實(shí)驗(yàn)8入侵檢測(cè)軟件snort的安裝與

1、實(shí)驗(yàn)八 入侵檢測(cè)系統(tǒng)snort的安裝與使用一、實(shí)驗(yàn)序號(hào)：8二、實(shí)驗(yàn)學(xué)時(shí)：23、 實(shí)驗(yàn)?zāi)康模?）理解入侵檢測(cè)的作用和檢測(cè)原理。（2）理解誤用檢測(cè)和異常檢測(cè)的區(qū)別。（3）掌握Snort的安裝、配置。（4）掌握用Snort作為基于主機(jī)的入侵檢測(cè)系統(tǒng)(HIDS)的使用。四、 實(shí)驗(yàn)環(huán)境 每2位學(xué)生為一個(gè)實(shí)驗(yàn)組，使用2臺(tái)安裝Windows 2000/XP的PC機(jī)，其中一臺(tái)上安裝Windows平臺(tái)下的Snort 2.9軟件；在運(yùn)行snort的計(jì)算機(jī)上，安裝WinpCap4.1.2程序。五、 實(shí)驗(yàn)要求1、實(shí)驗(yàn)任務(wù) （1）安裝和配置入侵檢測(cè)軟件。 （2）查看入侵檢測(cè)軟件的運(yùn)行數(shù)據(jù)。 （3）記錄并分析實(shí)驗(yàn)結(jié)果。2

2、、實(shí)驗(yàn)預(yù)習(xí) （1）預(yù)習(xí)本實(shí)驗(yàn)指導(dǎo)書，深入理解實(shí)驗(yàn)的目的與任務(wù)，熟悉實(shí)驗(yàn)步驟和基本環(huán)節(jié)。 （2）復(fù)習(xí)有關(guān)入侵檢測(cè)的基本知識(shí)。六 實(shí)驗(yàn)背景1 基礎(chǔ)知識(shí) 入侵檢測(cè)是指對(duì)入侵行為的發(fā)現(xiàn)、報(bào)警和響應(yīng)，它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或者系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)系統(tǒng)（Intrusion Detection System， IDS）是完成入侵檢測(cè)功能的軟件和硬件的集合。 隨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)不斷揭帖，防火墻作為最主要的安全防范手段已經(jīng)不能滿足人們對(duì)網(wǎng)絡(luò)安全的需求。作為對(duì)防火墻極其有益的補(bǔ)充，位于其后的第二道安全閘門IDS能夠幫助網(wǎng)

3、絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，有效擴(kuò)展系統(tǒng)管理員的安全管理能力及提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。IDS能在不影響網(wǎng)絡(luò)及主機(jī)性能的情況下對(duì)網(wǎng)絡(luò)數(shù)據(jù)流和主機(jī)審計(jì)數(shù)據(jù)進(jìn)行監(jiān)聽和分析，對(duì)可疑的網(wǎng)絡(luò)連接和系統(tǒng)行為進(jìn)行記錄和報(bào)警，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。2 入侵檢測(cè)軟件Snort簡介 Snort是一款免費(fèi)的NISD，具有小巧、易于配置、檢測(cè)效率高等我，常被稱為輕量級(jí)的IDS。Snort具有實(shí)時(shí)數(shù)據(jù)流量分析和IP數(shù)據(jù)包日志分析能力，具有跨平臺(tái)特征，能夠進(jìn)行協(xié)議分析和對(duì)內(nèi)容的搜索或匹配。Snort能夠檢測(cè)不同的攻擊行為，如緩沖區(qū)溢出、端口掃描和拒絕服務(wù)攻擊等，并進(jìn)行實(shí)時(shí)報(bào)警。 Snort

4、可以根據(jù)用戶事先定義的一些規(guī)則分析網(wǎng)絡(luò)數(shù)據(jù)流，并根據(jù)檢測(cè)結(jié)果采取一定的行動(dòng)。Snort有3種工作模式：v 嗅探器（同sniffer）v 數(shù)據(jù)包記錄器v NIDS （網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)）嗅探器模式僅從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的數(shù)據(jù)流顯示在終端上；數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上，以備分析之用；NIDS模式功能強(qiáng)大，可以通過配置實(shí)現(xiàn)。七 實(shí)驗(yàn)步驟1 安裝和配置IDS軟件Snort 由于需要對(duì)網(wǎng)絡(luò)底層進(jìn)行操作，安裝Snort前需要預(yù)先安裝WinpCap4.1.1以上版本（WIN32平臺(tái)上網(wǎng)絡(luò)分析和捕獲數(shù)據(jù)包的鏈接庫）。（由于之前做Sniffer實(shí)驗(yàn)時(shí)已經(jīng)安裝了，可不必再安裝）（1）從教師信息

5、門戶的教學(xué)軟件欄目下載Windows平臺(tái)下的Snort安裝程序和WinpCap4.1.2程序:v 雙擊Snort安裝程序進(jìn)行安裝，選擇安裝目錄為D:Snortv 進(jìn)行到選擇日志文件存時(shí)，為簡單起見，選擇不需要數(shù)據(jù)庫支持，或者選擇Snort默認(rèn)的MySQL和OCBC數(shù)據(jù)庫的方式。(2)從教師信息門戶的教學(xué)軟件欄目下載Windows平臺(tái)下的WinpCap4.1.2程序。雙擊進(jìn)行默認(rèn)安裝就可以。（3）單擊“開始”菜單，選擇“運(yùn)行”命令，輸入cmd并按回車鍵，在命令行方式下輸入如下命令: C:Documents and SettingsAdministrator> D: D:>cd Sno

6、rtbin D:Snortbin>snort -W /“-W”選項(xiàng)查看可用網(wǎng)卡如果Snort安裝成功，系統(tǒng)將顯示出如圖所示的信息。 圖2 查看網(wǎng)卡信息（4）從返回的結(jié)果可知主機(jī)上有哪個(gè)物理網(wǎng)卡正在工作及該網(wǎng)卡的詳細(xì)信息。圖2中顯示的第二個(gè)是具有物理地址的網(wǎng)卡。輸入snort -v -i2命令啟用Snort。其中：-v表示使用Verbose模式，該命令將IP和TCP/UDP/ICMP的包頭信息顯示在屏幕上；-i2表示監(jiān)聽第二個(gè)網(wǎng)卡。（5）為了進(jìn)一步查看Snort的運(yùn)行情況，可以人為制造一些ICMP網(wǎng)絡(luò)流量。在局域網(wǎng)的另一臺(tái)主機(jī)上使用Ping指令，探測(cè)Snort的主機(jī)。（6）回到運(yùn)行Snor

7、t的主機(jī)，可以發(fā)現(xiàn)Snort已經(jīng)記錄了這次探測(cè)的數(shù)據(jù)包。Snort在屏幕上輸出了從的ICMP數(shù)據(jù)包頭。（7）打開D:Snortetcsnort.conf，設(shè)置Snort的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)網(wǎng)絡(luò)檢測(cè)范圍。將Snort.conf文件中的var HOME_NET any語句的any改為自己所在的子網(wǎng)地址，即將Snort監(jiān)測(cè)的內(nèi)部網(wǎng)絡(luò)設(shè)置為所在的局域網(wǎng)。如本地IP為 ，則改為 /24。（8）配置網(wǎng)段內(nèi)提供網(wǎng)絡(luò)服務(wù)的IP地址，只需要把默認(rèn)的$HOME_NET改成對(duì)應(yīng)的主機(jī)地址即可。var DNS_SERVERS $HOME_NETvar SMTP_SERVERS

8、$HOME_NETvar HTTP_SERVERS $HOME_NETvar SQL_SERVERS $HOME_NETvar TELNET_SERVERS $HOME_NETvar SNMP_SERVERS $HOME_NET如果不需要監(jiān)視類型的服務(wù)，可以用#號(hào)將上述語句注釋掉。（9）在Snort.conf文件中，修改配置文件classification.config和reference.config的路徑:include D:snortetcclassification.configinclude D:snortetcreference.config其中classification.con

9、fig文件保存的是規(guī)則的警報(bào)級(jí)別相關(guān)的配置，reference.config文件保存了提供更多警報(bào)相關(guān)信息的鏈接。2 操作與測(cè)試（1）Snort嗅探器模式 檢測(cè)Snort安裝是否成功時(shí)，用到的就是Snort嗅探器模式。輸入命令如下: snort -v -i2使Snort只將IP和TCP/UDP/ICMP的包頭信息輸出到屏幕上。如果要看到應(yīng)用層的數(shù)據(jù)，可以輸入如下命令: snort -v -e -i2如果需要輸出更詳細(xì)的信息，輸入命令: snort -v -e -i1（或i2）可以顯示數(shù)據(jù)層的信息。（2）數(shù)據(jù)包記錄器模式 上面的命令只是在屏幕上輸出，如果要記錄在LOG文件上，需要預(yù)先建立一個(gè)Lo

10、g目錄。輸入下面的命令數(shù)據(jù)包記錄器模式: snort -dve -i2 -l d:Snortlog -h /24 -K ascii其中：-l選項(xiàng)指定了存放日志的文件夾； -h指定目標(biāo)主機(jī)，這里檢測(cè)對(duì)象是局域網(wǎng)段內(nèi)的所有主機(jī)，如不指定-h，則默認(rèn)檢測(cè)本機(jī)； -K指定了記錄的格式，默認(rèn)是Tcpdump格式，此處使用ASCII碼。在命令行窗口運(yùn)行了該指令后，將打開保存日志的目錄。 在Log目錄下自動(dòng)生成了許多文件夾和文件，文件夾是以數(shù)據(jù)包主機(jī)的IP地址命名的，每個(gè)文件夾下記錄的日志就是和該外部主機(jī)相關(guān)的網(wǎng)絡(luò)流量。打開其中任一個(gè)，使用記事本查看日志文件，會(huì)發(fā)現(xiàn)文件的內(nèi)容和嗅探器模

11、式下的屏幕輸出類似。v 運(yùn)行上述命令后，去ping另一臺(tái)主機(jī)，查看日志，這個(gè)ping是否被記錄下來？v 用一掃描軟件，對(duì)HIDS主機(jī)進(jìn)行端口掃描。v 在HIDS主機(jī)的DOS界面下可以看到從B機(jī)器掃描發(fā)過來的探測(cè)的數(shù)據(jù)包信息，如圖所示。使用Ctrl-C鍵可以退出程序，看到數(shù)據(jù)包統(tǒng)計(jì)信息。 圖 DOS界面上的數(shù)據(jù)包顯示對(duì)記錄的數(shù)據(jù)包信息作進(jìn)一步的分析，如圖2所示 圖2 Snort數(shù)據(jù)包記錄器模式記錄的日志 檢測(cè)到此數(shù)據(jù)包的信息如下：v 源MAC地址：0：11：D8：7B：7：3B；v 目的MAC地址：0：11：D8：7B：7：89；v 類型：0*800，長度：0*3E；v 源IP地址：192.16

12、8.6.81，源端口：1053；v 目的IP地址：0，目的端口：80；v 協(xié)議類型是：TCP；TTL(生存時(shí)間)：128；TOS(服務(wù)類型)：0*0；ID：205；IP包頭長度：20；數(shù)據(jù)包總長度：48 DF。后面的一段信息顯示此數(shù)據(jù)包企圖探測(cè)連接目的主機(jī)80端口。從上面的數(shù)據(jù)包記錄的信息來看，就可以知道網(wǎng)絡(luò)上有人可能在掃描HIDS主機(jī)端口的開放情況，必須采取措施將端口關(guān)閉或更改。（3）NIDS（入侵檢測(cè)(IDS)功能）（這一步，此次實(shí)驗(yàn)可不做） A.網(wǎng)絡(luò)IDS模式，該模式是snort的最重要的實(shí)現(xiàn)形式。相對(duì)于數(shù)據(jù)包記錄器模式，該模式只是增加了一個(gè)選項(xiàng)“-c”，用于指明所使用的規(guī)則集snort.conf（在IDS模式下必須指定規(guī)則集文件）。打開etcsnort.conf，對(duì)snort的配置文件進(jìn)行修改，包括檢測(cè)的內(nèi)外網(wǎng)范圍，以及文件路徑的格式修改為Windows下的格式，注釋掉沒有使用的選項(xiàng)。 B.下載規(guī)則集，放入ruler下面（默認(rèn)已經(jīng)安裝），并對(duì)檢查snort.conf中的指定的規(guī)則集(在文件末尾)與你下載的規(guī)則集一致，注釋掉沒有的規(guī)則。（請(qǐng)查看下載的snort.conf文件進(jìn)行修改）。 C.