2.启用PHPMySQL的支持<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

c:\windows\php.ini 安装目录下,找到先前重命名并编辑过的 php.ini ,如下图所示, Ln606 ,把 “;extension=php_mysql.dll” 前的 “;” 去掉,加载 mysql 模块。保存,关闭后,重启 apache 就可以了。这里也可以选择其它要加载的模块,去掉前面的 “;” ,就表示要加载此模块了,加载的越多,占用的资源也就多一点,不过也多不到哪去。所有的模块文件都放在 php 解压缩目录的 “ext” 之下,编辑好后保存,关闭。

 

 

 

 

 

同样,加载了模块后,就要指明模块的位置,否则重启 Apache 的时候会提示 找不到指定模块 的错误,这里介绍一种最简单的方法,直接将 php 安装路径、里面的 ext 路径指定到 windows 系统路径中 —— 我的电脑 上右键, 属性 ,选择 高级 标签,点选 环境变量 ,在 系统变量 下找到 “Path” 变量,选择,双击或点击 编辑 ,将 “;c:\php5;c:\php5\ext” 加到原有值的后面,当然,其中的 “c:\php<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />5” 是我的安装目录,你要将它改为自己的 php 安装目录,如下图所示,全部确定。系统路径添加好后要重启电脑才能生效,可以现在重启,也可以在所有软件安装或配置好后重启。

 

 

 

 

 

此外: 也可以将 c:\php5\ext\ 目录下的 php_mysql.dll 文件复制到 %systemroot%

           c:\php5\ 下的 libmysql.dll 文件复制到 %systemroot%\system32

 

 

 

3.创建Snort运行必须的snort库和snort_archive库:

 

4.建立Snort运行必须的数据表

1. c:\snort\shcemas 目录下的 create_mysql 复制到 c:\mysql server 5.0\bin

 

此外也可以直接在 CMD 下运行

 

5.创建MySQL帐户snortacid

  使用 IDSCenter acid 能正常访问 MySQL 中与 snort 相关的数据文件,实现语句为:

 

 

6.acid用户和snort用户分配相关权限,实现语句为:

 

6、安装ADODB

 

解压缩adodb465.zip c:\php5\adodb 目录下

7、安装JPGRAPH

解压缩jpgraph-2.1.4.tar.gz c:\php5\jpgraph

 

 

8、安装 acid

ACID 是一种通过Web界面来分析察看Snort数据的工具。它是用PHP编写的,与SnortMySQL数据库一同工作。

解压缩acid-0.9.6b23.tar.gz C:\apach\Apache2\htdocs\acid 目录

修改 acid_conf.php 文件为下列格式:注意以写字板打开。

 
 
 
 
 
 
 
 
注意:配置完成后要重新启动 apache

 

9、建立acid运行必须的数据库

如下图所示:

 
 
 
 
 
数据库以创建好。关闭此页就可以了。

四、配置Snort

1.  安装时,有让选择使用那种数据库:选择默认(其他两种数据库需要提前安装 SQL Server Oracle 的客户端)。

2.  编辑 c:\snort\etc\snort.conf 文件为如下格式:(使用写字板编辑)

 
设置 snort 输出 alert MySQL Server ,添加如行

 
上边的如果不行可以把第二行删掉,试一下。

 
3. 添加规则库

加压缩 snortrules-snapshot-CURRENT.tar.gz 文件分别到 c:\snort\doc c:\snort\rules 目录下。

也就是将 snortrules-snapshot-CURRENT.tar.gz 中的 doc 目录内容解压到 c:\snort\doc 目录下

snortrules-snapshot-CURRENT.tar.gz 中的 rules 目录中的内容解压到 c:\snort\rules 目录下

4. 测试 Snort 是否正常工作

c:\snort\bin>snort -c "c:\snort\etc\snort.conf" -l "c:\snort\log" -i 2 d -e -X

-X 参数用于在数据链接层记录raw packet 数据

-d 参数记录应用层的数据

-e 参数显示/记录第二层报文头数据

-c 参数用以指定snort 的配置文件的路径

-i 指明监听的网络接口。

如下图所示:

 
注意 会出现如下图的问题
 
 

关于 Not Using PCAP_FRAMES 的问题,它仅仅是运行 snort 的时候启动不启动 PCAP_FRAMES, 启动了能够提高性能,而要启动要提高性能只要设置环境变量就 OK 了。

设置方法如下图:(注意设置系统变量要重启机器,设置用户变量要注销用户)

 

设置完成后测试结果为下图:

 

 

 

Ctrl+c 可以结束监控

使用 ACID 察看检查到的结果

 

 

 

 

写在最后,贴了两天终于贴完了,这时候我感觉到汪老师写这篇文章真的是呕心沥血啊!!!看了这几篇文章如果你什么也没学到,那就错了,至少我们可以学习到,细心、不怕麻烦的求和精神!!!