实验四 网络入侵检测系统.docVIP

太原理工大学学生实验报告 学院名称 计算机技术与应用学院 专业班级 计算机双学位0901 学号 学生姓名 张 炫 实验日期 2010/12/4 成绩 课程名称 网络安全技术与应用 实验题目 实验四 网络入侵检测系统 一、网络入侵检测系统Snort软件 Snort配置 在使用snort之前，需要根据保护网络环境和安全策略对snort进行配置，主要包括网络变量、预处理器、输出插件及规则集的配置，位于etc的snort配置文件snort.conf可用任意文本编辑器打开。除内部网络环境变量HOME_NET之外，在大多数情况下，可以使用snort.conf的默认配置。 用文本编辑器打开Snort\etc\snort.conf文件，在设置网络变量步骤（Step #1: Set the network variables:）注释下找到“var HOME_NET any”，将any更换成自己机器所在子网的CIDR地址。例如，假设本机IP地址为23，将“var HOME_NET any” 更换成“var HOME_NET /24”或特定的机地址var HOME_NET 23/32”。 假设在C盘根目录下执行Snort命令，找到规则文件路径变量“var RULE_PATH ??rules”，将其修改为var RULE_PATH C:\snort\rules；找到“include classification.config”，将classification.config文件的路径修改为 include C:\snort\etc\classification.config；找到“include reference.config”，将reference.config文件的路径修改为 include C:\snort\etc\reference.config。 5. Snort命令格式与帮助 Snort命令格式：C:\snort\bin\snort [-Options] BPF Filter Options Snort命令帮助：C:\ snort\bin\snort -? 特别注意：Snort在Windows操作系统下要求给出命令执行的完整路径。 6. Snort主要命令参数选项 （1）-A alert：设置snort快速（fast）、完全（full）、控制台（console）或无（none）报警模式，alert取值full、fast、console或none其中之一。 -A fast：快速报警模式仅记录时间戳（timestamp）、报警信息（alert message）、源IP地址IP地址源端口和端口-A full：完全报警是snort默认的报警模式-A console：控制台报警模式将分组或报文首部和报警信息发送到控制台屏幕； -A none：关闭报警。 （2）-c snort.conf：使用snort配置文件snort.conf； （3）-b：采用Tcpdump二进制格式将分组记录到日志文件； （4）-d：显示应用数据； （5）-e：显示数据链路层的首部信息； （6）-h hn：指定本地网络（Home Network）IP地址； （7）-l directory：将日志记录到指定的目录directory，默认日志目录是\Snort\log； （8）-i if：在指定的网络接口if上监听； （9）-r tf：从Tcpdump文件tf中读取分组处理，而不监测网络分组； （10）-s：将报警信息发送到系统日志； （11）-v：详细输出（Be verbose）； （12）-V：显示Snort版本号； （13）-W：列出本机可用的网络接口（仅在Windows下有效）； （14）-w：显示IEEE802.11 WLAN的管理帧与控制帧； （15）-?：显示snort 的简要命令帮助。 7. Snort入侵检测规则 位于rules目录中的规则文件是Snort检测系统的入侵模式库，可以使用任意文本编辑器对规则文件进行修改。检测规则由规则头（Rule Header）和规则选项（Rule Option）组成，规则头定义了规则匹配行为、协议类型、源IP地址源端口IP地址和端口nort检测规则的格式与语法参看《计算机网络安全技术与应用》教材第196页。 二、实验内容 1. snort-2_0_0.exe的安装与配置 本实验除安装snort-2_0_0.exe之外，还要求安装nmap-4.01-setup.exe网络探测端口扫描Nmap用于扫描nort用于检测实验合作伙伴对本机的攻击。 用写字板打开Snort\etc\snort.conf文件对Snort进行配置。将var HOME_NET any中的any配置成本机所在子网的CIDR(3/2