snort配置.docVIP

实验7 基于snort的IDS配置实验 1．实验目的 通过配置和使用Snort，了解入侵检测的基本概念和方法，掌握入侵检测工具的使用方法，能够对其进行配置。 2．实验原理 2.1 入侵检测基本概念 入侵检测系统（Intrusion Detection System简称为IDS）工作在计算机网络系统中的关键节点上，通过实时地收集和分析计算机网络或系统中的信息，来检查是否出现违反安全策略的行为和是否存在入侵的迹象，进而达到提示入侵、预防攻击的目的。入侵检测系统作为一种主动防护的网络安全技术，有效扩展了系统维护人员的安全管理能力，例如安全审计、监视、攻击识别和响应的能力。通过利用入侵检测系统，可以有效地防止或减轻来自网络的威胁，它已经成为防火墙之后的又一道安全屏障，并在各种不同的环境中发挥关键作用。 1．入侵检测系统分类 根据采集数据源的不同，IDS可分为基于网络的入侵检测系统（Network-based IDS，简称NIDS）和基于主机的入侵检测系统（Host-based IDS，简称HIDS）。 NIDS使用监听的方式，在网络通信的原始数据包中寻找符合网络入侵模版的数据包。NIDS的网络分析引擎放置在需要保护的网段内，独立于被保护的机器之外，不会影响这些机器的CPU、I/O与磁盘等资源的使用，也不会影响业务系统的性能。NIDS一般保护的是整个网段。 HIDS安装在被保护的机器上，在主机系统的审计日志或系统操作中查找信息源进行智能分析和判断，例如操作系统日志、系统进程、文件访问和注册表访问等信息。由于HIDS安装在需要保护的主机系统上，这将影响应用系统的运行效率。HIDS对主机系统固有的日志与监视能力有很高的依赖性，它一般保护的是其所在的系统。 NIDS和HIDS各有优缺点，联合使用这两种方式可以实现更好的检测效果。 2．入侵检测系统的实现技术 入侵检测系统的实现技术可以简单的分为两大类：基于特征的检测（Signature-based）和基于异常的检测（Anomaly-based）。 基于特征的检测技术主要包括模式匹配和协议分析两种检测方法： 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式知识库进行比较，以发现入侵行为。这种检测方法只需收集相关的数据集合和维护一个知识库就能进行判断，检测准确率和效率也相当高。但是，该技术需要不断进行升级以对付不断出现的攻击手法，并且不能检测未知攻击手段。 协议分析相对于模式匹配技术是一种更新的入侵检测技术。它首先捕捉数据包，然后对数据包进行解析，包括网络协议分析和命令解析，在解析的代码中快速检测某个攻击特征是否存在。协议分析技术大大减少了计算量，即使在高负载的高速网络上，也能逐个分析所有的数据包。 基于异常的检测技术有很多，例如采用统计模型、专家系统等技术来实现。它首先要对系统的行为进行统计，获得系统正常使用时的统计性能，如访问次数、操作失败次数和延时等。统计性能被用来与网络、系统的行为进行比较，当观察值在正常值范围之外时，IDS就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂的入侵，缺点是误报、漏报率高。 3．入侵检测系统的部署原则 基于主机的入侵检测系统其安装部署简单，主要安装在检测的主机系统中，而基于网络的入侵检测系统复杂很多，需要考虑部署原则，以优化性能。 NIDS总的来说包括探测器和控制台两个部分:探测器（Sensor）是专用的硬件设备，负责网络数据流的捕获、分析检测和报警等功能。控制台（Console）是管理探测器的工具，它负责接收探测器的检测日志数据，并提供数据查询和报告生成等功能，一个控制台可以管理多个探测器。 NIDS探测器的基本部署原则是保证每个网络数据包都可以被探测器侦听和捕获。共享式局域网是最简单的网络，它由共享式HUB连接各个主机。在这种网络环境下，一般来说，只需要配置一个网络探测器就可以达到监控全网的目的。对于简单的交换式网络，即交换机中存在一个能够监听所有端口的SPAN端口（即监听端口）。在这种环境下，只要将SPAN端口设置为监听所有端口的模式，并在此端口配置一个网络探测器，就可以实现对内部网络安全的控制。而对于复杂的交换式局域网，存在多个不同的交换机，且没有SPAN端口的网络，这时要想让一个探测器监听所有的交换机上的内容是不现实的，因此必须有多个探测器进行监听。从另外一种角度分析，我们可以将一个复杂的交换式局域网分成多个简单的交换式网络或者共享式网络组成，只要保证所有子网的流量能被探测器捕获就可以实现对整个网络安全的控制。 2.2 Snort简介 Snort最初只是一个简单的网络管理工具，后来发展成一个遍布世界的企业分布式入侵检测系统。自从1998年Snort诞生以来，如今有几十万个探测器分布在世界各地，已经成为应用最广泛的NIDS。它的创始