本文章同步刊於我的網誌中囉！http://www.wretch.cc/blog/superlevin&article_id=1889897 前言 隨著網路的快速發展，網路安全顯得相當重要。在以往，我們都採用Linux搭配Snort 來作為入侵偵測主機，但對新手或未曾接觸過Linux系統的使用者而言，使用Linux有相 當的門檻。為了使用者安裝及操作方便，在這裡教導各位如何在Windows2000中來建立 免費的Snort偵測系統，藉以偵測從網路而來的入侵者。 安裝文件列表 在正式安裝前，請大家先下載下列檔案 ．appserv-win32-2.4.1.exe 作用：可快速建立Apache/PHP/MySQL環境。 網址：http://www.appservnetwork.com/?modules=&applang=tw 備註：請下載2.4.1版本即可，否則Snort連結至MySQL會產生錯誤。 ．WinPcap_3_0.exe 作用：把網卡設置為“混雜”模式，然後處理網路截取的封包 網址：http://winpcap.polito.it/default.htm ．Snort_232_Build12_Installer.exe 作用：Windows版的Snort安裝程式 網址：http://www.snort.org/ ．acid-0.9.6b23.tar.gz 作用：PHP網頁模式的入侵偵測資料庫分析控制台。 網址：http://www.cert.org/kb/acid/ ．adodb461.zip 作用：PHP資料庫程式庫 網址：http://adodb.sourceforge.net/ ．jpgraph-1.17.tar.gz 作用：Object-Oriented圖形程式庫For PHP 網址：http://www.aditus.nu/jpgraph/ 安裝步驟 一、首先安裝appserv-win32-2.4.1.exe。 二、安裝完畢後，至C:\WINNT開啟php.ini這個檔案，尋找 allow_call_time_pass_reference=Off字串，將它更改為 allow_call_time_pass_reference=On後，存檔離開。 三、『開始』→『程式集』→『Appserv』→『Apache Control Server』 →『Apache Monitor』，會出現在系統列（小時鐘旁邊），按右鍵 『Open Apache Monitor』開啟後，按下『restart』重新載入php.ini 四、開啟IE，網址打入自己的IP位址(http://localhost)測試Appserv是否安裝成功。 五、安裝WinPcap_3_0.exe。 六、安裝Snort_232_Build12_Installer.exe 七、進入http://localhost/phpmyadmin新增Snort使用者 使用者名稱:snort 主 機:% (設定任何主機都可登入) 密 碼:(自己設定) 確認密 碼:(自己設定) 八、建立snort與snort_archive資料庫。 九、匯入C:\Snort\schemas內之create_mysql為snort與snort_archive資料庫資料庫結構。 十、解壓縮adodb461.zip至C:\Appserv\php\adodb目錄中 十一、解壓縮jpgraph-1.17.tar.gz至C:\Appserv\php\jpgraph目錄中 十二、解壓縮acid-0.9.6b23.tar.gz至C:\Appserv\www\acid目錄中 十三、編輯C:\Appserv\www\acid\acid_conf.php檔案如下(利用尋找功能去修改字串) $DBlib_path="c:\appserv\php\adodb" $alert_dbname = "snort"; $alert_host = "localhost"; $alert_port = ""; $alert_user = "root"; $alert_password = ""; $archive_dbname = "snort_archive"; $archive_host = "localhost"; $archive_port = ""; $archive_user = "root"; $archive_password = ""; $ChartLib_path = "C:\AppServ\php\jpgraph\src"; 十四、建立acid所需要的資料庫，使用IE進入http://localhost/acid/acid_db_setup.php 依照指示建立即可。 十五、編輯C:\Snort\etc\snort.conf檔案如下 var RULE_PATH c:\snort\rules output database: alert, mysql, user=snort password=snort dbname=snort host=localhost(與上一行為同一行) include C:\Snort\etc\classification.config include C:\Snort\etc\reference.config 十六、至C:\Snort\bin\目錄底下新增runsnort.bat檔案，內容如下 snort -c "c:\snort\etc\snort.conf" -l "c:\snort\log" -d -e -X 十七、『開始』→『執行』鍵入cmd進入命令提示字元模式，鍵入 『cd c:\snort\bin』至C:\snort\bin目錄下，再鍵入『runsnort』。 十八、開啟後勿關閉視窗。回到IE打入http://localhost/acid觀看，即完成Snort設定。 ======================================================================= 補充: 安裝SAM(Snort Alert Monitor) 安裝文件列表 ．j2re-1_4_2_07-windows-i586-p.exe 功用:Java Runtime Environment，安裝後才能執行sam.jar程式 網址:http://java.sun.com/j2se/1.4.2/download.html ．sam_20050206_bin.zip 功能:Snort監控程式 網址:http://freesoftware.lookandfeel.com/sam/ 安裝步驟 一、安裝j2re-1_4_2_07-windows-i586-p.exe後，解壓縮 sam_20050206_bin.zip至C:\SAM目錄中，利用JRE開啟 sam.jar程式。 二、Database Login畫面中設定 hostname→localhost:3306 Database→snort username→snort password→(剛才在mysql設定snort的密碼) 按下OK即可。 ====================================================================== 程式不是寫來玩的 而是要創造價值

------
林壽山
網站: http://superlevin.ifengyuan.tw
mail: superlevin@gmail.com

請問...那如果要在WinXP架設ㄋ??? 我是過以您文章所提供ㄉ方法...但是不能成功架在xp的作業系統上!! 是方法不一樣ㄇ??還是我還有什ㄇ地方要改?!

您好！請大致敘述安裝過程～ 以及出現什麼錯誤訊息^^

引言: 請問...那如果要在WinXP架設ㄋ??? 我是過以您文章所提供ㄉ方法...但是不能成功架在xp的作業系統上!! 是方法不一樣ㄇ??還是我還有什ㄇ地方要改?!

為錢做事，容易累；為理想做事，能夠耐風寒；為興趣做事，則永不倦怠。

在執行"runsnort"之後，顯示錯誤是找不到"c:snort\ect\snort.conf"... 在安裝過程中，在第15個步驟您說要修改"var RULE_PATH C:\snort\rules"及以下的程式碼"output database:..."的那邊，我不了解的地方是"output database:..."那邊以及之後那幾行程式是直接打上去ㄇ??還是要修改程式裡其他出現相關的內容??如果我沒看錯的話，好像其他地方都是註解ㄟ...= =? 謝謝!!