实验16Snort入侵检测.pptVIP

第1章 程序设计基础 实验目的 通过实验深入理解IDS的原理和工作方式，熟悉入侵检测工具snort在Windows操作系统中的安装和配置方法 Snort的使用 1.Snort简介 snort是Martin Roesch等人开发的一种开放源码的入侵检测系统。Martin Roesch把snort定位为一个轻量级的入侵检测系统。它具有实时数据流量分析和IP数据包日志分析的能力，具有跨平台特征，能够进行协议分析和对内容的搜索/匹配。它能够检测不同的攻击行为，如缓冲区溢出、端口扫描、DoS攻击等，并进行实时报警 1.Snort简介 snort有三种工作模式：嗅探器、数据包记录器、入侵检测系统。做嗅探器时，它只读取网络中传输的数据包，然后显示在控制台上。作数据包记录器时，它可以将数据包记录到硬盘上，已备分析之用。入侵检测模式功能强大，可通过配置实现，但稍显复杂，snort可以根据用户事先定义的一些规则分析网络数据流，并根据检测结果采取一定的动作 1.Snort简介 Snort具有良好的扩展性和可移植性，可支持Linux、windows等多种操作系统平台，在本实验中，主要介绍snort在windows操作系统中的安装和使用方法，以有助于同学们对入侵检测系统的深入理解 在下面的实验内容中涉及到较多mysql数据库服务器以及snort规则的配置命令，为了有助于对实验内容的深入了解，首先对mysql和snort的使用方法进行简单介绍，下面主要介绍基于windows操作系统的操作方法 2.mysql的使用 mysql默认安装在C:\mysql文件夹下，其运行文件为C:\mysql\bin\mysql.exe，故在使用时需先在windows命令行方式下进入C:\mysql\bin文件夹，即单击“开始”按钮，选择“运行”，输入cmd后，输入下面的命令： C:\cd mysql\bin 出现下面的提示符： C:\mysql\bin 在此目录下可连接mysql数据库 (1)连接mysql数据库 连接mysql：mysql -h主机地址 -u用户名 -p用户密码 如果只连接本地的mysql，则可以省去主机地址一项，默认用户的用户名为root，没有密码。故可以用下面的语句登录： mysql -u root –p 回车 屏幕上会出现密码输入提示符 Enter password： 由于根用户没有密码，直接回车，出现下面的提示符： mysql 这表示已经进入mysql数据库的管理模式，可在此模式下对数据库、表、用户进行管理 (2)数据库和表的管理 创建新的数据库：create database 数据库名; 注意一定要在命令末尾加上“;”为语句的终止符，否则mysql不会编译该条命令 使用某数据库：use 数据库名 在某库中建立表：create table 表名（字段设定列表） 也可以从事先导出的表文件导入数据库中： c:\mysql\bin\mysql -D 数据库名 -u 用户名 -p密码 路径及文件名 删除数据库：drop database 数据库名 删除表：drop table 表名 (3)用户的管理 创建新用户：grant select on 数据库.* to 用户名@登录主机 identified by 密码 为用户分配权限： grant 权限 on 数据库 .* to 用户名@主机名; (4)退出mysql 退出mysql：quit或exit 则可以退出mysql数据库的管理模式，回到操作系统命令行界面。 mysql作为一个功能较强的数据库管理软件，其使用规则还有很多内容，感兴趣的读者可自行查阅mysql联机帮助 3. snort的启动 要启动snort，通常在windows命令行中输入下面的语句： c:\snort\binsnort -c 配置文件及路径 -l 日志文件的路径 -d -e –X 其中：-X 参数用于在数据链接层记录raw packet 数据-d 参数记录应用层的数据-e 参数显示／记录第二层报文头数据-c 参数用以指定snort 的配置文件的路径 3. snort的启动 如： c:\snort\binsnort -c c:\snort\etc\snort.conf -l c:\snort\log -d -e -X 也可以控制snort将记录写入固定的安全记录文件中： c:\snort\binsnort –A fast –c 配置文件及路径 –l 日志文件及路径 1.实验环境 2.需要下载安装的软件 3.安装 (1)安装Apache_2.0.46 双击apache_2.0.46-win32-x86-no_src.msi，安装在默认文件夹c:\apa