入侵检测实验（附件）.docVIP

入侵检测实验 一、实验目的及要求： （1）理解入侵检测的作用和检测原理。 （2）理解误用检测和异常检测的区别。 （3）掌握Snort的安装、配置和使用等实用技术 二、实验环境 每2位学生为一个实验组，使用2台安装Windows 2000/XP的PC机，通过局域网互联，IP网络为/24。其中一台（00）上安装Windows平台下的Snort 2.8.1软件，另一台的IP地址为01。实验环境的网络拓扑如图1所示。 图1 入侵检测实验拓扑 三实验要求 1、实验任务 （1）安装和配置入侵检测软件。 （2）查看入侵检测软件的运行数据。 （3）记录并分析实验结果。 2、实验预习 （1）预习本实验指导书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。 （2）复习有关入侵检测的基本知识。 3、实验报告 （1）简要描述实验过程。 （2）实验中遇到了什么问题，如何解决的。 （3）WinPcap_3_1 安装Snort_2_4_5 五、实验内容或步骤： 1 安装和配置轻量级IDS软件Snort 由于需要对网络底层进行操作，安装Snort前需要预先安装WinpCap（WIN32平台上网络分析和捕获数据包的链接库）。Snort安装程序，双击安装程序进行安装，选择安装目录为D：\Snort。 （2）进行到选择日志文件存时，为简单起见，选择不需要数据库支持，或者选择Snort默认的MySQL和OCBC数据库的方式。 （3）单击“开始”菜单，选择“运行”命令，输入cmd并按回车键，在命令行方式下输入如下命令： C：\Documents and Settings\Administrator–W 如果Snort安装成功，系统将显示出如图所示的信息。 （4）从返回的结果可知主机上有哪个物理网卡正在工作及该网卡的详细信息。图2中显示的第二个是具有物理地址的网卡。输入snort -v–i2命令启用Snort。其中，-v表示使用Verbose模式，把信息包打印在屏幕上；-i2表示监听第二个网 （5）为了进一步查看Snort的运行情况，可以人为制造一些ICMP网络流量。在局域网的另一台主机上使用Ping指令，探测Snort的主机。 （6）回到运行Snort的主机，可以发现Snort已经记录了这次探测的数据包。例如图4所示，Snort在屏幕上输出了从到55的ICMP数据包头。 （7）打开D：\Snort\etc\snort.conf，设置Snort的内部网络和外部网络网络检测范围。 将Snort.conf文件中的var HOME_NET any语句的any改为自己所在的子网地址，即将Snort监测的内部网络设置为所在的局域网。如本地IP为 ，则改为/24。 （8）配置网段内提供网络服务的IP地址，只需要把默认的$HOME_NET改成对应的主机地址即可。 var DNS_SERVERS $HOME_NET var SMTP_SERVERS $HOME_NET var HTTP_SERVERS $HOME_NET var SQL_SERVERS $HOME_NET var TELNET_SERVERS $HOME_NET var SNMP_SERVERS $HOME_NET 如果不需要监视类型的服务，可以用#号将上述语句注释掉。 （9）在Snort.conf文件中，修改配置文件classification.config和reference.config的路径： include D：\snort\etc\classification.configinclude D：\snort\etc\reference.configclassification.config文件保存的是规则的警报级别相关的配置，reference.config文件保存了提供更多警报相关信息的链接。 六 操作与测试 （1）Snort嗅探器模式检测Snort安装是否成功时，用到的就是Snort嗅探器模式。输入命令如下： snort -v-i2 使Snort只将IP和TCP/UDP/ICMP的包头信息输出到屏幕上。如果要看到应用层的数据，可以输入如下命令： snort -v–e-i如图所示。 snort -dve-i2-l d：\Snort\log -h .0/24 -K ascii 其中，-l选项指定了存放日志的文件夹：-h指定目标主机，这里检测对象是局域网段内的所有主机，如不指定-h，则默认检测本机；-K指定了记录的格式，默认是Tcpdump格式，此处使用ASCII码。在命令行窗口运行了该指令后，将打开保存日志的目录。 在Log目录下自动生成了许多文件夹和文件，文件夹是以数据包主机的IP地址命名的，每个文件夹下记录的日志就是和该外部主机相关的网络流量。打开其中任