




下載本文檔
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、局域網(wǎng)中構(gòu)建入侵檢測(cè)系統(tǒng) 作者:佚名 來源:IT 加入時(shí)間:2005-3-5 隨著網(wǎng)絡(luò)的不斷發(fā)展,網(wǎng)絡(luò)安全也越來越受到關(guān)注,原有的防火墻已經(jīng)越來越難以獨(dú)立保障網(wǎng)絡(luò)的安全,這其中包含很多原因,主要是由于防火墻始終在明處抵擋外來的攻擊,黑客針對(duì)防火墻的手段不斷翻新,讓它防不勝防,另一方面,很多攻擊來源于網(wǎng)絡(luò)內(nèi)部,例如內(nèi)部用戶的越權(quán)操作或惡意破壞等,這些都對(duì)網(wǎng)絡(luò)安全構(gòu)成了極大的威脅。為更全面的保護(hù)網(wǎng)絡(luò)不受攻擊,入侵檢測(cè)系統(tǒng)將發(fā)揮出不可替代的作用。首先入侵檢測(cè)是被動(dòng)式的,它的傳感器節(jié)點(diǎn)可以遍布在網(wǎng)絡(luò)中,攻擊者不易覺察,即使有個(gè)別點(diǎn)被破壞,也不會(huì)全部癱瘓。其次,入侵檢測(cè)的傳感器節(jié)點(diǎn)處在內(nèi)部網(wǎng)絡(luò)中,可以很
2、好的發(fā)現(xiàn)并杜絕內(nèi)部用戶的越權(quán)操作。由此可見,將防火墻和入侵檢測(cè)結(jié)合起來使用可以更有效的保證網(wǎng)絡(luò)安全。本文將介紹一個(gè)輕載的建立在windows平臺(tái)上的入侵檢測(cè)系統(tǒng)winsnortacid1.7的安裝和使用,所謂輕載是指該軟件在運(yùn)行的時(shí)候只占用極少的網(wǎng)絡(luò)資源,對(duì)原有網(wǎng)絡(luò)性能影響很小。以下將分步介紹winsnortacid1.7的安裝過程。snort是自由軟件,可以從Internet上免費(fèi)下載, 要完整的安裝winsnortacid1.7必須先從snort()的站點(diǎn)上下載以下軟件:Snort (Win32 MySQL Binary!) 1.7.1;Snort Rules 1
3、.7;WinPcap 2.2;MySQL Shareware 3.23.40;"create_mysql" database creator;PHP 4.0.6;ADODB 1.1.2;ACID 0.9.6b6;萬事俱備后就可以開始安裝了。A、安裝Snort MySQL Version 1.71. 在C盤生成5個(gè)目錄:"C:Snort" , "C:SnortPHP”, "C:SnortADODB", "C:SnortBin" , "C:SnortLogs";2. 將Snort (Win
4、32 MySQL Binary!) 1.7.1解壓到"C:SnortBin"目錄;3. 將Snort Rules 1.7解壓到"C:SnortBin",覆蓋原有的rules;4. 用寫字板打開并編輯C:SnortBin 目錄下的snort.conf,找到"var HOME_NET any"語句,如果想監(jiān)測(cè)所有網(wǎng)絡(luò),假設(shè)主機(jī)的IP為0,則改為/24,如果只想監(jiān)測(cè)本機(jī)則改為0/32,不改動(dòng)則缺省是監(jiān)測(cè)所有的網(wǎng)絡(luò);5. 在snort.conf中查找以下語句:(引號(hào)以內(nèi))"output
5、 database: log, mysql, user=snort dbname=snort host=localhost";如果有同樣的語句,就刪除掉該句前的注釋符”#”,沒有就添加這條語句;6. Snort.conf文件中的每個(gè)INCLUDE *.rules文件都必須寫上完整的路徑。如下例所示: include c:snortbinexploit.rules7. 安裝WinPcap.exe;8. 重新啟動(dòng)計(jì)算機(jī);B、安裝MySQL Database1. 如果在Windows 2000或XP Server或Advanced Server中運(yùn)行了終端服務(wù),那就必須從控制面板中的添加/
6、刪除中安裝MySQL。否則就可以直接雙擊setup運(yùn)行;2. 選擇所有的缺省設(shè)置,確保安裝在c:根目錄;3. 如果一切正常,會(huì)在托盤中生成一個(gè)MySQL圖標(biāo)。筆者試著裝了兩次,雖然都沒有報(bào)錯(cuò),但也沒有在托盤中自動(dòng)生成小圖標(biāo)。不過,不要緊只要打開c: MySQLbin目錄下的winmysqladmin.exe,就都搞掂了;4. 右鍵單擊托盤中的MySQL圖標(biāo),選擇Show Me;5. 選擇Start Check活頁,那里的一切都應(yīng)該顯示ok或yes。如果沒有這樣,就重新啟動(dòng)一次計(jì)算機(jī)再檢查一次;6. 選擇my.ini setup活頁,輸入用戶名和密碼,然后點(diǎn)擊Save Modifications
7、按鈕,保存修改的文件;7. 點(diǎn)擊Create Shortcut on Start Menu按鈕,將在啟動(dòng)組里添加MySQL。以后每次重新啟動(dòng)計(jì)算機(jī)時(shí),MySQL都會(huì)自動(dòng)啟動(dòng);C、生成一個(gè)Win32 MySQL database1. 右鍵單擊托盤內(nèi)的MySQL圖標(biāo),選擇Show Me,MySQL顯示在屏幕上,選擇database活頁,右鍵單擊服務(wù)器名,選擇Create Database,輸入數(shù)據(jù)庫名snort。2. 要在命令模式下產(chǎn)生一個(gè)用戶,在命令模式下進(jìn)入C:MySQLBin目錄,輸入MySQL,此時(shí)屏幕上會(huì)顯示mysql>,輸入:u mysql;<回車>再輸入:grant
8、 INSERT,SELECT,CREATE,DELETE on snort.* to snortlocalhost; <回車>;確定用戶已經(jīng)添加進(jìn)去,在"mysql> "模式下輸入:u mysql <回車>,3. 在"mysql> "模式下輸入:show tables;(會(huì)看到一個(gè)列表,顯示了user entry),4. 在"mysql> "模式下輸入:select * from user;(會(huì)看到列出了用戶snort);D、在MySQL中生成Acid的庫表1. 拷貝"create_
9、mysql"文件到C:MySQLBin目錄;2. 在命令模式下進(jìn)入到"C:MySQLBin"目錄,輸入:MySQL -u snort snort < C:MySQLBincreate_mysql;為了確信這些列表確實(shí)添加了,可以打開MySQL,選擇Database活頁,再選擇Snort數(shù)據(jù)庫,這時(shí)會(huì)看到生成的數(shù)據(jù)庫列表;如果系統(tǒng)報(bào)錯(cuò),不能添加列表進(jìn)去,可以嘗試輸入以下語句:MySQL -u snortlocalhost snort < C:MySQLBincreate_mysql.txt;E、測(cè)試Snort1. 在命令模式下進(jìn)入到"C: Sn
10、ort Bin"目錄,輸入:Snort W,會(huì)看到羅列出的很多適配器,可以在他們上面安裝入侵檢測(cè)的傳感器,這些適配器分別編號(hào)為:1,2,3,等;2. 在"C:SnortBin> "模式下輸入:snort -v ix(X是傳感器的編號(hào),筆者選用了本機(jī)作為傳感器,輸入了snort -v i1);打開瀏覽器,隨便訪問一些網(wǎng)址,目的是為了生成一些網(wǎng)絡(luò)流量,在windows的命令窗口中你將會(huì)看到所有連接的具體信息;3. 在任務(wù)管理器中關(guān)掉這個(gè)進(jìn)程;4. 再回到命令模式,在"C:SnortBin> "下輸入:Snort -c C:SnortBi
11、nSnort.conf -l C:SnortLogs ix(X是傳感器的編號(hào)),如果不出意外,Snort會(huì)在"C:SnortLogs"目錄下生成一個(gè)Alert.ids文件,筆者按照此方法做時(shí),系統(tǒng)報(bào)錯(cuò),后改為以下語句:Snort -c C:SnortBinSnort.conf -l C:SnortLogs;最終在"C:SnortLogs"目錄下成功生成一個(gè)Alert.ids文件,該文件可以用寫字板打開查看;5. 再在任務(wù)管理器中關(guān)掉這個(gè)進(jìn)程;F、將Snort設(shè)置成為windows NT4 Server / 2000 / XP的一項(xiàng)服務(wù)1. 首先,需要安裝
12、兩個(gè)windows資源工具:srvany.exe,instsrv.exe(這兩個(gè)軟件可以從G上搜索到)。并將它們放到本機(jī)的根目錄,在筆者機(jī)上的目錄是d:winnt,在其他機(jī)子上可能會(huì)是c:WINDOWS或c:winnt。2. 在運(yùn)行一欄中敲入cmd后回車,進(jìn)入命令模式;3. 必須先安裝SRVANY服務(wù),在命令模式中輸入INSTSRV SrvAny srvany.exe,其中是指srvany.exe放置的具體位置(筆者機(jī)子位置是d:winnt);4. 在命令模式下輸入INSTSRV.EXE snort SRVANY.EXE,其中是指srvany.exe放置的具體位置(筆者機(jī)子位置是d:winnt
13、);5. 在運(yùn)行框中添入regedit,開始編輯注冊(cè)表。(首先備份原有的注冊(cè)表文件,在注冊(cè)表菜單下點(diǎn)擊導(dǎo)出注冊(cè)表文件,然后保存即可);6. 在注冊(cè)表中找到子項(xiàng):HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSnort,并且選中它;7. 從編輯菜單中選擇新建,選擇項(xiàng),然后輸入Parameters;8. 選中Parameters項(xiàng),右鍵單擊,選擇新建,字符串,輸入Application;9. 右鍵單擊Application,選擇修改,輸入C:SnortBinSnort.exe;10. 選中Parameters項(xiàng),右鍵單擊,選擇新建,字符串,輸入A
14、ppParameters;11. 右鍵單擊AppParameters,選擇修改,輸入-c C:SnortBinSnort.conf -l C:SnortLogs -ix(x為傳感器編號(hào),本機(jī)輸入的是1);12. 選中Parameters項(xiàng),右鍵單擊,選擇新建,字符串,輸入AppDirectory;13. 右鍵單擊AppDirectory,選擇修改,輸入C:Snort;14. 從開始菜單-程序->管理工具,打開服務(wù),右鍵單擊snort,選擇屬性,選擇啟動(dòng)方式為自動(dòng)。至此snort已經(jīng)成功的安裝在你的主機(jī)上了,但是為了方便管理,它還提供了一套配套的基于web頁面的管理方式。具體安裝方式如下:
15、G、安裝PHP1. 將PHP解壓到C:SnortPHP目錄。2. 拷貝文件php.ini-dist到本機(jī)的根目錄,并將它改名為php.ini。3. 注意:筆者機(jī)子的根目錄是d:winnt,其它的有可能是c:windows。4. 用寫字板打開php.ini,修改以下兩個(gè)變量:1) max_execution_time = 602) session.save_path = "Temp" folder.注意:指的是本機(jī)的根目錄,筆者機(jī)子的根目錄是d:winnt,其它的有可能是c:windows。H、配置PHP運(yùn)行在NT Server / 2000 / XP的IIS 4/5環(huán)境下1
16、. 打開管理工具中的Internet管理工具;2. 右鍵單擊默認(rèn)web站點(diǎn),選擇屬性;3. 在主目錄活頁下,點(diǎn)擊配置按鈕,選擇應(yīng)用程序映射;4. 點(diǎn)擊添加按鈕,在可執(zhí)行程序框內(nèi)添入c:snortphpphp.exe5. 在下面的擴(kuò)展名框中添入.php;6. 選擇腳本引擎;7. 點(diǎn)擊確定即可。I、安裝ADODB 一個(gè)高性能的數(shù)據(jù)庫庫1. 解壓ADODB到C:SnortADODB目錄,編輯ADODB.INC.PHP,找到$ADODB_Database,輸入修改為$ADODB_Database = 'C:Snortadodb'2. 解壓并移動(dòng)Acid到缺省的web站點(diǎn)目錄下,筆者機(jī)子為d:Inetpubwwwroot3. 配置acid目錄下的acid_conf.php,只需要修改以下變量:$DBlib_path = "C:SnortADODB"$alert_dbname = "snort"$alert_host = "localhost"$alert_port = ""$alert_user = "snort"$alert_password = ""4. 重新啟動(dòng)計(jì)算機(jī)5. 打開瀏覽器輸入http:/localhost/Acid/I
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 帕金森居家護(hù)理實(shí)務(wù)指南
- 輻照機(jī)構(gòu)質(zhì)量協(xié)議書
- 輔導(dǎo)機(jī)構(gòu)加盟協(xié)議書
- 車輛使用調(diào)度協(xié)議書
- 代理批發(fā)或銷售協(xié)議書
- Brand KPIs for shoes Johnston Murphy in the United States-外文版培訓(xùn)課件(2025.2)
- 超市加盟合同協(xié)議書
- 青蟹買賣合同協(xié)議書
- kva箱變技術(shù)協(xié)議書
- 農(nóng)村房基地轉(zhuǎn)讓協(xié)議書
- 江蘇醫(yī)療美容主診醫(yī)師
- DB50T 1579-2024 大米生產(chǎn)加工技術(shù)規(guī)范
- 家電售后服務(wù)管理辦法
- 《工程造價(jià)管理 第2版》 課件 第一章 工程造價(jià)管理概論
- 2023年中考語文非連續(xù)性文本閱讀練習(xí)題匯編(含答案)
- 經(jīng)典音樂配樂課
- 南宋官窯教學(xué)課件
- 呼吸功能的監(jiān)測(cè)與護(hù)理
- 嬰兒椅設(shè)計(jì)研究報(bào)告總結(jié)
- 自動(dòng)化機(jī)構(gòu)設(shè)計(jì)基礎(chǔ)
- 厭學(xué)怎么辦-主題班會(huì)課件
評(píng)論
0/150
提交評(píng)論