遵义师范学院计算机信息科学学院
实 验 报 告
(2013—2014学年第1 学期 )
课程名称: 网络安全实验
班 级:
学 号:
姓 名:
课教师:
计算机信息科学学院
实 验 报 告
实验名称
Snort网络入侵检测实验
指导教师
实验类型
操作
实验学时
4
实验时间
实验目求
(1)进步学网络入侵检测原理技术
(2)理解Snort网络入侵检测基原理
(3)学掌握Snort网络入侵检测系统安装配置操作
(4)学掌握利Snort进行网络入侵检测应
二实验仪器器材
惠普pavilionG4coreli32310存:4G虚拟机软件vmware90windows server 2003 Snort_2_9_2_2_Installerappservwin322510
AcidAdodbJpgraphMysqlPHPWINPCAPSNORTRULES
三 实验原理容步骤
()实验原理:
入侵检测基原理:
入侵检测(Intrusion Detection)入侵行检测通收集分析网络行安全日志审计数网络获信息计算机系统中干关键点信息检查网络系统中否存违反安全策略行攻击迹象入侵检测作种积极动安全防护技术提供部攻击外部攻击误操作实时保护网络系统受危害前拦截响应入侵认防火墙第二道安全闸门影响网络性情况网络进行监测入侵检测通执行务实现:监视分析户系统活动系统构造弱点审计识反映已知进攻活动模式相关士报警异常行模式统计分析评估重系统数文件完整性操作系统审计踪理识户违反安全策略行
入侵检测防火墙合理补充帮助系统付网络攻击扩展系统理员安全理力(包括安全审计监视进攻识响应)提高信息安全基础结构完整性计算机网络系统中干关键点收集信息分析信息网络中否违反安全策略行遭袭击迹象入侵检测认防火墙第二道安全
闸门影响网络性情况网络进行监测提供部攻击外部攻击误操作实时保护通执行务实现:
· 监视分析户系统活动
· 系统构造弱点审计
· 识反映已知进攻活动模式相关士报警
· 异常行模式统计分析
· 评估重系统数文件完整性
·操作系统审计踪理识户违反安全策略行
成功入侵检测系统讲系统理员时刻解网络系统(包括程序文件硬件设备等)变更网络安全策略制订提供指南更重点应该理配置简单非专业员非常容易获网络安全入侵检测规模应根网络威胁系统构造安全需求改变改变入侵检测系统发现入侵会时作出响应包括切断网络连接记录事件报警等
入侵检测系统采技术分特征检测异常检测两种
特征检测(Signaturebased detection) 称Misuse detection 检测假设入侵者活动种模式表示系统目标检测体活动否符合模式已入侵方法检查出新入侵方法力难点设计模式够表达入侵现象会正常活动包含进
异常检测(Anomaly detection) 假设入侵者活动异常正常体活动根理念建立体正常活动活动简档前体活动状况活动简档相较违反统计规律时认该活动入侵行异常检测难题建立活动简档设计统计算法正常操作作入侵忽略真正入侵行
Snort入侵检测系统:
Snort简介:1998年Martin Roesch先生C语言开发开放源代码(Open Source)入侵检测系统Snort直天Snort已发展成台(MultiPlatform)实时(RealTime)流量分析网络IP数包(Pocket)记录等特性强网络入侵检测防御系统(Network Intrusion DetectionPrevention System)NIDSNIPSSnort符合通公许(GPL——GUN General Pubic License)网通免费载获Snort需分钟安装开始snort基libpcap
Snort三种工作模式:嗅探器数包记录器网络入侵检测系统嗅探器模式仅仅网络读取数包作连续断流显示终端数包记录器模式数包记录硬盘网络入侵检测模式复杂配置snort分析网络数流匹配户定义规根检测结果采取定动作
Snort原理:Snort够网络数包进行抓包分析区嗅探器根定义规进行响应处理Snort 通获取数包进行规分析根规链采取Activation(报警启动外动态规链)Dynamic(规包调)Alert(报警)Pass(忽略)Log(报警记录网络流量)五种响应机制
Snort数包嗅探数包分析数包检测响应处理等种功模块实现功模块插件方式Snort相结合功扩展方便例预处理插件功规匹配误检测前运行完成TIP碎片重组http解码telnet解码等功处理插件完成检查协议字段关闭连接攻击响应等功输出插件理种情况日志警告方式输出
Snort工作程:Snort通网络TCPIP5层结构数链路层进行抓取网络数包抓包时需网卡设置混杂模式根操作系统采libpcapwinpcap函数网络中捕获数包然捕获数包送包解码器进行解码网络中数包太网包令牌环包TCPIP包80211包等格式程包解码器解码成Snort认识统格式数包送预处理器进行处理预处理包括分片数包进行重新组装处理明显错误等问题预处理程通插件完成Http预处理器完成Http请求解码规格化Frag2事务处理器完成数包组装Stream4预处理器Snort状态化端口扫描预处理器检测端口扫描力等数包进行解码滤预处理进入Snort重环进行规建立根规进行检测规检测Snort中重部分作检测数包中否包含入侵行例规alert tcp any any >202121024 80(msg:misc large tcp packetdsize:>3000)条规意思流入2021210网段TCP包长度超3000B时发出警报规语法涉协议类型容长度报头等种素处理规文件时候三维链表存规信息便面数包进行匹配三维链表旦构建通某种方法查找三维链表进行匹配发生响应规检测处理力需根规数量运行Snort机器性网络负载等素决定步输出模块检测数包需种形式结果进行输出输出形式输出alert文件日志文件数库UNIX域Socket等
Snort部署运行:Snort部署非常灵活操作系统运行运行window xpwindows2003linux等操作系统户操作系统台选择应考虑安全性稳定性时考虑应程序协工作求果入侵检测系统身稳定容易受攻击检测安全攻击漏洞LinuxWindows操作系统相较Linux更加健壮安全稳定Snort运行通插件协工作功强部署时选择合适数库Web服务器图形处理程序软件版非常重Snort部署时般传感器层服务器层理员控制台层三层结构组成传感器层层网络数包嗅探器层收集网络数包交服务器层进行处理理员控制台层显示检测分析结果部署Snort时根企业网络规模采三层结构分部署采三层结构集成台机器进行部署采服务器层控制台集成两层结构
Snort三种模式运行方式:嗅探器模式包记录器模式网络入侵检测系统模式嗅探器模式仅仅捕获网络数包显示终端包记录器模式捕获数包存储磁盘入侵检测模式复杂数包进行分析规进行检测做出响应
(二)实验容:
(1)Windows安装Sort工具
(2)Snort入侵检测系统配置
(3)Snort入侵检测系统检测ICMP PING扫描
(4)Snort入侵检测系统外网ICMP PING扫描
(5)Snort入侵检测系统防火墙联动
(三)实验步骤(次实验windows系统进行软件安装步骤较具体):
1Windows 安装Snort工具安装
1)首先windows先安装apache windows服务器安装C\IDS\APACHE文件夹弹出版集成PHPMY SQL直接点击安装安装程中会提示输入SQL密码apacheroot名理员邮箱输入
处输入邮箱tokyolaw@outlookcom帐户名Tokyo密码设置123456
2)C\ids\php5\ Php5tsdll复制WINDOWSWINDOWS\system32目录
3)添加GD图形库支持C\WINDOWSPhPini中extensionphp_gd2dllextensionphp_mysqldll两条语句前面分号掉
4)C\ids\php5\ext文件php_gd2dllphp_mysqldll复制C\windowsphp_mysqldll复制C\windows\system32
5)添加APACHEPHP支持C\ids\apache\conf\httpdconf末尾添加语句:
LoadModule php5_module cidsphp5php5apache2_2dll
AddType applicationxhttpdphp php
6)重启APACHE
7)C\ids\APACHE\htdocs目录新建TESTPHP容:
IE中测试PHP否成功安装
8)安装WINPCAP
处安装带winpcap软件前次实验已安装电脑安装
9)安装SNORTC\ids\snort安装时会提示选择组件否数库里先选择数库组件默认四全部安装安装完成运行次MYSQL安装目录图:
10)命令行方式进入c\ids\snort\bin执行命令:snort –W测试SNORT否成功安装出现提示安装成功
11)C\IDS\Snort\schemas里面create_mysql复制C\根目录图:
12)安装adodb实验实现准备额adodb文件夹 复制c\php5\adodb 目录:
13) 安装jpgraph实验实现准备 jpgraph文件夹复制c\php5\jpgraph
修改C\php5\jpgraph\src\jpgraphphp
DEFINE(CACHE_DIRtmpjpgraph_cache)
14) 创建数库创建表进入cmd界面执行命令:cd\mysql u root –p 输入密码登录mysql
建两数库:
create database snort
create database snort_archive
验证
show databases
2运行Snort:
1)进入Mysql控制台建立SNORT运行必须SNORT数库SNORT_ARCHIVE数库输入mysql h localhost u root p123456 < c\snort_mysqlsql :
2)复制C\ids\snort\schamescreate_mysql文件C\ids\snort\bin
3)命令行方式分输入执行两条命令
mysql D snort u root p < C\create_mysql
mysql D snort_archive u root p < c\create_mysql
4)查数库:show databases
5)修改该目录ACID_CONFPHP文件修改容:
DBlib_path c\ids\php5\adodb
DBtype mysql
alert_dbname snort
alert_host localhost
alert_port 3306
alert_user acid
alert_password 123456
* Archive DB connection parameters *
archive_dbname snort_archive
archive_host localhost
archive_port 3306
archive_user acid
archive_password 123456
ChartLib_path c\ids\php5\jpgraph\src
6) 重启APACHE服务IE中输入:httplocalhostacidacid_db_setupphp开页面单击Create ACID AG钮建立数库
7) 解压缩SNORT规包事先准备SNORT规包文件解压缩:C\ids\snort换中文件文件夹
8) 配置SNORT开snort配置文件c\snort\etc\snortconf
include classificationconfig
include referenceconfig
改绝路径
include c\snort\etc\classificationconfig
include c\snort\etc\referenceconfig
9)启动SNORT入侵检测 命令行输入命令启动SNORT程序(果希SNOR抓取数包X加V
10)执行命令加速SNORT保存配置
3查统计数:
1)安装SNORT机开http192168160acidacid_mainphp进入ACID分析控制台界面中便查统计数基SNORT入侵检测系统配置结束续工作完善SNORT规配置文件
命令行中见snort监测数
重新做边实验显示容算成功吧
实验结束
总结:
次实验历苦难终没网页显示snort检测数报告命令行里面见snort监测数先前做实验时候心acid_confphp里面户修改root然改回acid已create acid ag没次提示create然数直显示知什办法解决
PS换server 2003重新做遍结果显示UDP100想想应该成功太确定网找教程没试试试说
成 绩
日 期
批阅
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档