2.启用PHP对MySQL的支持
在c:\windows\php.ini安装目录下,找到先前重命名并编辑过的 php.ini,如下图所示,Ln606,把“;extension=php_mysql.dll”前的“;”去掉,加载mysql模块。保存,关闭后,重启apache就可以了。这里也可以选择其它要加载的模块,去掉前面的“;”,就表示要加载此模块了,加载的越多,占用的资源也就多一点,不过也多不到哪去。所有的模块文件都放在php解压缩目录的“ext”之下,编辑好后保存,关闭。
同样,加载了模块后,就要指明模块的位置,否则重启Apache的时候会提示“找不到指定模块”的错误,这里介绍一种最简单的方法,直接将 php安装路径、里面的ext路径指定到windows系统路径中——在“我的电脑”上右键,“属性”,选择“高级”标签,点选“环境变量”,在“系统变量”下找到“Path”变量,选择,双击或点击“编辑”,将“;c:\php5;c:\php5\ext”加到原有值的后面,当然,其中的“c:\php5” 是我的安装目录,你要将它改为自己的php安装目录,如下图所示,全部确定。系统路径添加好后要重启电脑才能生效,可以现在重启,也可以在所有软件安装或配置好后重启。
此外: 也可以将c:\php5\ext\目录下的php_mysql.dll文件复制到%systemroot%下
将c:\php5\下的 libmysql.dll 文件复制到%systemroot%\system32下
3.创建Snort运行必须的snort库和snort_archive库:
4.建立Snort运行必须的数据表
1.将c:\snort\shcemas目录下的create_mysql 复制到c:\mysql server 5.0\bin下
此外也可以直接在CMD下运行
5.创建MySQL帐户snort和acid
使用IDSCenter或acid 能正常访问MySQL中与snort相关的数据文件,实现语句为:
6.acid用户和snort用户分配相关权限,实现语句为:
6、安装ADODB
解压缩adodb465.zip 至c:\php5\adodb 目录下7、安装JPGRAPH
解压缩jpgraph-2.1.4 .tar.gz 至c:\php5\jpgraph
8、安装 acid
ACID是一种通过Web界面来分析察看Snort数据的工具。它是用PHP编写的,与Snort和MySQL数据库一同工作。
解压缩acid-0.9.6 b23.tar.gz 至C:\apach\Apache2\htdocs\acid 目录
修改acid_conf.php文件为下列格式:注意以写字板打开。
注意:配置完成后要重新启动apache
9、建立acid运行必须的数据库
如下图所示:
数据库以创建好。关闭此页就可以了。
四、配置Snort1. 安装时,有让选择使用那种数据库:选择默认(其他两种数据库需要提前安装SQL Server和Oracle的客户端)。
2. 编辑c:\snort\etc\snort.conf文件为如下格式:(使用写字板编辑)
设置snort 输出alert 到MySQL Server,添加如行
上边的如果不行可以把第二行删掉,试一下。
3. 添加规则库
加压缩snortrules-snapshot-CURRENT.tar.gz文件分别到c:\snort\doc 和c:\snort\rules目录下。
也就是将snortrules-snapshot-CURRENT.tar.gz中的doc目录内容解压到c:\snort\doc目录下
将snortrules-snapshot-CURRENT.tar.gz中的rules目录中的内容解压到c:\snort\rules目录下
4. 测试Snort 是否正常工作
c:\snort\bin>snort -c "c:\snort\etc\snort.conf" -l "c:\snort\log" -i 2 –d -e -X
-X 参数用于在数据链接层记录raw packet 数据
-d 参数记录应用层的数据
-e 参数显示/记录第二层报文头数据
-c 参数用以指定snort 的配置文件的路径
-i 指明监听的网络接口。
如下图所示:
注意会出现如下图的问题
关于Not Using PCAP_FRAMES 的问题,它仅仅是运行snort的时候启动不启动PCAP_FRAMES,启动了能够提高性能,而要启动要提高性能只要设置环境变量就OK了。
设置方法如下图:(注意设置系统变量要重启机器,设置用户变量要注销用户)
设置完成后测试结果为下图:
按Ctrl+c可以结束监控
使用ACID察看检查到的结果
