《入侵检测课程设计.doc》由会员分享,可在线阅读,更多相关《入侵检测课程设计.doc(31页珍藏版)》请在金锄头文库上搜索。
1、一、Snort 的安装、配置和使用1.1 试验目的(1) 把握在 linux下的 snort工具的安装、配置、使用方法,实现捕获 Telne、t 等协议的数据包。(2) 利用 snort的检测功能,完成对一些攻击的检测.加深对各种攻击软件的了解.FTP 、(3) 协作课堂授课内容,全面了解 snort这个有名的开源入侵检测工具的实现方法和原理.(4) 为利用第三方软件分析进一步分析数据打下根底。1.2 试验内容(1) 进一步生疏 linux下的根本命令,安装配置 snort(2) 把握 Snort作为嗅探器和数据包记录器方式的使用方法, 及主要命令参数的含义。(3) 比较 snort和 tcp
2、dump 有何不同。(4) 翻开/etc/snort.con理f,解 Snort.con文f 件中的相关配置参数。(5) 把握 snort的入侵检测工作方式的命令行使用方法。(6) 自已编写一个规章, 并利用此规章进展检测,产生报警日志1.3 试验要求(1) 认真完成所规定的试验内容。(2) 使用 Snort作为嗅探器和数据包记录器方式的命令捕获数据包。(3) 通过承受不同的参数,进展操作,把握其功能。如 v, -d , -e,等-l参,数-r的使用。(4) 将所捕获的数据包内容存储在文件中,文件名命名规章是 lab1_学号(5) 对 snort进展配置, 完成一个入侵检测的工作。要求检测到T
3、CP 包中的某个特征码, 并给出应的报警信息。(6) 认真完成每一个试验步骤,并做好记录。1.4 试验预备(1) 生疏 linux根本命令(2) 生疏 linux系统的安装配置(3) 生疏虚拟机的安装和操作(4) 理解入侵检测系统的根本原理和实现技术(5) 理解 Snort的工作原理1.5 试验步骤一、安装 snort1、更 Ubuntu 软件源,2、进入终端,提升用户权限 sudo su3、更软件列表 sudo apt-get update4、安装 snortUbuntu12.04软件列表中的 snort默认是 2.9,之前版本的软件列表的 snort版本是较低版本:sudo apt-get
4、 install snort5、Snort v6、 Snortvd7、snort vdealert ip any any - any any (msg:“Got an IP Packet“; classtype:not-suspicious;sid:2022000; rev:1;)alerticmpanyany-anyany(msg:“GotanICMPPacket“; classtype:not-suspicious;sid:2022022; rev:1;)alerticmpanyany-anyany(msg:“ICMPLargeICMPPacket“; dsize:800;referenc
5、e:arachnids,246; classtype:bad-unknown; sid:2022499; rev:4;)前面两个规章分别在捕获任何 IP 数据包和 ICMP 数据包的时候产生一个告警。由于它们在遇到每一个数据包的时候都触发告警,所以在数据流量很大的网络段不 适合使用这些规章!假设必要的话,请在一个小网络段或测试网络段使用这些规章。最终一个规章是对 499 号签名 ID标准规章的拷贝进展修改以放宽产生告 警的门限来满足我们的测试目的留意:Snort.org 组织将 1-1,000,000 的签名 ID 号留给“正式”规章使用,详情请查看 Snort 的用户使 用手册。正常状况下你
6、应当避开放宽告警门限,由于这样会产生很多的误告警。1.6 试验总结:通过这次的课程设计把握在 linux 下的 snort 工具的安装、配置、使用方法,实现捕获Telnet、FTP、 等协议的数据包。 利用 snort 的检测功能,完成对一些攻击的检测. 加深对各种攻击软件的了解.结合课堂授课内容,全面了解 snort 这个有名的开源入侵检测工具的实现方法和原理. 为利用第三方软件分析进一步分析数据打下根底。2.1 试验目的二、用 Snort 构建有用的入侵检测系统(1) 网络数据猎取与分析是网络入侵检测系统的根底。通过试验让同学们把握网络数据猎取及数据复原的方法和实现。(2) 通过试验让同学
7、们加深对网络数据猎取原理的理解。(3) 通过试验让同学们初步了解在 linux 下的程序开发过程、开发环境。(4) 为利用第三方软件分析进一步分析数据打下根底。2.2 试验内容(1) 安装除 snort 以外的其它软件,如 Apach、PHP、mysql、acid 的安装等相关软件。(2) 完成相应的配置文件的配置,如配置数据库输出插件、制订入侵防范策略等(3) 能利用下载的检测规章,检测入侵。(4) 自已完成一条规章的编写,并进展正确性测试。(5) 完成对检测规章的压力测试。2.3 试验要求(1) 认真完成所规定的试验内容。(2) 将配置文件的的改动局部存储下来,传送到系 ftp 效劳器上。
8、文件名命名规章是 Lab2_学号(3) 所操作的重要步骤和结果用截屏的方法和文件的方式保存和存储,并送到 ftp 效劳器上(4) 认真完成每一个试验步骤,并做好记录。(5) 依据所做的全部试验做一个简洁总结。2.4 试验预备(1) 生疏 linux 根本命令(2) 生疏 linux 系统的安装配置(3) 生疏虚拟机的安装和操作(4) 理解入侵检测系统的根本原理和实现技术(5) 理解 Snort 的工作原理(6) 参考教材参考资料及网上有关资料2.5 试验步骤一、LAMP 效劳器配置1、 提升权限用 sudosu 提升用户权限。2、 更软件包列表。用 apt-getupdate 猎取最的软件包列
9、表假设不执行这一部可能在消灭未觉察软件包的现象3、安装 MySQL5apt-get install mysql-server mysql-client安装过程中会遇到如以下图的两个界面。要求供给一个 MySQL root 用户的密码-这个密码是为用户有效的根本地主机以及作为 rootserver1.example 的,所以我们不会有手动指定一个 MySQL root 密码后:MySQL 的“root”用户:密码 - yourrootsqlpassword重复密码: - yourrootsqlpassword3、 安装 Apache2Apt-get install Apache2修改 apach
10、e 默认名目不修改也可以用,这里临时不加阐述安装完成重启 Apache/etc/init.d/apache2 restart 在扫瞄器中输入本机 ip 或是 localhost显示如下午即为安装成功。4、 安装 PHP5apt-get install php5 libapache2-mod-php5重启 Apache/etc/init.d/apache2 restart5、 测试的 PHP5 /猎取 PHP5 安装的具体信息默认网站的文件根名目是/ var / www 下面。现在,我们将在该名目中创立一个小型PHP 文件info.php 的和在扫瞄器中调用它。该文件将显示很多关于我们的 PHP
11、安装,如安装的 PHP 版本,有用的细节。vi /var/www/info.php在扫瞄器中输入 :/本机 ip/info.php 或 localhost/info.php正如你所看到的,PHP5 的工作,它通过 Apache 2.0 的处理程序,在效劳器 API 线。假设你连续向下滚动,你会看到全部在 PHP5 中已经启用的模块。MySQL 是没有列出,这意味着我们不必在 PHP5 支持 MySQL6、 安装需要的 Mysql 对 php 支持包可以用命令查找:apt-cache search php57、 获得 MySQL 支持在 PHP5phpMyAdmin 是一个网络接口,通过它可以治
12、理你的 MySQL 数据库。安装:apt-get install phpmyadmin你会看到以下问题点确定安装完成之后在扫瞄器中输入 localhost 查看是否成功。假设消灭 not found 错误,解决方法是进入 var/www/名目下给 phpmyadmin 加一个软连接命令如下:cd /var/www/sudoln s /usr/share/phpmyadmin当配置都成功了可以看到 phpmyadmin 的界面,以下图是我建完 snort 时的截图可能会你们看的的不同。安装、配置 Snort安装过程中需要进展配置,配置过程如下:sudo suapt-get updateapt-g
13、et install snort-mysqlSnort-mysql 软件包安装完成后,在/usr/share/doc/snort-mysql/名目下放置了一些文档,可以使用如下方法查看文档为 snort 创立数据库过程mysql uroot pcreate database sonrtdbgrant creat,insert,select,update on snort.* to snortlocalhost;set password for snortlocalhost=PASSWOED(snortpassword); exit;测试创立的数据用户:mysql usnort psnortpassword能进入则证明创立成功;将 snort-mysql 附带的 sql 文件导入数据库:cd /uer/share/doc/snort-mysql/zcat creat_mysql.gz |mysql snortdb usnort psnortpassword将/etc/snort/db-pending-config 文件删除:rm /etc/snort/
