爱华网经过一段时间的摸索,终于把snort配置成功了,在电脑上可以自己侦测所有进入自己的数据包了,过程比较的蛋疼呀!正如师兄说的,各种错误,各种问题。我也不知道尝试了多少遍,也不知道看了多少配置方案,每种都看看试试。下面就来讲讲我的实现吧!
基本上我是参考的
1、安装ultraedit-32.exe(编辑软件,相当于记事本)//不一定要用,只要记事本能够表明行就行了
2、安装appserv-win32-2.4.1.exe--next--back--gb2312(综合工具,apache,php,mysql)
3、修改c:windowsphp.ini文件,将167行,off改为on(打开PHP功能)
4、开始--程序--appserv--apache control server--apache monitor
右击 右下角图标--open apachemonitor--restart
5、打开ie--http://localhost( 测试网站)
6、安装winpcap_3_1.exe(抓包软件)
7、安装snort_2_6_0_installer.exe(默认安装)//在网上没找到2.6.0的windows的安装版,我就用2.9
//最新版的,规则库用的是最新版本,但在后面会有问题,解决方法用2.8的snort的web-msic拷到2.9
//的就没问题了
8、打开 IE--http://localhost--单击phpmyadmin database manager version2.6.0-rel--在IE地址栏后加index 回车(打开mysql配置界面)
在“创建一个新的数据库”下输入--snort--创建
--点--localhost--
在“创建一个新的数据库”下输入--snort_archive--创建
--在左侧“数据库”中选择“snort”--单击右侧--sql--浏览--c:snortschemascreat_mysql--执行
--点--localhost--权限--添加新用户--
--用户名:snort
主机:localhost
密码:123456
--全选--执行--向下拉鼠标--按数据库指定权限--在下列数据库添加权限--snort--全选--执行
--localhost--权限--snort后的编辑(注:是一个图标)--按数据库指定权限--在下列数据库添加权限--snort_archive--全选--执行
9、解压snortrules-snapshot-current.tar.gz,进入解压文件夹,复制doc,rules,so_rules到c:snort下
10、解压adodb493a.zip,进入解压文件夹,复制adodb到c:appservphp下
11、解压jpgraph-1.20.5.tar.gz,进入解压文件夹,改文件夹名为jpgraph,复制到c:appservphp下
12、解压acid-0.9.6b23.tar.gz进入解压文件夹,复制acid到c:appservwww下--进入acid文件夹,找到acid-conf.php,右击用ultraedit打开--否---
第12行:在“”中间加c:appservphpadodb
第32行:把引号中间改为snort
第35行:把引号中间改为snort
第36行:把引号中间改为123456
第42行:把引号中间改为snort
第43行:把引号中间改为123456
第69行:把引号中间加c:appservphpjpgrap
保存
13、打开IE--http://localhost/acid/acid_db_setup.php--create ACIDAG
14、打开c:snortetcsnort.conf//下面的行只是大概的位置
我用的是snort-2.9.0.1最新版本,中间还要修改一些问题
所有的ipvar都要改成var,你在运行时如果遇到这个问题就修改下
如果出现normal_ipv4错误的话就将
preprocessor normalize_ip4
preprocessornormalize_tcp: ips ecn stream
preprocessornormalize_icmp4
preprocessornormalize_ip6
preprocessornormalize_icmp6
全部注销掉,方法为:在前面加#号。
111行:varrule_path c:snortrules
182行:dynamicpreprocessor directoryC:Snortlibsnort_dynamicpreprocessor //这个后面不要加''否则会出问题
192行:dynamicengineC:Snortlibsnort_dynamicenginesf_engine.dll
226行:dynamicdetection directory C:Snortlibsnort_dynamicrules
然后将C:Snortso_rulesprecompiledFC-9i3862.9.0.1里的所有文件拷贝到
C:Snortlibsnort_dynamicrules//上面的FC-9不一定对,可以先试一下。看各自的系统都不一样。
689行:outputdatabase:alert,mysql,user=snort password=123456 dbname=snorthost=localhost
保存
15、测试过程:C:snortbinsnort.exe–c“c:snortetcsnort.conf”–l“c:snortlog”–d-e–X-v -i 2 //对于2是只你的网卡的标识,你用snort -W就可以看到你网卡的标识号,再填。这样你可以得到下面的结果
在测试之前,你要在local.rules文档里加入下面的语句:
alert ip any any -> any any (msg: "IP Packetdetected";sid:1000000;)
16,如果出现一些错误你可以复制下来在网上找下,如果没找到答案的可以咨询我!邮箱为:
xd.xinyao@gmail.com。
在ie里打开http://localhost/acid看结果
我会在CSDN里传一个文件包,包括所有的文档。
地址为:
http://download.csdn.net/detail/albertyaoxin/3662086
结果显示为:
同时你可以参考下他的博客:
http://chuan.blog.51cto.com/130796/65178
希望对你有帮助
预祝你配置成功,一定要有耐心,问题比较多!!哈哈
附加问题:
1.在运行过程中可能有acid的内存不够,你应该修改为30M,位置为:php.ini文件,搜索:memory_limit
然后将后面的值改成32M,这样就可以出现相应的图片
2.对于Maximum execution time of 30 seconds exceeded 这个错误同样在php.ini文件,搜索:max_execution_time,然后将后面的30S,改成较大的值,可以改成500S或者更大,如果有什么好的值可以留言哦!哈哈。
