Snort的配置与使用.pptVIP

第六章 Snort的配置与使用;本章内容;6.1 SNORT的安装与配置;一、Snort简介;1. Snort的组成 数据包解码器 检测引擎 日志和报警子系统;;4. Snort的工作模式（3种） 嗅探器——嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。 ./snort –v ./snort –vd ./snort –vde 数据包记录器——数据包记录器模式把数据包记录到硬盘上。 ./snort –dev –l ./log ;网络入侵检测系统——网络入侵检测模式是最复杂的，而且是可配置的。用户可以让Snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。 ./snot –dev –l ./log –c snort.conf ;二、Snort软件的下载;辅助软件： Acid（Analysis Console for Intrusion Databases ）? 基于PHP的入侵检测数据库分析控制台 ADOdb(ADOdb Database Abstraction Library) Adodb库为PHP提供了统一的数据库连接函数 Apache Windows版本的Apache Web 服务器 Jpgraph PHP所用图形库 Mysql Windows版本的Mysql数据库， 用于存储snrot的日志，报警，权限等信息 PHP Windows中PHP脚本的支持环境;三、 Windows环境下Snort的安装;;为用户分配权限 （mysql）grant usage on *.* to acid@loacalhost identified by “acidPwd”; (mysql）grant select,insert,update,delete,create,alter on snort.* to acid@localhost; ;需要了解的Mysql命令： 显示数据库列表: show databases; 显示库中的数据表： use mysql; show tables; 建库与删库： create database 库名; drop database 库名; ;15;16;激活和配置ACID 解压缩acid至apache安装目录的htdocs\acid目录下 修改\htdocs\acid下的acid_conf.php文件 DBlib_path = C:\php\adodb; $DBtype=”mysql”; $alert_dbname = snort; $alert_host = localhost; $alert_port = 3306; $alert_user = acid; $alert_password = acidpwd; ; /* Archive DB connection parameters */ $archive_dbname = snort_archive; $archive_host = localhost; $archive_port = 3306; $archive_user = acid; $archive_password = acidpwd; $ChartLib_path=”C:\php\jpgraph\src”;;:50080/acid/acid_db_setup.php ;配置并启动snort 打开C:\snort\etc\snort.conf文件，将文件中的下列语句： include classification.config include reference.config 修改为绝对路径： include C:\snort\etc\classfication.config include C:\snort\etc\reference. config 在该文件的最后加入下面语句： 目的：将日志记录到数据库中 output database: alert,mysql,host=localhost user=snort password=snortpwd dbname=snort encoding=hex detail=full;;22;23;24;四、Snort的配置;设置网络相关变量 Snort.conf中的主要环境变量有： var HOME_NET any 本地网络 var EXTERNAL_NET any 外地网络 var DNS_SERVER $HOME_NET var HTTP_SERVER $HOME_NET var SQL_SERVER $HOME_NET var TELNET_SERVER $HOME_NET var SNMP_SERVER $HOME_