基於windows的IDS配置徹底攻略一

本例當中全部的軟件均可以在下列地址下載：

W W W . rayfile. com /files/ fb1a6ef3-5b19-11de-9e95-0014221b798a
解壓密碼：suodihai

本例視頻文件exe格式，有配音可在下列地址下載：

W W W . rayfile. com /files/ 95ad02d1-5bfc-11de-9649-0014221b798a 

解壓密碼：suodihai

因爲51cto不容許發佈連接  你們把上面的地址複製，把空格去掉便可下載

以上連接若是失效請發電子郵件至： suodihai@foxmail.com查詢

 

 

 

 

 

 

 

 

 

 

 

 

 

 

介 紹

WinIDS以其安裝的簡便著稱（-_-！）。在大多數環境下安裝Windows Instrusion Detection System（Windows***檢測系統）是一個很是簡單的過程，一般花費不到一個小時的時間來完成之。本文介紹使用世界知名的SNORT***檢測引擎、MySQL數據庫、Apache Web服務器和BASE（Basic Analysis and Security Engine，Kevin Johnson）來部署一個Windows***檢測系統的主控端或者單獨的Windows***檢測系統。

咱們把全部相關須要的軟件作成了一個AIO（即All IN ONE）軟件包，下面是關於其中咱們用到的主要軟件包的描述。

Apache Web Server ：這是主要的Internet Web站點的服務器軟件，爲咱們的BASE安全控制檯提供運行平臺。

Snort ：Snort是一個輕量的網絡***檢測系統，用於在IP網絡上實施實時的通信分析和包日誌記錄。這是咱們用來在網絡上收集信息的軟件。

WinPcap: WinPcap 是由伯克利分組捕獲庫派生而來的分組捕獲庫，它是在Windows 操做平臺上來實現對底層包的截取過濾。WinPcap 爲用戶級的數據包提供了Windows 下的一個平臺。WinPcap 是 BPF 模型和 Libpcap 函數庫在 Windows 平臺下網絡數據包捕獲和網絡狀態分析的一種體系結構，這個體系結構是由一個核心的包過濾驅動程序，一個底層的動態鏈接庫 Packet.dll 和一個高層的獨立於系統的函數庫 Libpcap 組成。底層的包捕獲驅動程序實際爲一個協議網絡驅動程序，經過對 NDIS 中函數的調用爲 Win9五、Win9八、WinNT、和 Win2000 提供一相似於 UNIX 系統下 Berkeley Packet Filter 的捕獲和發送原始數據包的能力。Packet.dll 是對這個 BPF 驅動程序進行訪問的 API 接口，同時它有一套符合 Libpcap 接口（UNIX 下的捕獲函數庫）的函數庫。

MySQL Server ：MySQL 是一個基於SQL的應用於衆多平臺的數據庫服務器，咱們用它來存儲Snort的告警信息。全部的來自IDS探測器的告警信息都被存儲在咱們的MySQL數據庫中。

ADODB ：PHP中一個對象導向的數據庫封包連接庫，它提供了共通的應用程序接口來跟全部支持的數據庫溝通，簡化了你的程序的數據庫移植性操做。ADODB是Active Data Object DataBase的縮寫，目前支持MySQL、PostgreSQL、Oracle、Interbase、Microsoft SQL Server、Access、FoxPro、Sybase、ODBC及ADO。

PHP: 這是一個普遍使用的通用腳本語言，特別適用於Web開發而且能夠被嵌入到HTML中。

Basic Analysis and Security Engine (BASE): BASE是一個用來查看Snort IDS告警的Web應用程序。BASE is a web-based application for viewing Snort IDS alerts. 全部探測器的信息在這裏被加工整理以方便查看。

正式開始前：請注意如下條件！

強制的先決條件

只能使用包含在咱們的AIO軟件包中的程序

乾淨的Windows 2000/XP/Vista/2003安裝

全部SP包和補丁均已安裝

系統分區（好比C:\）最小5G

WinIDS分區（好比D:\）10G以上

保證探測器擁有靜態TCP/IP設置而且接入網絡

在WinIDS上解除全部防火牆應用程序

新的WinIDS探測器必須被容許接觸全部網絡通信。這能夠經過將探測器接入擁有端口映射功能的交換機上，hub上，或者是一個網絡節點處。

* 在開始安裝前，咱們強烈建議您使用MBSA（ Microsoft Baseline Security Analyzer）解決全部的安全問題。

說明：本譯文使用C盤做爲WinIDS的分區。

你們看看兩幅圖知道個人2臺電腦的環境

                                 5號機的ip地址

                                            8號機的ip地址