实验三 入侵检测工具.docVIP

实验三 入侵检测工具 1． 实验目的 2． 实验原理 入侵检测系统即Intrusion Detection System，简称为IDS。IETF将一个入侵检测系统分为四个组件：事件产生器（Event generators）、事件分析器（Event analyzers）、响应单元（Response units ）、事件数据库（Event databases ）。IDS不同于防火墙，入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。 3． 实验环境 装有Windows 2000/XP系统的计算机，局域网或Internet 4． 实验步骤 安装Apache 选择定制安装，安装路径修改为c:\apache，这样与后面的参数设置保持一致。 在命令行窗口输入下面的命令，启动Apache 服务。 net start apache2 安装PHP 解压缩php-4.3.2-Win32.zip 至c:\php； 拷贝php4ts.dll 至C:\WINDOWS\system32； 拷贝php.ini-dist 至C:\WINDOWS\php.ini； 修改php.ini extension=php_gd2.dll 拷贝c:\php\extension\php_gd2.dll C:\WINDOWS\ （注：以上添加gd 图形库支持） 在httpd.conf 中添加 LoadModule php4_module c:/php/sapi/php4apache2.dll AddType application/x-httpd-php .php 在c:\apache2\htdocs 目录下新建test.php文件，test.php 文件的内容为：?phpinfo()? 打开浏览器，输入/test.php，测试php 是否安装成功。安装成功后的页面为： 图1 安装配置Mysql数据库 默认安装到c:\mysql，新建my.ini并复制到C:\WINDOWS\下，其中my.ini的内容为： [mysqld] basedir=c:\mysql bind-address= datadir=c:\mysql\data 启动Mysql服务，在命令行窗口执行命令： mysqld –install net start mysql 配置root口令： c:\cd mysql\bin c:\mysql\binmysql mysqlset password for root@localhost = password(‘newPWD’)； 注意：这里newPWD为此处为用户自己设置的密码。 以root身份登陆： Mysql –u root –p 安装snort 默认安装到c:\snort下，然后在命令行窗口输入下面的命令，建立snort 运行必须的snort 库和snort_archive 库： mysqlcreate database snort; mysqlcreate database snort_archive; 下一步在命令行使用c:\snort\contrib 目录下的create_mysql 脚本建立 Snort 运行必须的数据表： c:\mysql\bin\mysql -D snort -u root -p c:\snort\contrib\create_mysql; c:\mysql\bin\mysql –D snort_archive -u root -p c:\snort\contrib\create_mysql; 在命令行窗口建立acid 和snort 用户，或者采用phpmyadmin进行操作： mysql grant usage on *.* to acid@localhost identified by acidpassword; mysql grant usage on *.* to snort@localhost identified by snortpassword; 然后为acid 用户和snort 用户分配相关权限： mysqlgrant select,insert,update,delete,create,alter on snort .* to acid@localhost; mysqlgrant select,insert on snort .* to snort@localhost; mysqlgrantselect,insert,update,delete,create,alter on snort_archi