基於windows的IDS配置徹底攻略二
安裝基本的Windows***檢測系統(WinIDS)mysql
預安裝任務web
提示:下列任務這些必須在安裝WinIDS前完成sql
提示:數據庫
1.在一些狀況下微軟系統默認安裝IIS。要保證在開始安裝WinIDS前IIS已被移除(IIS的默認網站會佔用80端口)。服務器
2.進入到網絡
C:\Windows\system32\drivers\etc
適用寫字板打開hosts文件,將本機ip winids加入到文件中(以下所示),保存退出。less
在命令行中使用ping winids測試。連通便可。tcp
3.將下載的AIO軟件包解壓縮ide
安裝WinPcap測試
一路next,finish便可。
安裝和配置Snort
1.安裝Snort程序到c:\snort
提示:在安裝開始的第二個步「Install Options」處,因爲Snort的全部Windows版本已經默認支持將日誌記錄到Mysql和ODBC數據庫服務器,因此此處能夠選擇第一個單選按鈕或者能夠選擇其它兩個以添加額外的數據庫支持。
Snort安裝第二步圖示
2.將snortrules-snapshot-CURRENT.zip中的文件解壓到c:\snort相應文件夾中。
解壓snortrules-snapshot-CURRENT.zip完成後咱們會看到下圖
把文件夾rules裏面的文件複製到c:\snort\rules文件夾下
把文件夾so_rules複製到c:\snort文件夾裏面
把doc文件夾下面的文件夾signatures複製到c:\snort\doc文件夾下,覆蓋已有的文件夾。
3.進入c:\snort\etc
使用寫字板編輯snort.conf文件,以下所示:
提示:使用寫字板中的「查找」尋找下列變量。
全部更改內容以下所示:
原始
var HOME_NET any
現狀
var HOME_NET 192.168.1.0/24
原始
var EXTERNAL_NET any
現狀
var EXTERNAL_NET !$HOME_NET
原始
var RULE_PATH ../rules
現狀
var RULE_PATH c:\snort\rules
原始
# config detection: search-method lowmem
現狀
config detection: search-method lowmem
原始
dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
現狀
dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor
原始
dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
現狀
dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll
提示:查找條目
preprocessor stream4_reassemble' (less the quotes)’
並添加下面一行到該條目之下。
preprocessor stream4_reassemble:both,ports 21 23 25 53 80 110 111 139 143 445 513 1433
提示:查找條目
Preprocessor sfportscan' (less the quotes)’
並改變下一行。
原始
sense_level { low }
現狀
sense_level { low } \
在上一行下面加入:
logfile { portscan.log }
提示:在
# output log_tcpdump: tcpdump.log
下插入下一行:
output alert_fast:alert.ids
原始
# output database: log, mysql, user=root password=test dbname=db host=localhost
現狀
output database: log,mysql,user=snort password=snort dbname=snort host=winids sensor_name=WINIDS
原始
include classification.config
現狀
include c:\snort\etc\classification.config
原始
include reference.config
現狀
include c:\snort\etc\reference.config
原始
# include threshold.conf
現狀
include c:\snort\etc\threshold.conf
保存並退出。
四、測試Snort安裝
打開命令行,進入snort\bin的目錄,在提示符下輸入
cd c:\snort\bin 回車
在命令提示符下輸入
snort –W 回車。以下圖所示
提示:當’-W’參數被使用的時候,Snort將探測多個接口,而且以數字(1-x)形式顯示。Snort須要知道有哪些接口能夠監控,若是沒有發現網絡接口,安裝必須中止直到問題解決。
When the -W switch was used in the above run line, Snort may have detect multiple interfaces, and displayed then by numbers (1-x). Snort will need to know which interface to monitor. If No interface are found, the install MUST stop until the problem is corrected.
提示:下面的過程須要將WinIDS鏈接到網絡,而且須要產生通信。這裏咱們用的是在8號機上創建一臺web服務器,輸入完成snort –v –i2這個命令後,讓5號機去訪問8號機就能夠看到以下圖所示的數據了。
從命令行輸入
snort –v –i2 回車。以下圖所示
使用虛擬機獲取的Snort –v –i2效果圖
提示:這將以詳細輸出模式運行snort,並在接口2上探測通信。
提示:若是隻有一個網卡,由於通信的產生咱們應該會在命令行窗口看到流經的數據統計,若是探測器上裝有多個網卡而且在命行行窗口看不到數據統計,並且snort也在運行中,那麼從任務管理器中止snort,而後改變’snort –v –iN’中N的值再次運行snort,直到有通信數據統計出如今命令行窗口中。
提示:N的值須要記住,以備配置文件中使用
命令行中使用’CTRL+C’或者經過任務管理器來結束Snort
**********************提示直到看到這個上面的這個圖,不然實驗不能繼續。***********************
- 1. 基於windows的IDS配置徹底攻略三
- 2. 基於windows的IDS配置徹底攻略五
- 3. 基於windows的IDS配置徹底攻略四
- 4. 基於windows的IDS配置徹底攻略一
- 5. Centos7 ISCSI配置 徹底攻略
- 6. BOOST 線程徹底攻略 - 基礎篇
- 7. ClearCase徹底攻略目錄
- 8. BOOST 線程徹底攻略
- 9. Java對象徹底攻略
- 10. Windows 2003 DNS配置攻略
- 更多相關文章...
- • Spring基於Annotation裝配Bean - Spring教程
- • Spring基於XML裝配Bean - Spring教程
- • ☆基於Java Instrument的Agent實現
- • Kotlin學習(二)基本類型
-
每一个你不满意的现在,都有一个你没有努力的曾经。