基于snort base mysql 的入侵检测系统
- 安装服务启动器 apache
- 安装数据库 mysql
- 下载php
- 以上三步推荐使用Appserv集成度好,不需要动脑子
- 相关资源(访问码:zqr7)
- 将snort路径位于c:\snort中 !!!,不然自己要配置路径,很麻烦
- 启动appserv 登录localhost 按照pdf修改网页内容,
snort/etc/snort.conf不要动,修改好的。 - 可以到使用
c:\snort\bin\snort -i1 -c c:\snort\etc\snort.conf -l c:\snort\log -T看一下是否有错 - 主要-i 后面是网卡的索引号,使用到bin目录下的snort -W看下自己的index 一般来讲 看见网卡描述是厂商的名字的就选对应的index,但是此电脑中没有描述,一个个试过来。
c:\snort\bin\snort -i1 -c c:\snort\etc\snort.conf -l c:\snort\log -A fast可以将记录写入log\alert.ids里面可以看一下c:\snort\bin\snort -i1 -c c:\snort\etc\snort.conf -l c:\snort\log -dev刷新base看入侵尽量
- 注意网卡的选择,要输入命令运行snort后,alert.ids没东西,大多数就是网卡有错。
- debug的时候可以只保留一个规则,如local.rules
alert icmp any any -> $HOME_NET any (msg:"SNORT:any host ping this host";sid:201900003; rev:1;)看base是不是有icmp的alert
启动脚本位于bin下,-i后设为自己的网卡索引 attack3 默认获取的是本机ip,虚拟可以将ip赋值常量。