網(wǎng)絡(luò)安全與技術(shù)實驗報告

1、網(wǎng)絡(luò)安全技術(shù)與應(yīng)用課程實驗 專業(yè)班級： 計算機11-3班 學(xué) 號： 2011101592 學(xué)生姓名： 孟益 指導(dǎo)教師： 張輝 實驗一 常用網(wǎng)絡(luò)安全命令一、命令幫助與窗口文本復(fù)制1. 顯示 MS-DOS 命令幫助（1）打開命令提示符窗口；（2）在命令提示符下，鍵入想獲得幫助的命令名，后接 /?，例如，鍵入ping/?可獲得ping命令的幫助信息。2. 從命令提示符窗口中復(fù)制文本（1）右鍵單擊命令提示符窗口的標(biāo)題欄，指向“編輯”，然后單擊“標(biāo)記”； （2）單擊要復(fù)制文本的起點；（3）按住 SHIFT 鍵，然后單擊要復(fù)制文本的結(jié)尾（或者通過單擊并拖動光標(biāo)來選擇文本）；（4）右鍵單擊標(biāo)題欄，指向“編輯

2、”，然后單擊“復(fù)制”；（5）將光標(biāo)放在要插入文本的位置，在基于 Windows 的程序中，單擊“編輯”菜單，然后單擊“粘貼”。二、實驗內(nèi)容1. ipconfig命令主要功能：顯示本地主機IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、MAC地址等。例1：C: ipconfig/all2. ping命令主要功能：目標(biāo)主機的可達(dá)性、名稱、IP地址、路由跳數(shù)、往返時間等。例2：C:ping or target_name3. tracert命令主要功能：路由跟蹤、節(jié)點IP地址、節(jié)點時延、域名信息等。例3：C:tracert or 4. netstat命令主要功能：顯示協(xié)議統(tǒng)

3、計信息和當(dāng)前TCP/IP網(wǎng)絡(luò)連接。例4：C:netstat a；C:netstat n；5. nbtstat命令主要功能：顯示使用NBT （NetBIOS over TCP/IP）的協(xié)議統(tǒng)計和當(dāng)前TCP/IP網(wǎng)絡(luò)連接信息，可獲得遠(yuǎn)程或本機的組名和機器名。例5：C:nbtstat a ；C:nbtstat n6. net命令主要功能：網(wǎng)絡(luò)查詢、在線主機、共享資源、磁盤映射、開啟服務(wù)、關(guān)閉服務(wù)、發(fā)送消息、建立用戶等。net命令功能十分強大，輸入net help command可獲得command的具體功能及使用方法。例5：C: net view；C: net view tar

4、get_name；net send /domain: 計算機名（*為域內(nèi)廣播）消息三、實驗要求由于常用網(wǎng)絡(luò)安全命令功能強大、參數(shù)眾多，在有限時間內(nèi)不可能對所有命令參數(shù)進行實驗。但要求每個命令至少選擇兩個參數(shù)進行實驗，命令參數(shù)可以任意選擇。命令執(zhí)行后將執(zhí)行結(jié)果復(fù)制到實驗報告表格中，并對命令執(zhí)行結(jié)果進行解釋。四、實驗報告文檔要求常用網(wǎng)絡(luò)安全命令實驗報告要求提交紙質(zhì)打印文檔，實驗報告以班為單位提交給實驗指導(dǎo)教師。實驗二 端口掃描與安全審計一、Nmap簡介1. 基本功能與目標(biāo)端口狀態(tài)說明Nmap（Network Mapper）是開放源碼的網(wǎng)絡(luò)探測和端口掃描工具，具有主機發(fā)現(xiàn)、端口掃描、操作系統(tǒng)檢測、服

5、務(wù)和版本檢測、逃避放火墻及入侵檢測系統(tǒng)等功能?？蓮木W(wǎng)站下載不同操作系統(tǒng)版本的源代碼和可執(zhí)行程序，而且提供了詳細(xì)的中文使用手冊（）。Nmap以表格形式輸出掃描目標(biāo)的端口號、協(xié)議、服務(wù)名稱和狀態(tài)，端口狀態(tài)分別用開放（open）、關(guān)閉（closed）、已過濾（filtered）和未過濾（unfiltered）表示。其中“開放”表示應(yīng)用程序正在該端口監(jiān)聽連接或分組；“關(guān)閉”表示沒有應(yīng)用程序在該端口監(jiān)聽；“已過濾”表示防火墻或其他過濾器封鎖了該端口，Nmap無法知道該端口的狀態(tài)；“未過濾”表示端口對Nmap探測有響應(yīng)，但Nmap不能確定端口是開放還是關(guān)閉。Nmap有時也可能輸出open|filtered

6、或closed|filtered的狀態(tài)組合，表示不能正確識別端口處于其中那一個狀態(tài)。2. 命令格式與幫助Nmap命令格式：nmap Scan Type . Options target specification Nmap命令幫助：C:nmap（不帶命令參數(shù)運行nmap）3. 常用掃描類型（1）-sT (TCP connect() 端口掃描)；（2）-sS (TCP SYN 同步掃描)；（3）-sU (UDP端口掃描)；（4）-sN (Null掃描 ) ；（5）-sF 掃描 (FIN)（6）-sP（Ping掃描）；（7）-sX (Xmas掃描 )；（8）-sA (TCP ACK掃描，探測端口是

7、否被過濾，open和closed端口返回RST報文，表示unfiltered，否則為filtered） （9）-sM (TCP Maimon掃描， Maimon發(fā)現(xiàn)BSD系統(tǒng)探測報文FIN-ACK，響應(yīng)RST ) ；（10）-scanflags (定制TCP標(biāo)志位URG， ACK，PSH， RST，SYN，和FIN的任何組合設(shè)計掃描探測報文 ) （11）-sW (TCP窗口掃描) ；-sI (Idlescan盲掃描) ；-sO (IP協(xié)議掃描) 等，詳細(xì)內(nèi)容參考Nmap手冊；（12）未指定掃描類型，默認(rèn)掃描類型為TCP SYN 同步掃描。4. 命令參數(shù)選項（1）主機發(fā)現(xiàn)參數(shù)（也稱ping掃描，

8、但與ping 命令發(fā)送ICMP不同）-sL (列表掃描) 、-sP (Ping掃描) 、-P0 (無ping) 、-PS portlist (TCP SYN Ping) 、-PA portlist (TCP ACK Ping) 、-PU portlist (UDP Ping) 、-PR (ARP Ping)等。（2）端口說明參數(shù)-p僅掃描指定端口。例如，-p22;-p1-65535;-pU:53,111,137,T:21-25,80,139,8080（其中U、T分別指定UDP和TCP端口）（3）服務(wù)和版本探測參數(shù)-sV (版本探測) 、-sR (RPC掃描) （4）操作系統(tǒng)探測參數(shù)nmap-o

9、s-fingerprints文件包含了 1500多個已知操作系統(tǒng)的指紋信息。-O (操作系統(tǒng)檢測) 、-A（同時啟用操作系統(tǒng)和服務(wù)版本檢測）（5）輸出格式參數(shù)Nmap具有交互、標(biāo)準(zhǔn)、XML等5種不同輸出格式，默認(rèn)為交互式輸出。-v (詳細(xì)輸出) 5. 目標(biāo)地址規(guī)范Nmap支持多種目標(biāo)地址規(guī)范，包括單個目標(biāo)IP地址、主機名稱和網(wǎng)絡(luò)地址。例如：（1）nmap -sP ，對目標(biāo)主機 ping掃描；（2）nmap -sT ，對目標(biāo)主機進行TCP connect()掃描；（3）nmap -v 192.

10、168.10.0/24，掃描至55之間的256臺目標(biāo)主機，其中輸出參數(shù)-v表示顯示詳細(xì)信息verbose；（4）nmap -v 10.0.0-255.1-254，掃描至54之間的所有IP地址；（5）nmap -v 0-255.0-255.13.37，掃描Internet所有以13.37結(jié)束的IP地址；（6）nmap -v -iR 1000 -P0 -p 80，隨機選擇1000個目標(biāo)主機掃描，其中-P0 表示無ping掃描。隨機地址掃描格式為-iR ，其中-iR表示隨機地址掃描，num hosts表示隨機地址數(shù)。

11、二、實驗內(nèi)容1. 安裝nmap-4.01-setup.exe軟件注意事項：采用nmap-4.01-setup.exe時將自動安裝WinPcap分組捕獲庫，采用解壓縮nmap-4.01-win32.zip時需事先安裝WinPcap 分組捕獲庫。2. 局域網(wǎng)主機發(fā)現(xiàn)列表掃描：nmap -sL 局域網(wǎng)地址3. 掃描目標(biāo)主機端口連續(xù)掃描目標(biāo)主機端口：nmap r目標(biāo)主機IP地址或名稱4. 服務(wù)和版本檢測目標(biāo)主機服務(wù)和版本檢測：nmap -sV目標(biāo)主機IP地址或名稱5. 操作系統(tǒng)檢測目標(biāo)主機操作系統(tǒng)檢測：nmap -O目標(biāo)主機IP地址或名稱6. 端口掃描組合應(yīng)用nmap -v -A scanme.nma

12、nmap -sP -v /24 4/33 nmap -v -iR 10000 -P0 -p 80圖2.1：nmap sV 30圖2.2：nmap v -iR10 P0 p80 實驗三 網(wǎng)絡(luò)入侵跟蹤與分析一、Ethereal網(wǎng)絡(luò)協(xié)議分析軟件1. 簡介Ethereal是開放源碼的網(wǎng)絡(luò)分組捕獲與協(xié)議分析軟件，具有網(wǎng)絡(luò)分組捕獲及分組細(xì)節(jié)顯示功能。Ethereal不僅可協(xié)助網(wǎng)絡(luò)管理員、安全工程師、軟件開發(fā)人員解決各自所關(guān)心的網(wǎng)絡(luò)管理、安全威脅和協(xié)議調(diào)試等問題，也是深入學(xué)習(xí)網(wǎng)絡(luò)協(xié)議的優(yōu)秀工具?？梢詮木W(wǎng)站下載不同操作系統(tǒng)版本的源代

13、碼和可執(zhí)行程序，而且提供了不同文本格式的用戶使用手冊Ethereal Users Guide，Ethereal-0.10.14版本支持725種網(wǎng)絡(luò)協(xié)議。2. 主界面Ethereal主界面采用分組跟蹤列表框、協(xié)議層次框和原始分組框的形式，顯示捕獲分組的詳細(xì)協(xié)議信息。分組跟蹤列表框按照分組捕獲的先后時間順序顯示分組跟蹤記錄號、捕獲時間、源IP地址、目標(biāo)IP地址、協(xié)議等信息。選中分組跟蹤列表框中的一個分組后，協(xié)議層次框按照TCP/IP協(xié)議層次結(jié)構(gòu)顯示指定分組的物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層協(xié)議的詳細(xì)信息；原始分組框分別以十六進制和ASCII碼形式顯示指定分組的字節(jié)數(shù)據(jù)。3. 捕獲菜單簡要

14、說明（Capture）啟動Ethereal，用Capture Options菜單命令設(shè)定分組捕獲參數(shù)。（1）捕獲框Capture frame（a）Interfaces： 在下拉菜單中選擇捕獲分組的網(wǎng)絡(luò)接口；（b）IP address：顯示設(shè)定網(wǎng)絡(luò)接口的IP地址；（c）Link-layer header type：在下拉菜單中選擇解析鏈路層首部類型的標(biāo)準(zhǔn)，除非有特殊要求，保持默認(rèn)值Ethernet即可；（d）Buffer size：輸入捕獲分組時使用的操作系統(tǒng)緩沖區(qū)大小，Buffer size 只適用于Windows操作系統(tǒng)平臺；（e）Capture packets in promiscuous

15、 mode：混雜模式可以捕獲共享網(wǎng)絡(luò)上的所有分組；（f）Limit each packet to n bytes：將分組限制在n字節(jié)之內(nèi)，如果不打算捕獲分組封裝的數(shù)據(jù)，輸入分組首部字節(jié)數(shù)；（g）Capture Filter：分組捕獲過濾器，指定分組捕獲過濾規(guī)則，Ethereal只捕獲滿足過濾規(guī)則的分組。單擊Capture Filter按鈕，Ethereal將彈出捕獲規(guī)則對話框，方便用戶選擇或生成分組捕獲過濾規(guī)則。（2）捕獲文件框Capture File(s) frame（a）Capture Files：指定保存分組文件的名稱與路徑，單擊Browse按鈕可以選擇保存分組文件的路徑；（b）Use

16、multiple files：將捕獲分組保存到多個文件；（c）Next ：達(dá)到規(guī)定的byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s)后，切換到下一個文件，僅在Use multiple files下有效；（d）Next ：達(dá)到規(guī)定的second(s)/minutes(s)/hours(s)/days(s)后，切換到下一個文件，僅在Use multiple files下有效；（e）Ring buffer with：使用環(huán)型緩沖，將分組捕獲到多個文件；僅在Use multiple files下有效；（f）Stop capture after：達(dá)到規(guī)定的n個文件之

17、后停止捕獲，僅在Use multiple files下有效；（g）Stop capture after：n個文件之后停止捕獲，僅在Use multiple files下有效；（3）停止捕獲框Stop Capture frame（a）after n packet(s)：達(dá)到指定的分組數(shù)目后，停止捕獲；（b）after n megabytes(s)：達(dá)到指定的byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s)容量后，停止捕獲；（c）after n minute(s)：達(dá)到規(guī)定的second(s)/minutes(s)/hours(s)/days(s)時間后，停止

18、捕獲；（4）顯示選擇框Display Options frame（a）Update list of packets in real time：實時更新顯示分組列表，否則，在停止捕獲以前，Ethereal不顯示任何分組；（b）Automatic scrolling in live capture：自動滾動顯示新捕獲的分組；（c）Hide capture info dialog：隱藏捕獲信息對話框；（5）名稱解析對話框Name Resolution frame（a）Enable MAC name resolution：解析MAC地址廠商名稱；（b）Enable network name resol

19、ution：解析網(wǎng)絡(luò)地址的域名或主機名稱；（c）Enable transport name resolution：將應(yīng)用協(xié)議翻譯成端口號；（6）啟動分組捕獲如果對捕獲選項（Capture Options）對話框中的捕獲參數(shù)設(shè)定不熟悉，在多數(shù)情況下可以使用Ethereal的默認(rèn)值。單擊OK按鈕啟動分組捕獲，單擊Cancel 按鈕取消分組捕獲。4. 統(tǒng)計菜單簡要說明（Statistics）（1）匯總統(tǒng)計Summary匯總統(tǒng)計窗口顯示有關(guān)文件（File）、時間（Time）、捕獲（Capture）、流量（Traffic）方面的一般統(tǒng)計信息。（a）File：捕獲文件的一般信息；（b）Time：捕獲第一個

20、分組、最后一個分組以及兩者之間的時間；（c）Capture：捕獲分組時的接口、丟失分組和捕獲過濾器信息，僅在網(wǎng)絡(luò)捕獲分組時有效；（d）Traffic：網(wǎng)絡(luò)流量統(tǒng)計信息；（2）協(xié)議層次統(tǒng)計Protocol Hierarchy協(xié)議層次統(tǒng)計窗口以樹狀結(jié)構(gòu)顯示有關(guān)協(xié)議名稱（Protocol）、協(xié)議分組百分比（% Packets）、協(xié)議分組數(shù)（Packets）、字節(jié)數(shù)（Bytes）、帶寬（MBit/s）等方面的統(tǒng)計信息。（3）會話統(tǒng)計Conversations網(wǎng)絡(luò)會話泛指兩個特定端點（MAC address、IP address、TCP ports、UDP ports）之間的流量，例如，IP會話就是兩個

21、IP地址之間的網(wǎng)絡(luò)流量。會話統(tǒng)計窗口以協(xié)議選項卡方式顯示網(wǎng)絡(luò)會話統(tǒng)計信息。（4）端點統(tǒng)計Endpoints端點統(tǒng)計窗口以協(xié)議選項卡方式顯示捕獲端點的統(tǒng)計信息。例如，Ethernet:5表示捕獲了5個MAC 地址端點。（5）IO圖示統(tǒng)計IO GraphsIO圖示統(tǒng)計窗口按照用戶定義的色彩顯示捕獲分組的統(tǒng)計信息。二、實驗內(nèi)容1. ethereal-setup-0.10.14.exe軟件安裝注意事項：ethereal-setup-0.10.14.exe將自動安裝WinPcap分組捕獲庫，不必事先安裝WinPcap 分組捕獲庫。2. 沖擊波蠕蟲病毒攻擊分析（1）沖擊波蠕蟲病毒攻擊原理沖擊波蠕蟲病毒W(wǎng)3

22、2.Blaster.Worm利用Windows 2000/XP/2003等操作系統(tǒng)中分布式組件對象模型DCOM（Distributed Component Object Model）和遠(yuǎn)程過程調(diào)用 (RPC（Remote Procedure Call）通信協(xié)議漏洞進行攻擊，感染沖擊波蠕蟲病毒的計算機隨機生成多個目標(biāo)IP地址掃描TCP/135（epmap）、UDP/135（epmap）、TCP/139、UDP/139、TCP/445、UDP/445、TCP/593、UDP/593端口尋找存在DCOM RPC漏洞的系統(tǒng)。感染沖擊波蠕蟲病毒的計算機具有系統(tǒng)無故重啟、網(wǎng)絡(luò)速度變慢、Office軟件異常

23、等癥狀，有時還對Windows自動升級（）進行拒絕服務(wù)攻擊，防止感染主機獲得DCOM RPC漏洞補丁。根據(jù)沖擊波蠕蟲病毒攻擊原理可知，計算機感染沖擊波蠕蟲病毒需要具備三個基本條件。一是存在隨機生成IP地址的主機；二是Windows 2000/XP/2003操作系統(tǒng)開放了RPC調(diào)用的端口服務(wù)；三是操作系統(tǒng)存在沖擊波蠕蟲病毒可以利用的DCOM RPC漏洞。（2）沖擊波蠕蟲病毒攻擊過程分析用Ethereal打開沖擊波蠕蟲病毒捕獲文件Win2000-blaster.cap，通過協(xié)議分析回答下列問題（僅限于所捕獲的沖擊波蠕蟲病毒）：（a）感染主機每次隨機生成多少個目標(biāo)IP地址？（b）掃描多個端口還是一個

24、端口？如果掃描一個端口，是那一個RPC調(diào)用端口？（c）分別計算第二組與第一組掃描、第三組與第二組掃描之間的間隔時間，掃描間隔時間有規(guī)律嗎？（d）共發(fā)送了多少個試探攻擊分組？（提示：端點統(tǒng)計或規(guī)則tcp.flags.syn=1顯示SYN=1的分組）（e）有試探攻擊分組攻擊成功嗎？如攻擊成功，請給出感染主機的IP地址。如沒有攻擊成功的實例，說明為什么沒有攻擊成功？（提示：TCP報文段SYN=1表示連接請求，SYN=1和ACK=1表示端口在監(jiān)聽，RST=1表示拒絕連接請求。使用顯示過濾規(guī)則tcp.flags.syn=1&tcp.flags.ack=1確定是否有端口監(jiān)聽。）三、實驗要求由于Ethern

25、et分組捕獲與協(xié)議分析功能強大，在一個實驗單元時間內(nèi)不可能熟練掌握Ethernet的使用。但至少應(yīng)掌握捕獲菜單和統(tǒng)計菜單的使用，也可以選擇其他菜單命令進行實驗。練習(xí)使用Ethernet分組捕獲與協(xié)議分析的顯示結(jié)果不要復(fù)制到實驗報告，實驗報告只回答沖擊波蠕蟲病毒攻擊過程分析中提出的問題及問題解答過程。四、實驗記錄：通過Ethereal協(xié)議分析回答下列問題（僅限于所捕獲的Win2000-blaster.cap文件）：（a）感染主機每次隨機生成多少個目標(biāo)IP地址？20（b）掃描多個端口還是一個端口？如果掃描一個端口，是那一個RPC調(diào)用端口？Filter: ip.src = 9

26、1 and tcp.dstport = 135 （見（d）：135 2002（c）分別計算第二組與第一組掃描、第三組與第二組掃描之間的間隔時間，掃描間隔時間有規(guī)律嗎？第二組與第一組掃描間隔時間：678.168ms第三組與第二組掃描間隔時間：528.105ms掃描間隔時間有規(guī)律。（d）共發(fā)送了多少個試探攻擊分組？Filter: ip.src = 91 2006 Filter: ip.src = 91 and tcp.dstport = 135或tcp.flags.syn=1 2002Filter: ip.src = 91 a

27、nd tcp.dstport != 135 4 不是攻擊分組 6008（e）有試探攻擊分組攻擊成功嗎？如攻擊成功，請給出感染主機的IP地址。如沒有攻擊成功的實例，說明為什么沒有攻擊成功？ 無攻擊成功。因為：Filter：tcp.flags.syn=1&tcp.flags.ack=1 Display: 0 被攻擊主機無正確響應(yīng)。實驗四 網(wǎng)絡(luò)入侵檢測系統(tǒng)一、網(wǎng)絡(luò)入侵檢測系統(tǒng)Snort軟件1. 簡介Snort是當(dāng)前國際上非常著名的基于誤用檢測的網(wǎng)絡(luò)入侵檢測系統(tǒng)開放源碼軟件，采用規(guī)則匹配機制檢測網(wǎng)絡(luò)分組是否違反了事先配置的安全策略。安裝在一臺主機上就可以監(jiān)測整個共享網(wǎng)段，一旦發(fā)現(xiàn)入侵和探測行為，具有將

28、報警信息發(fā)送到系統(tǒng)日志、報警文件或控制臺屏幕等多種實時報警方式。Snort不僅能夠檢測各種網(wǎng)絡(luò)攻擊，還具有網(wǎng)絡(luò)分組采集、分析和日志記錄功能。相對于昂貴與龐大的商用產(chǎn)品而言，Snort具有系統(tǒng)規(guī)模小、容易安裝、容易配置、規(guī)則靈活和插件（plug-in）擴展等諸多優(yōu)點。源代碼和不同操作系統(tǒng)版本的可執(zhí)行程序可從 網(wǎng)站免費下載。2. Snort系統(tǒng)組成Snort主要由分組協(xié)議分析器、入侵檢測引擎、日志記錄和報警模塊組成。協(xié)議分析器的任務(wù)就是對協(xié)議棧上的分組進行協(xié)議解析，以便提交給入侵檢測引擎進行規(guī)則匹配。入侵檢測引擎根據(jù)規(guī)則文件匹配分組特征，當(dāng)分組特征滿足檢測規(guī)則時，觸發(fā)指定的響應(yīng)操作。日志記錄將解析

29、后的分組以文本或Tcpdump二進制格式記錄到日志文件，文本格式便于分組分析，二進制格式提高記錄速度。報警信息可以發(fā)送到系統(tǒng)日志；也可以采用文本或Tcpdump二進制格式發(fā)送到報警文件；也容許選擇關(guān)閉報警操作。記錄到報警文件的報警信息有完全和快速兩種方式，完全報警記錄分組首部所有字段信息和報警信息，而快速報警只記錄分組首部部分字段信息。3. Win32 snort-2_0_0.exe安裝雙擊snort-2_0_0.exe在安裝目錄下將自動生成snort文件夾，其中包含bin、etc、log、rules、doc、contrib文件夾和snort-2_0_0.exe卸載程序Uninstall.ex

30、e。bin文件夾保存snort.exe可執(zhí)行程序；snort配置文件snort.conf位于etc；日志文件和報警文件位于log；各種類型的規(guī)則檢測文件位于rules；snort使用手冊位于doc；contrib為snort支持者提供的各種輔助應(yīng)用文件。注意事項：在安裝snort-2_0_0.exe之前，應(yīng)事先安裝WinPcap 分組捕獲庫。4. Snort配置在使用snort之前，需要根據(jù)保護網(wǎng)絡(luò)環(huán)境和安全策略對snort進行配置，主要包括網(wǎng)絡(luò)變量、預(yù)處理器、輸出插件及規(guī)則集的配置，位于etc的snort配置文件snort.conf可用任意文本編輯器打開。除內(nèi)部網(wǎng)絡(luò)環(huán)境變量HOME_NET之

31、外，在大多數(shù)情況下，可以使用snort.conf的默認(rèn)配置。用文本編輯器打開Snortetcsnort.conf文件，在設(shè)置網(wǎng)絡(luò)變量步驟（Step #1: Set the network variables:）注釋下找到“var HOME_NET any”，將any更換成自己機器所在子網(wǎng)的CIDR地址。例如，假設(shè)本機IP地址為23，將“var HOME_NET any” 更換成“var HOME_NET /24”或特定的本機地址“var HOME_NET 23/32”。假設(shè)在C盤根目錄下執(zhí)行Snort命令，找到規(guī)則文件路徑變量“

32、var RULE_PATH rules”，將其修改為var RULE_PATH C:snortrules；找到“include classification.config”，將classification.config文件的路徑修改為 include C:snortetcclassification.config；找到“include reference.config”，將reference.config文件的路徑修改為 include C:snortetcreference.config。5. Snort命令格式與幫助Snort命令格式：C:snortbinsnort -Options Sn

33、ort命令幫助：C: snortbinsnort -?特別注意：Snort在Windows操作系統(tǒng)下要求給出命令執(zhí)行的完整路徑。6. Snort主要命令參數(shù)選項（1）-A alert：設(shè)置snort快速（fast）、完全（full）、控制臺（console）或無（none）報警模式，alert取值full、fast、console或none其中之一。-A fast：快速報警模式僅記錄時間戳（timestamp）、報警信息（alert message）、源IP地址、目標(biāo)IP地址、源端口和目標(biāo)端口；-A full：完全報警是snort默認(rèn)的報警模式，記錄分組或報文首部所有字段信息和報警信息；-A

34、console：控制臺報警模式將分組或報文首部和報警信息發(fā)送到控制臺屏幕；-A none：關(guān)閉報警。（2）-c snort.conf：使用snort配置文件snort.conf；（3）-b：采用Tcpdump二進制格式將分組記錄到日志文件；（4）-d：顯示應(yīng)用數(shù)據(jù)；（5）-e：顯示數(shù)據(jù)鏈路層的首部信息；（6）-h ：指定本地網(wǎng)絡(luò)（Home Network）IP地址；（7）-l ：將日志記錄到指定的目錄directory，默認(rèn)日志目錄是Snortlog；（8）-i ：在指定的網(wǎng)絡(luò)接口上監(jiān)聽；（9）-r ：從Tcpdump文件中讀取分組處理，而不監(jiān)測網(wǎng)絡(luò)分組；（10）-s：將報警信息發(fā)送到系統(tǒng)日志

35、；（11）-v：詳細(xì)輸出（Be verbose）；（12）-V：顯示Snort版本號；（13）-W：列出本機可用的網(wǎng)絡(luò)接口（僅在Windows下有效）；（14）-w：顯示IEEE802.11 WLAN的管理幀與控制幀；（15）-?：顯示snort 的簡要命令幫助。7. Snort入侵檢測規(guī)則位于rules目錄中的規(guī)則文件是Snort檢測系統(tǒng)的入侵模式庫，可以使用任意文本編輯器對規(guī)則文件進行修改。檢測規(guī)則由規(guī)則頭（Rule Header）和規(guī)則選項（Rule Option）組成，規(guī)則頭定義了規(guī)則匹配行為、協(xié)議類型、源IP地址、源端口、目標(biāo)IP地址和目標(biāo)端口等信息，規(guī)則選項定義了入侵特征和報警信息

36、的內(nèi)容。Snort檢測規(guī)則的格式與語法參看計算機網(wǎng)絡(luò)安全技術(shù)與應(yīng)用教材第196頁。二、實驗內(nèi)容1. snort-2_0_0.exe的安裝與配置本實驗除安裝snort-2_0_0.exe之外，還要求安裝nmap-4.01-setup.exe網(wǎng)絡(luò)探測和端口掃描軟件。Nmap用于掃描實驗合作伙伴的主機，Snort用于檢測實驗合作伙伴對本機的攻擊。用寫字板打開Snortetcsnort.conf文件對Snort進行配置。將var HOME_NET any中的any配置成本機所在子網(wǎng)的CIDR地址；將規(guī)則路徑變量RULE_PATH定義為C:snortrules；將分類配置文件路徑修改為 include

37、C:snortetcclassification.config；將引用配置文件路徑修改為include C:snortetcreference.config。其余使用Snort配置文件中的默認(rèn)設(shè)置，這里假設(shè)所有Snort命令都在C盤根目錄下執(zhí)行。2. Snort報警與日志功能測試用寫字板打開C:Snortruleslocal.rules規(guī)則文件，添加Snort報警與日志功能測試規(guī)則：alert tcp any any - any any (msg:TCP traffic;)。執(zhí)行命令：C:snortbinsnort -c snortetcsnort.conf -l snortlog -i 1如果在C:Snortlog目錄中生成alert.ids報警文件和IP地址命名的日志文件，表明Snort配置正確，能夠?qū)嵤┤肭謭缶腿罩居涗浌δ堋Ｌ貏e提醒：測試Snort報警與日志功能以后，一定要刪除掉添加的測試規(guī)則或在該規(guī)則前加#號變?yōu)樽⑨?！否則，隨后的實驗不能獲得正確結(jié)果。3. 分組協(xié)議分析（1）TCP/UDP/ICMP/IP首部信息輸出到屏幕上：C: snortbinsnort v -i n；n=1/2/3/4/5（2）TCP/UDP/ICMP/IP首部信息和應(yīng)用數(shù)據(jù)輸出到屏幕上：C: snortbinsnort -vd