Windows下安裝基於主機的IDS(4)

2.啓用PHP對MySQL的支持

在c:\windows\php.ini安裝目錄下，找到先前重命名並編輯過的 php.ini，如下圖所示，Ln606，把“;extension=php_mysql.dll”前的“;”去掉，加載mysql模塊。保存，關閉後，重啓apache就可以了。這裏也可以選擇其它要加載的模塊，去掉前面的“;”，就表示要加載此模塊了，加載的越多，佔用的資源也就多一點，不過也多不到哪去。所有的模塊文件都放在php解壓縮目錄的“ext”之下，編輯好後保存，關閉。

 

 

 

 

 

同樣，加載了模塊後，就要指明模塊的位置，否則重啓Apache的時候會提示“找不到指定模塊”的錯誤，這裏介紹一種最簡單的方法，直接將 php安裝路徑、裏面的ext路徑指定到windows系統路徑中——在“我的電腦”上右鍵，“屬性”，選擇“高級”標籤，點選“環境變量”，在“系統變量”下找到“Path”變量，選擇，雙擊或點擊“編輯”，將“;c:\php5;c:\php5\ext”加到原有值的後面，當然，其中的“c:\php5”是我的安裝目錄，你要將它改爲自己的php安裝目錄，如下圖所示，全部確定。系統路徑添加好後要重啓電腦才能生效，可以現在重啓，也可以在所有軟件安裝或配置好後重啓。

 

 

 

 

 

此外： 也可以將c:\php5\ext\目錄下的php_mysql.dll文件複製到%systemroot%下

           將c:\php5\下的 libmysql.dll 文件複製到%systemroot%\system32下

 

 

 

3.創建Snort運行必須的snort庫和snort_archive庫：

 

4.建立Snort運行必須的數據表

1.將c:\snort\shcemas目錄下的create_mysql 複製到c:\mysql server 5.0\bin下

 

此外也可以直接在CMD下運行

 

5.創建MySQL帳戶snort和acid

  使用IDSCenter或acid 能正常訪問MySQL中與snort相關的數據文件，實現語句爲：

 

 

6.acid用戶和snort用戶分配相關權限，實現語句爲：

 

6、安裝ADODB

 

解壓縮adodb465.zip 至c:\php5\adodb 目錄下

7、安裝JPGRAPH

解壓縮jpgraph-2.1.4.tar.gz 至c:\php5\jpgraph

 

 

8、安裝 acid

ACID是一種通過Web界面來分析察看Snort數據的工具。它是用PHP編寫的，與Snort和MySQL數據庫一同工作。

解壓縮acid-0.9.6b23.tar.gz 至C:\apach\Apache2\htdocs\acid 目錄

修改acid_conf.php文件爲下列格式：注意以寫字板打開。

 

 

 

 

 

 

 

 

注意：配置完成後要重新啓動apache

 

9、建立acid運行必須的數據庫

如下圖所示：

 

 

 

 

 

數據庫以創建好。關閉此頁就可以了。

四、配置Snort

1.  安裝時，有讓選擇使用那種數據庫：選擇默認（其他兩種數據庫需要提前安裝SQL Server和Oracle的客戶端）。

2.  編輯c:\snort\etc\snort.conf文件爲如下格式：（使用寫字板編輯）

 

設置snort 輸出alert 到MySQL Server，添加如行

 

上邊的如果不行可以把第二行刪掉，試一下。

 

3. 添加規則庫

加壓縮snortrules-snapshot-CURRENT.tar.gz文件分別到c:\snort\doc 和c:\snort\rules目錄下。

也就是將snortrules-snapshot-CURRENT.tar.gz中的doc目錄內容解壓到c:\snort\doc目錄下

將snortrules-snapshot-CURRENT.tar.gz中的rules目錄中的內容解壓到c:\snort\rules目錄下

4. 測試Snort 是否正常工作

c:\snort\bin>snort -c "c:\snort\etc\snort.conf" -l "c:\snort\log" -i 2 –d -e -X

-X 參數用於在數據鏈接層記錄raw packet 數據

-d 參數記錄應用層的數據

-e 參數顯示／記錄第二層報文頭數據

-c 參數用以指定snort 的配置文件的路徑

-i 指明監聽的網絡接口。

如下圖所示：

 

注意會出現如下圖的問題

 

 

關於Not Using PCAP_FRAMES 的問題，它僅僅是運行snort的時候啓動不啓動PCAP_FRAMES,啓動了能夠提高性能，而要啓動要提高性能只要設置環境變量就OK了。

設置方法如下圖：（注意設置系統變量要重啓機器，設置用戶變量要註銷用戶）

 

設置完成後測試結果爲下圖：

 

 

 

按Ctrl+c可以結束監控

使用ACID察看檢查到的結果

 

 

 

 

寫在最後，貼了兩天終於貼完了，這時候我感覺到汪老師寫這篇文章真的是嘔心瀝血啊！！！看了這幾篇文章如果你什麼也沒學到，那就錯了，至少我們可以學習到，細心、不怕麻煩的求和精神！！！