实验报告_14.docVIP

  1. 1、本文档共8页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
实验报告_14

实验报告 实验内容: (1) 在Windows平台建立基于Snort的IDS。 (2) 在本地计算机中添加UDP检测规则,在另外一台计算机启动和本地计算机的UDP连接请求,查看UDP协议流量的日志记录,分析变化结果,提交实验报告。 自己编写检测规则文件mytelnet.rules,用于记录外网对内网的Telnet连接企图,并发出下面的警告:External net attempt to access internal telnet sever,将此规则文件添加到设置文件中,并通过实验观察规则是否生效,整理步骤和实验结果提交报告。 实验步骤: 在Windows平台建立基于Snort的IDS。 要在windows下建立snort的IDS需要的软件有:Snort_2_8_4_1_Installer.exe;WinPcap_3_0.exe。 安装软件: 首先安装WinPcap_3_0.exe,安装过程略。根据界面提示进行操作即可 然后安装Snort_2_8_4_1_Installer.exe。安装过程略。根据界面提示进行操作即可。 Snort安装成功的标志是见下图: 其中红线所划得那个字段是我做实验使用的网卡。 配置snort。 安装完成后首先设置环境变量PCAP_FRAMES。在“我的电脑”的“属性”菜单的“高级”选项卡中的“环境变量”选项中的“adminstrator用户变量”(此账户为当前登入账户即可,不一定要“adminstrator”,如果要设置此环境变量对任何账户有效,可以在“系统变量”中新建此环境变量)中新建环境变量“PCAP_FRAMES”,其值设置为“MAX”。具体见图: 要使此环境变量生效需要重启电脑或者注销账户重新登入。 然后利用cmd命令cd C:\snort\bin进入snort可执行目录bin下。 利用命令snort -v和snort snort -dev -l ../log -c ../etc/snort.conf进行调试,利用上述两个命令提供的报错信息逐步修改snort.conf文件和rules文件夹下的相关规则文件。 先用snort -v命令。 Snort -v命令使snort工作在嗅探器模式。Snort能从网络上读出数据包然后显示在你的控制台上。 我第一次使用此命令的效果如图: 从图中我们可以发现,虽然看似运行正常,但是没有抓到一个数据包。经过查资料发现,snort默认选择的网卡是编号为1的接口,它并不判断此卡是否为当前使用的。我红线划得正是它默认选择的接口,是我电脑上的1394网络适配器。我们应该用-i选项来选择我们所要使用的网卡。结合snort -W命令中得到的信息。我把snort -v 命令修改为 snort -i 2 - v这样就运行正常了。效果图如下: 然后使用snort snort -dev -l ../log -c ../etc/snort.conf命令调试,更好的应该使用snort snort -i 2 -dev -l ../log -c ../etc/snort.conf。 snort snort -dev -l ../log -c ../etc/snort.conf snort.conf是snort的配置文件。 此命令含义是: snort会对每个包和规则集进行匹配,发现这样的包与规则匹配就采取相应的行动。Snort会把行动的相关信息与包信息输出到../log目录。 刚开始使用此命令使得到如下一些错误。 错误1: 此错误说明snort无法找到动态引擎的动态库libsf_engine.so。而*.so文件时linux下的动态库文件,这说明此软件是从linux下移植到windows下的,我们只要找到相应的*.dll文件的路径在snort.conf文件中替换掉即可。替换结果如图: 替换前: 替换后: 注:这里我更改的路径是在E盘。由于我重装了几次snort,我最终做实验的时候snort是安装在c盘根目录下的。而在snort.conf文件中的路径也是至C盘而不是E盘。 一系列在规则文件中的类似错误,修改方法为在相应的文件找到相应的行注释掉即可。 错误报告: 修改的部分举例(以前两错误为例): 经过上述两步调试后,snort配置基本完成。 在本地计算机中添加UDP检测规则。 我用的udp规则为: alert udp any any $HOME_NET any (msg:udp ids/dns-version-query;content:|0100|;sid:2458;) 它的含义是:对任意ip任意端口到任意ip(HOME_NET值为any)任意端口的数据段包含0x0100字段的udp包产生警告,输出警告信息为“udp ids/dns-version-query” 。 我把此内容保存成ud

文档评论(0)

6358999 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档