snort入检测系统使用实验.docVIP

《网络安全技术》实验报告 姓 名 系 别 实验地点 A406 学 号 年级 班 实验时间 2012-5-24 成绩评定 教师签字 实验项目 实验目的 1. 通过实验进一步理解IDS的原理和作用； 2. 学习安装、配置和使用Snort入侵检测系统； 3. 学习分析Snort警报文件； 4. 结合指定的攻击特征，学习如何创建检测规则。 实验内容 1. 学习Snort基础知识； 2. 安装工具软件（snort、winpcap和nmap）扫描工具； 3. 使用snort进行Xmax扫描检测和目录遍历攻击； 4. 创建和测试规则； 实验步骤 （一）软件安装 1. 打开计算机安装nmap，安装时全部按照默认设置直至安装成功。 2. 如果计算机上没有安装winpcap4.1或以上版本，则需要安装，安装时全部按照默认设置直至安装成功。 3. 打开虚拟机，启动windows server 2003，安装snort，将snort安装在C盘，安装时全部按照默认设置直至安装成功。 4. 在虚拟机上安装winpcap，安装时全部按照默认设置直至安装成功。 （二）将snort用作嗅探器 snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。 在虚拟机上（IP：50）： 单击[开始]-[运行]并输入cmd进入命令行。 在命令行中键入cd c:\snort\bin，回车确认。 3．键入snort –h，回车确认，这将显示可以与snort一起使用的命令行选项的帮助文件（认真看一下每一个选项的涵义）。 键入snort –vde，并回车确认。 在宿主机上（IP：51）： 单击[开始]-[运行]并输入cmd进入命令行。 键入ping 50 -t 在虚拟机上： 注意snort转储ping的内容到屏幕上。 （三）使用预处理器的Snort配置 在虚拟机上： 使用记事本为snort创建一个配置文件，将文件命名为snort_preprocessor.conf。 在命令行上，键入notepad c:\snort\etc\snort_preprocessor.conf。 单击yes创建文件。 在记事本中键入下列行： var HOME_NET /24 (根据具体环境进行设置) var EXTERNAL_NET any var RULE_PATH c:\snort\rules preprocessor stream4: detect_scans 前三行是变量设定值，当需要知道内部或本地网络是什么，什么被认为是不可信赖的或外部的通信，以及在哪里发现规则文件时，预处理器和规则文件将会使用这些值。最后一行是将要调用来处理通信和检测扫描的预处理器。 完成并保存。 在命令行中键入： snort –l c:\snort\log –c c:\snort\etc\snort_preprocessor.conf，回车确认。 其中，l表示输出日志文件的位置，而-c表示配置文件的位置。 在宿主机上： 运行nmap 通过Profile菜单-New Profile and Command, 设置命令：nmap -sX -T4 -A -v 50 上述命令中的X是要发送一个Xmax扫描，该扫描是一种在正常的网络通信 中不会被看到的数据包。 接下来尝试针对虚拟机web服务器的目录遍历攻击。 在浏览器中键入： 50/scripts/..%255c../winnt/system32/cmd.exe?/c+dir+\winnt回车。 在虚拟机上： 在命令行窗口上，按CRTL+C，停止snort，得到snort概要输出界面，如图8-1所示。 a) Snort 收到了多少数据包？ b）有多少数据包是TCP的？ c）有多少警报？ 图 1 Snort概要输出界面 8. 在c:\snort\log目录下用记事本打开alert.ids文件，如图2. 图2 alert.ids文件 上图中，[111:10:1]，是snort ID和修改号。 (spp_stream4) STEALTH ACTIVITY (XMAS scan) detection，这是引发警报的与处理器。 **U*P**F,这显示了所捕获数据包上设置的Urgent、push以及fin标记。 （四）使用检测引擎的snort配置 在虚拟机上： 1. 在snort_preprocessor.conf中