《信息安.全技术》实验报告_网络班_987_王双双_实验7._Snort网络入侵检测实验.docVIP

实验序号： 7.2 《信息安全技术》实验报告 实验名称： Snort网络入侵检测实验 姓 名： 王双双 学 院： 计算机科学与工程学院 专 业： 网络工程 班 级： 网络一班 学 号： 090810127 指导教师： 乐德广 实验地址： N6-207 实验日期： 2012.12.19 实验7.2 Snort网络入侵检测实验 请回答实验目的中的思考题。 Snort系统有哪些组件构成？ 数据包捕获器，数据包解码器，预处理器，检测引擎，输出插件。 Snort有哪些工作模式？ 有3种，分别为：嗅探器，数据包记录器和网络入侵检测系统。 Snort入侵检测系统支持哪些报警输出？ full fast socket console cmg none 和syslog 说明snort的功能和作用？ 实时检测与响应，多检测分析技术，灵活的插件，丰富输出，规则描述简单，跨平台。 结合实验，分析说明snort系统的配置文件snort.conf 图1 如图1所示，为snort.conf部分配置文件，var HOME_NET /24 为设置本机的ip范围，var RULE_PATH /etc/snort/rules 定义规则的存放位置 举例说明Snort进行系统入侵检测的基本过程。 第一步，snort入侵系统检测的安装，从官网下载最新的rpm安装包，通过rpm命令的“-ivh”参数进行安装，操作命令如下： 以上结果先 以上结果显示说明snort已经正确安装到linux中，安装后用rpm命令-ql查看snort系统中文件目录结构，操作命令如下 第二步：snort入侵检测系统配置，编辑 /etc/snort/snort.conf,操作如下： vi /etc/snort/snort.conf,编辑并修改相关的配置选项，将HOME_NET有关项注释掉，然后将HOME_NET设置为本机的ip地址：/24，将EXTERNAL_NET相关项注释掉，设置其为非本机网络，将RULE_PATH参数设置为snort规则集所在的网络，本例中/etc/snort/rules/local.rules,另外将配置文件中包含除local.rules之外的所有规则用#注释掉，修改以后保存退出。 第三步：snort入侵检测系统检测icmp ping扫描， 添加检测规则，创建并编辑、/etc/snort/rules/local.rules,并在该文件中添加一条检测规则，操作命令如下： 以上规则表示对于网络上出现任何类型为8的ICMP数据包，将产生报警。 第四步：启动入侵检测，执行的命令如下： 第五步：执行ping扫描，操作命令如下： 在主机上79 ping 7 第六步，查看检测结果，打开报警输出文件//var/log/snort/alert,可以看出以下报警信息： 以上信息可以看出主机79向主机7发送了三个类型8的ICMP数据包。 Snort入侵检测系统检测来自外网的icmp扫描 添加检测规则 编辑/etc/snort/rules/local.rules文件，并在该文件中添加以下三条语句操作如下： 执行检测，操作命令如下： Snort –c /etc/snort/snort.conf –A fast 执行ping扫描。操作如下： 查看结果，在snort 入侵检测系统上打开报警输出文件/var/log/snort/alert,可以看到以下报警信息: 举例说明如何设置检测规则？ 规则范例： 以上规则表示检测的网络数据为的协议为tcp协议，源端口，目的端口为任意，方向由外向内，内部网络子网地址/24 端口号21，当发现数据包含有“f0 55 87 be ”的内容时，snort会发送报警消息“ftp access” 说明如何实现snort和netfilter/iptables防火墙联动响应？ 安装好netfilter/iptables防火墙后，需要用以下命令启动， 接着，进行初始化设置，操作命令如下： 最后，进行默认策略设置操作命令如下： 安装guardian,下载rpm包，安装操作步骤如下： 接下来，进行配置guardian vi /etc/guardian.conf 内容如下： 修改guardian.pl,，修改 vi /usr/local/bin/guardian.conf 启动guardian 执行命令启动guardian服务，操作如下 验证测试： 在主机80启动ftp服务器命令如下： 设置snort规则，在/etc/snort/snort.conf中添加以下规则： 通过命令 snort –c /etc/snort/snort.conf 启动snort系统 在主机79中对目标主机80中发起ftp连接 命令如下： 这