实验八入侵检测系统snort的安装与使用
一、实验序号:8
二、实验学时:2
三、实验目的
(1)理解入侵检测的作用和检测原理。mysql下载哪个盘
(2)理解误用检测和异常检测的区别。
(3)掌握Snort的安装、配置。
(4)掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。
四、实验环境
每2位学生为一个实验组,使用2台安装Windows 2000/XP的PC机,其中一台上安装Windows平台下的Snort 2.9软件;在运行snort的计算机上,安装WinpCap4.1.2程序。
五、实验要求
1、实验任务
(1)安装和配置入侵检测软件。
(2)查看入侵检测软件的运行数据。
(3)记录并分析实验结果。
2、实验预习
(1)预习本实验指导书,深入理解实验的目的与任务,熟悉实验步骤和基本环节。(2)复习有关入侵检测的基本知识。
六实验背景
1 基础知识
入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(Intrusion Detection System, IDS)是完成入侵检测功能的软件和硬件的集合。
随着网络安全风险系数不断揭帖,防火墙作为最主要的安全防范手段已经不能满足人们对网络安全的需求。作为对防火墙极其有益的补充,位于其后的第二道安全闸门IDS能够帮助网络系统快速发现网络攻击的发生,有效扩展系统管理员的安全管理能力及提高信息安全基础结构的完整性。
IDS能在不影响网络及主机性能的情况下对网络数据流和主机审计数据进行监听和分析,对可疑的网络连接和系统行为进行记录和报警,从而提供对内部攻击、外部攻击和误操作的实时保护。
2 入侵检测软件Snort简介
Snort是一款免费的NISD,具有小巧、易于配置、检测效率高等我,常被称为轻量级的IDS。Snort具有实时数据流量分析和IP数据包日志分析能力,具有跨平台特征,能够进行协议分析和对内容的搜索或匹配。Snort能够检测不同的攻击行为,如缓冲区溢出、端口扫描和拒绝服务攻击等,并进行实时报警。
Snort可以根据用户事先定义的一些规则分析网络数据流,并根据检测结果采取一定的行动。Snort有3种工作模式:
嗅探器(同sniffer)
数据包记录器
NIDS (网络入侵检测系统)
嗅探器模式仅从网络上读取数据包并作为连续不断的数据流显示在终端上;数据包记录器模式把数据包记录到硬盘上,以备分析之用;NIDS模式功能强大,可以通过配置实现。七实验步骤
1 安装和配置IDS软件Snort
由于需要对网络底层进行操作,安装Snort前需要预先安装WinpCap4.1.1以上版本(WIN32平台上网络分析和捕获数据包的链接库)。(由于之前做Sniffer实验时已经安装了,可不必再安装)
(1)从教师信息门户的教学软件栏目下载Windows平台下的Snort2.9.2.2安装程序和WinpCap4.1.2程序:
双击Snort2.9.2.2安装程序进行安装,选择安装目录为D:\Snort
进行到选择日志文件存时,为简单起见,选择不需要数据库支持,或者选择Snort 默认的MySQL和OCBC数据库的方式。
(2)从教师信息门户的教学软件栏目下载Windows平台下的WinpCap4.1.2程序。双击进行默认安装就可以。
(3)单击“开始”菜单,选择“运行”命令,输入cmd并按回车键,在命令行方式下输入如下命令:
C:\Documents and Settings\Administrator> D:
D:\>cd Snort\bin
D:\Snort\bin>snort -W //“-W”选项查看可用网卡
如果Snort安装成功,系统将显示出如图所示的信息。
图2 查看网卡信息
(4)从返回的结果可知主机上有哪个物理网卡正在工作及该网卡的详细信息。图2中显示的第二个是具有物理地址的网卡。
输入snort -v -i2命令启用Snort。
其中:-v表示使用Verbose模式,该命令将IP和TCP/UDP/ICMP的包头信息显示在屏幕上;-i2表示监听第二个网卡。
(5)为了进一步查看Snort的运行情况,可以人为制造一些ICMP网络流量。在局域网的另一台主机上使用Ping指令,探测Snort的主机。
(6)回到运行Snort的主机,可以发现Snort已经记录了这次探测的数据包。Snort在屏幕上输出了从172.16.7.1到172.16.7.4的ICMP数据包头。
(7)打开D:\Snort\f,设置Snort的内部网络和外部网络网络检测范围。将f文件中的var HOME_NET any语句的any改为自己所在的子网地址,即将Snort 监测的内部网络设置为所在的局域网。如本地IP为 172.16.7.4,则改为 172.16.7.0/24。(8)配置网段内提供网络服务的IP地址,只需要把默认的$HOME_NET改成对应的主机地址即可。
var DNS_SERVERS $HOME_NET
var SMTP_SERVERS $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var TELNET_SERVERS $HOME_NET
var SNMP_SERVERS $HOME_NET
如果不需要监视类型的服务,可以用#号将上述语句注释掉。
(9)在f文件中,修改配置文件fig和fig 的路径:
include D:\snort\fig
include D:\snort\fig
其中fig文件保存的是规则的警报级别相关的配置,fig 文件保存了提供更多警报相关信息的链接。
2 操作与测试
(1)Snort嗅探器模式
检测Snort安装是否成功时,用到的就是Snort嗅探器模式。输入命令如下:
snort -v -i2
使Snort只将IP和TCP/UDP/ICMP的包头信息输出到屏幕上。如果要看到应用层的数据,可以输入如下命令:
snort -v -e -i2
如果需要输出更详细的信息,输入命令:
snort -v -e -i1(或i2)
可以显示数据层的信息。
(2)数据包记录器模式
上面的命令只是在屏幕上输出,如果要记录在LOG文件上,需要预先建立一个Log目录。输入下面的命令数据包记录器模式:
snort -dve -i2 -l d:\Snort\log -h 192.168.1.0/24 -K ascii
其中:-l选项指定了存放日志的文件夹;
-h指定目标主机,这里检测对象是局域网段内的所有主机,如不指定-h,则默认检测本机;
-K指定了记录的格式,默认是Tcpdump格式,此处使用ASCII码。
在命令行窗口运行了该指令后,将打开保存日志的目录。
在Log目录下自动生成了许多文件夹和文件,文件夹是以数据包主机的IP地址命名的,每个文件夹下记录的日志就是和该外部主机相关的网络流量。打开其中任一个,使用记事本
查看日志文件,会发现文件的内容和嗅探器模式下的屏幕输出类似。
运行上述命令后,去ping另一台主机,查看日志,这个ping是否被记录下来?
用一扫描软件,对HIDS主机进行端口扫描。
在HIDS主机的DOS界面下可以看到从B机器扫描发过来的探测的数据包信息,如图所示。使用Ctrl-C键可以退出程序,看到数据包统计信息。
图 DOS界面上的数据包显示
对记录的数据包信息作进一步的分析,如图2所示
图2 Snort数据包记录器模式记录的日志
检测到此数据包的信息如下:
源MAC地址:0:11:D8:7B:7:3B;
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论