图3.34所示。

图3.34修改apache的监听端口③单击“开始”按钮，选择“运行”，输入cmd，进入命令行方式。

输入下面的命令：C:\>cd apache\apache2\binC:\apache\apache2\bin\apache –k install这是将apache设置为以Windows中的服务方式运行。

如图3.35所示。

图3.35 Apache以服务方式运行（2）安装PHP①解压缩php-4.3.2-Win32.zip里面的文件至C:\php\。

②复制C:\php下php4ts.dll至%systemroot%\System32，复制C:\php下php.ini-dist至%systemroot%\，然后修改文件名为：php.ini。

③添加gd图形库支持，把C:\php\extensions\ php_gd2.dll拷贝到%systemroot%\System32，在php.ini中添加extension=php_gd2.dll。

如果php.ini有该句，将此语句前面的“；”注释符去掉。

如图3.36所示图3.36修改php.ini配置文件④添加Apache对PHP的支持。

在C:\apache\apache2\conf\httpd.conf中添加：LoadModule php4_module "C:/php/sapi/php4apache2.dll"AddType application/x-httpd-php .php如图3.37和图3.38所示。