《入侵检测实验》由会员分享,可在线阅读,更多相关《入侵检测实验(19页珍藏版)》请在金锄头文库上搜索。
1、百度文库让每个人平等地提升自我入侵检测实验04381084043810830438108604381090姚瑞鹏 姚斌 钟俊方 郭睿(-)实验人04软件工(程信息技术)04软件工(程信息技术)04软件工(程信息技术)04软件工(程信息技术)(二)实验目的1 .理解入侵检测的作用和检测原理2 .理解误用检测和异常检测的区别3 .掌握Snort的安装、配置和使用等实用的技术(三)实验设备与环境2台安装Windows XP的PC机,在其中一台主机上安装Windows平台下的Snort2.4.5 软件,一台Windows平台下的安装Nmap软件,通过Switch相连。实验环境的网络拓扑如下图所示,#局
2、域网(四)实验内容与步骤平台下Snort的安装与配置由于需要对网络底层进行操作,安装Snort需要预先安装WinpCap (WIN32平台上 网络分析和捕获数据包的链接库),如图所示:1)安装Snort,双击安装程序进行安装,选择安装目录为D:Snort,2)进行到选择日志文件存放方式时,为简单起见,选择不需要数据库支持或者Snort 默认的MySQL和ODBC数据库支持的方式,如图所示:3)单击“开始”按钮,选择“运行”,输入cmd,在命令行方式下输入下而的命令:C:cd D:SnortbinD: Snortbinsnort -W如果Snort安装成功,系统将显示出如图所示的信息。c C:
3、VINDOVSsyst csL32c*d. oxo |三1一一dynanic-pveprocessor-lib Load a dynamic preprocessor library一-dynanic-preprocessor-lib-dir Load all dynamic preprocessor libraries from directory一一dunp-dynanic-preproc-gennsg Creates gen-msg.nap files of all loaded preprocessor librariesCD: Snortbinsnort -W-* Snort? z
4、Version 2.6.1.5-ODBC-MySQL-FlexRESP-WIN32 By Mart in Roesch & The Snout Team: http:/www.snoxt.org/team.html Copyright 1998-2007 Sourcefipe Inc., et al.InterfaceDeuiceDescript ion 1 DeuiceNPF_GenericDialupfidapter Adapter for generic dialup and UPN capture)2 DeuiceNPF_ SiS NIC SISNIC p DeuiceNPF_ CD:
5、 Snortbin4)从返回的结果可知主机上有哪个物理网卡正在工作及该网卡的详细信息,上图显示 的两张物理地址的网卡。这里我们实用第2张网卡监听。输入snort -v T2命令,-v表示使用 Verbose模式,把信息包打印在屏幕上,-i2表示监听第二个网卡。5)我们在另一台主机上安装Nmap软件,如图所示:为了进一步查看Snort的运行状况,可以人为制造一些ICMP网络流量。如图所示,在局 域网段中的另一台主机()上使用Ping指令,探测运行Snort的主机。C: TIJTO0TSsy3t c32cMd. cxcMicrosoft Windows XP 5.1.2600 版权所有 1985-
6、2001 Microsoft Corp.C: Documcnts and Sett in3EnbcdUscrpinf 192 .1G8.200.1Pinging 192.168.200.1 with 32 bytes of data:Replyfrom192.168.200.1:bytes=32tinielinsTTL=128Replyfrom192.168.200.1:bytes=32tinielinsTTL=128Replyfrom192.168.200.1:bytes=32tinielinsTTL=128Repl yfrom192.168.200.1:hytes=32tiinelinsT
7、TL=128Ping stat istics or 192-168.200.1:rackets: Sent 一 4. Received - 4, Lust - 0 6)回到运行Snort的主机(),发现Snort已经记录了这次探测的数据包,如图所示。 Snort在屏幕上输出了从到的ICMP数据包头.C:IJn)OWSsyst c32cMd. cxcMicrosoft Windows XP 5.1.2600 版权所有 1985-2001 Microsoft Corp.Documents and l?ettingsKEnbedllping 192 .168.2B0.1Reply gply Repl
8、y He plyfrom f rum from from1?2.168.200.1: Jjytes-321?2.168.209.1: hytes=321?2.168.209.1: bytes=321?2.16.200.1: bytes=32t iiQe t line Ins tinelns timelinsTTL-128TTL=128TTL=128HL=128pinging 192 .168 .200.1 v/ith 32 bytos of data:Ping statistics for 192.168.200.1:0 .Packets: Sent = 4, Received = 4, Lo
9、st =Approximate Iound trip times in nilli-seconds:Mininun = 0ms, Maximum = 0ns, Average = 0msp: Documents and Sett ingsFnhedllsep7)打开D: Snortetc,设置Snort的内网和外网检测范围。将文件中的var HOME_NET any语句中的Any改为自己所在的子网地址,即将Snort监测 的内网设置为本机所在的局域网。将Any改为。将皿的纥A a/jy语句中的HOME_NET的值 改为本地网络的标识,即。如图所示:8)配置网段内提供网络服务的IP地址,只需要把
10、默认的$出)亚_妇丁改成对应主机地址即 可。var DNSSERVERS SHOMENET var SMTP_SERVERS $HOME_NETvar HTTPSERVERS $HO1E_NETvar SQL_SERVERS SHOMENETvar TELNET_SERVERS $HOME_NETvar S01P_SERVERS $HOME_NET如果不需要监视某种类型的服务,可以用#号将其注释掉。9)修改设置监测包含的规则。在配置文件末尾,定义了与规则相关的配置,格式如下:include $RULE_PATH/include $RULE_PATH/include $RULE_PATH/变量S
11、RULE_PATH指明了规则文件存放的路径,可以在语句var RULE_PATH . /rules中将 变量RULE_PATH改为存放规则集的目录,如D:snortrules。可以到上下载最新的规则集, 将其解压存放到规则默认路径下。如图所示:10)在中,修改配置文件和的路径:Include D:SnortetcInclude D:Snortetc其中保存的是和规则的警报级别相关的配置,保存了提供更多警告相关信息的链接。如 下图所示:平台下Snort的使用1) Snort嗅探器模式。检测Snort安装是否成功时,用到的就是Snort嗅探器模式,输入命令:snort - v - i2, 使Sno
12、rt只将IP和TCP/UDP/ICMP的包头信息输出到屏幕上。如果要看到应用层的数据,可以 输入命令:snort - v - d - i2如图所示:2)数据包记录器模式。上面的命令只是在屏幕上输出,如果要记录在LOG文件上,需要预先建立一个Log目录, 输入下面的命令启用数据包记录器模式:snort - dve - i2 -1 d:Snortlog -h - K ascii其中-1选项指定了存放日志的文件夹;-h指定目标主机,这里检测对象是局域网段内的 所有主机,如不指定-h,则默认检测本机:选项-K指定了记录的格式,默认是Tcpdump格式, 此处使用ASCII码。在命令行窗口运行了该指令后
13、,打开保存日志的目录。文件口前桁互看9收京矽工具用助电)G后退, .今 按案 义件宾区.壮工 口 D:lSaorVQo6PACKET JT0HTT文件和文件夹任务 公J创建一个新立件英。将这个文件夹发力列目共享比文件夹Snort 统文档 骐椀 网上争居在Log目录下自动生成了许多文件夹和文件,文件夹是以数据包目的主机的IP地址命名, 每个文件夹下记录的日志就是和该外部主机相关的网络流量。打开其中任一个,使用记事本 查看日志文件,会发现文件的内容和嗅探器模式下的屏幕输出类似,如图所示。P (TBP_f38 !38. ids 汜王本W/14-19:55:1H.B59637。:仙:85:FE:C5:7E - FF:FF :FF:FF:FF :FF type:9X800 len:0xF3192.168.200.2:138 - 192.168.200.255:138 UDP TTL:12B T0S:8x0 TD:9237 IpLen:20 DgnLen:229Len: 291 11 02 60 83 Cfi %1 *5 岫 g f ii n3 41 as m 2。ii6 4U i6 M) 与1 H3 41 I3 H1 HE 66 FF 53 W 09 00 99 0。 SO 00 fl0 11 00 06 UM M.
