信息安全實驗2-入侵檢測

信息安全實驗2_入侵檢測第一頁，共22頁。實驗要求1.按照實驗指導(dǎo)書獨(dú)立完成每次實驗；2.每次實驗由指導(dǎo)老師當(dāng)場檢查實驗結(jié)果并提交電子版實驗報告；第二頁，共22頁。實驗2入侵檢測系統(tǒng)實驗?zāi)康模和ㄟ^實驗深入理解入侵檢測系統(tǒng)的原理和工作方式，熟悉入侵檢測工具snort在windows和Linux操作系統(tǒng)中的安裝和配置方法。實驗環(huán)境：一臺安裝WindowXP操作系統(tǒng)地機(jī)器或虛擬機(jī)，連接到本地局域網(wǎng)中。第三頁，共22頁。實驗準(zhǔn)備：用VMware搭建XP實驗平臺1.VMware12虛擬機(jī)軟件安裝若電腦上沒有XP系統(tǒng)，則需要使用虛擬機(jī)安裝一個XP系統(tǒng)用于實驗。2.將XP系統(tǒng)導(dǎo)入VMware(1)在Vmvare中，選擇文件->打開,找到并導(dǎo)入虛擬機(jī)。由于虛擬機(jī)軟件包及虛擬機(jī)文件過大，會在實驗時在提前分發(fā)給每位同學(xué)。第四頁，共22頁。任務(wù)一Windows環(huán)境下snort安裝1.安裝Apache_2.0.46(1)雙擊apche_2.0.46-win32-x86-no_src.msi,安裝在目錄C:\apache。安裝程序會在該文件夾下自動產(chǎn)生一個子文件夾apache2。第五頁，共22頁。(2)打開配置問題C:\apahce\apache2\conf\httpd.conf,將其中的Listen8080更改為Listen80.(3)單擊“開始”按鈕，選擇“運(yùn)行”，輸入cmd,進(jìn)入命令行模式C:\>cdapache\apache2\binC:\apache\apche2\bin\apache–kinstall這是將apache設(shè)置為以Windows中的服務(wù)方式運(yùn)行。2.安裝PHP(1)解壓縮Php-4.3.2-win32.zip至C：\php(2)復(fù)制C:\php下php4ts.dll至C:\windows\System32,復(fù)制-dist至C:\windows，并改名為php.ini，復(fù)制C:\php\extensions\php_gd2.dll至C:\windows第六頁，共22頁。（3）添加gd圖形庫支持，在C:\windows\php.ini中添加extension=php_gd2.dll。如果php.ini有該句，將此語句前的“；”注釋符去掉。（4）添加Apache對PHP的支持。在C:\apache\apache2\conf\httpd.conf中添加：LoadModulephp4_module"C:/php/sapi/php4apache2.dll"AddTypeapplication/x-httpd-php.php（注意.php前面有個空格）（5）單擊“開始”按鈕，選擇“運(yùn)行”，輸入cmd,進(jìn)入命令行模式，以下命令：netstopapache2netstartapache2（6）在C:\apache\apahce2\htdocs目錄下新建test.php測試文件。Test.php內(nèi)容為<?phpinfo();?>。使用/test.php測試php是否安裝成功。如果安裝成功，則網(wǎng)頁顯示php的版本信息。3.安裝snort安裝snort-2_0_0.exe,snort的默認(rèn)安裝路徑在C:\snort.第七頁，共22頁。4.安裝配置Mysql數(shù)據(jù)庫（1）安裝Mysql到默認(rèn)文件夾C:\mysql,并在命令行方式輸入下面的命令：cdC:\mysql\binmysqld–ntinstall這將使mysql在windows中以服務(wù)方式運(yùn)行。（2）重新打開命令行，輸入netstartmysql,啟動Mysql服務(wù)（3）重新打開命令行輸入下面命令：

cdC:\mysql\binmysql–uroot–p當(dāng)出現(xiàn)Enterpassword提示符后直接按回車，登錄數(shù)據(jù)庫。（4）在Mysql提示符后輸入下面的命令 createdatabasesnort; createdatabasesnort_archive;第八頁，共22頁。（5）輸入quit命令退出Mysql后，在出現(xiàn)提示符之后輸入：mysql-Dsnort-uroot-p<C:\snort\contrib\create_mysqlmysql-Dsnort_archive-uroot-p<C:\snort\contrib\create_mysql上面兩個語句表示以root用戶身份，使用C:\snort\contrib目錄下的create_mysql腳本文件，在snort數(shù)據(jù)庫和snort_archive數(shù)據(jù)庫中建立了snort運(yùn)行必須的數(shù)據(jù)表。（6）再次以root用戶登錄Mysql數(shù)據(jù)庫，在提示符后輸入下面的語句：grantusageon*.*to"acid"@"localhost"identifiedby"acidtest";grantusageon*.*to"snort"@"localhost"identifiedby"snorttest";上面兩個語句表示在本地數(shù)據(jù)庫中建立了acid（密碼為acidtest）和snort(密碼為snorttest)兩個用戶，以備后面使用。（7）在mysql提示符后面輸入下面的語句：grantselect,insert,update,delete,create,alteronsnort.*to"acid"@localhost;grantselect,insertonsnort.*to"snort"@localhost;grantselect,insert,update,delete,create,alteronsnort_archive.*to"acid"@localhost;這是為新建的用戶在snort和snort_archive數(shù)據(jù)庫中分配權(quán)限。第九頁，共22頁。5.安裝adodb將adodb360.zip解壓至C:\php\adodb目錄下，即完成了adodb安裝。6.安裝配置數(shù)據(jù)控制臺acid（1）解壓縮acid-0.9.6b23.tar.gz至C:\apache\apahce2\htdocs\acid目錄下。（2）找到并修改C:\apache\apache2\htdocs\acid下的acid_conf.php文件：$DBlib_path="C:\php\adodb"$DBlib_path="C:\php\adodb";$DBtype="mysql";$alert_dbname="snort";$alert_host="localhost";$alert_port="3306";$alert_user="acid";$alert_password="acidtest";第十頁，共22頁。$archive_dbname="snort_archive";$archive_host="localhost";$archive_port="3306";$archive_user="acid";$archive_password="acidtest";$ChartLib_path="C:\php\jpgraph\src";注意：修改時要將文件中原來的對應(yīng)內(nèi)容注釋或覆蓋掉。（3）查看/acid/acid_db_setup.php網(wǎng)頁，單擊createACIDAG建立數(shù)據(jù)庫。建立成功效果圖如下：第十一頁，共22頁。第十二頁，共22頁。7安裝jpgraph庫(1)解壓縮jpgraph-1.12.2.tar.gz至C:\php\jpgraph(2)修改C:\php\jpgragh\src下jpgraph.php文件，去掉下面語句的注釋；DEFINE(“CACHE_DIR”,”/tmp/jpgraph_cache/”);8.安裝winpcap按照默認(rèn)選項和默認(rèn)路徑安裝winpcap。9.配置并啟動snort(1)打開C:\snort\etc\snort.conf文件，將文件夾中的下列語句：Includeclassification.configIncludereference.config修改為絕對路徑：includeC:\snort\etc\classification.configincludeC:\snort\etc\reference.config第十三頁，共22頁。（2）在該文件的最后加入下面語句：Outputdatabase:alert,mysql,host=localhostuser=snortpassword=snorttestdbname=snortencoding=hexdetail=full（3）單擊“開始”按鈕，選擇“運(yùn)行”，輸入cmd,進(jìn)入命令行模式輸入以下命令：

cdc:\snort\binsnort-c"C:\snort\etc\snort.conf"-l"C:\snort\log"-d-e-X上面的命令啟動snort。第十四頁，共22頁。（4）打開/acid/acid_main.php，進(jìn)入acid分析控制臺主界面。如上配置均正確，將出現(xiàn)如圖所示頁面。第十五頁，共22頁。任務(wù)二windows下snort使用完善配置文件（1）打開C：/snort/etc/snort.conf文件，查看現(xiàn)有配置（2）設(shè)置snort的內(nèi)、外網(wǎng)檢測范圍將snort.conf。文件中varHOME_NETany語句中的any改為自己所在的子網(wǎng)地址即將snort監(jiān)測的內(nèi)網(wǎng)設(shè)置為本機(jī)所在局域網(wǎng)。如本地IP為0，則將any改為/24.并將varEXTERNAL_NETany語句中的any改為!/24,即將snort監(jiān)測的外網(wǎng)改為本機(jī)所在局域網(wǎng)意外的網(wǎng)絡(luò)。（3）設(shè)置監(jiān)測所包含的規(guī)則找到snort.conf文件中下圖描述規(guī)則的部分第十六頁，共22頁。前面加“#”表示該規(guī)則沒有啟用，將local.rules之前的“#”去掉，其余規(guī)則保持不變。第十七頁，共22頁。2.使用控制臺查看檢測結(jié)果（1）重復(fù)任務(wù)一第9步中的步驟（3）（4），啟動snort并打開acid檢測控制臺主界面。（2）單機(jī)頁面上TCP或UDP后的數(shù)字“n%”，將顯示所有檢測到的TCP協(xié)議日志詳細(xì)情況，如后頁ppt上圖所示。TCP協(xié)議日志網(wǎng)頁中的選項依次為：流量類型、時間戳、源地址、目標(biāo)地址以及協(xié)議。由于snort主機(jī)所在的內(nèi)網(wǎng)為，可以看出，日志中只記錄了外網(wǎng)IP對內(nèi)網(wǎng)的連接（即目標(biāo)地址均為內(nèi)網(wǎng)）（3）選擇控制條中的home返回控制臺主界面，在主界面的下面有流量分析及歸類選項，如后頁ppt下圖。第十八頁，共22頁。第十九頁，共22頁。（4）選擇last24hours:alertsunique,可以看到24h內(nèi)特殊流量的分類記錄和分析。可以看到，表中詳細(xì)記錄了各類型流量的種類、在總?cè)罩局兴嫉谋壤⒊霈F(xiàn)該類流量的起始和終止時間等詳細(xì)分析。在控制臺主界面中還有其他功能選項，請自己練習(xí)使用。3.配置snort規(guī)則下面我們聯(lián)系添加一條規(guī)則，以對符合此規(guī)則的數(shù)據(jù)包進(jìn)行檢測。（1）打開C：/snort/rules/local.rules文件（2）在規(guī)則中添加一條語句，實現(xiàn)對內(nèi)網(wǎng)的U