Snort使用.ppt

实验：入侵检测系统Snort的使用 郑州大学信息工程学院2009研究生 内容摘要 实验目的 实验内容 实验准备 实验介绍 实验要求 实验提交 1.实验目的 通过安装和配置Windows/Linux系统下Snort，掌握各种常用软件的安装和使用方法，熟悉Snort的各种功能，了解入侵检测系统的基本原理。 2.实验内容 在Windows/Linux中，下载并安装Apache，PHP，MySQL，WinPcap/Libpcap，Snort，ACID等软件，查阅相关资料，将Snort配置为网络入侵检测模式，将Snort的日志、报警、权限等信息写入MySQL数据库，利用ACID作为入侵检测的分析控制台，利用Apache服务器的Web页面进行管理，读取并分析网络的状况。 3.实验准备--Windows 实验准备--Linux 4.实验介绍 Snort有四种工作模式：Sniffer Mode, Packet Logger Mode, Network Intrusion Detection System Mode, Inline Mode。 前两种模式相当于sniffer，后两种功能较为强大，可通过配置实现各种功能。 Snort具有良好的扩展性和可移植性，可支持Windows和Linux平台。 实验介绍(Cont.) 下面以Linux平台为例，简单介绍snort的安装步骤。 Apache+php+mysql的安装 Libpcap安装 PCRE安装 Snort安装与Snort rules安装 Acid/adodb/jpgraph安装 实验介绍(Cont.) 实验介绍(Cont.) 实验介绍(Cont.) 实验介绍(Cont.) 安装好snort之后，用一个扫描工具对snort所保护的主机进行扫描，然后用snort分析网络流量的异常。 实验介绍(Cont.) 之后，根据snort官方文档snort_manual.pdf的chapter 3 Writing Snort Rules:How toWrite Snort Rules and Keep Your Sanity编写自己的Rules，并试验其效果。 5.实验要求 从Windows和Linux两种平台中，选择一种平台进行即可。 学习使用snort的Sniffer Mode, Packet Logger Mode, Network Intrusion Detection System Mode；重点学习NIDS模式；Inline Mode不作要求。 人为发起一些攻击，通过snort分析攻击环境中与正常环境中流量的异常。 编写自己的规则并载入到snort中进行验证。 实验要求(Cont.) 实验结果表现形式：实验报告。 实验报告要求 在实验报告中写出详细的安装过程和命令 详细记录实验的其它过程 附上实验过程的截图和结果截图 附上自己编写的snort rules和功能说明 阐述碰到的问题以及解决方法 阐述收获与体会 6.实验提交 提交地址：iegqzhai@ 请压缩成一个rar文件，命名规则为：姓名_实验.rar，如： 张三_实验8.rar 提交时间：2010-06-18点之前。 另提交考试论文时间：暑假开学第一天。 Email:iegqzhai@ * * Perl Compatible Regular Expressions / PCRE Snort的规则库 Snort rules PHP所用图形库 http://www.aditus.nu/jpgraph JpGraph 为PHP提供统一的数据库连接函数 ADOdb 基于PHP的入侵检测数据库分析控制台 /kb/acid ACID Windows下的Snort安装包 Snort Windows下的网络驱动 WinPcap Windows下Aapche服务器，PHP脚本支持，数据库支持 /soft/30406.html Apache+PHP+MySQL套件 作用 下载网站 软件名称 Perl Compatible Regular Expressions / PCRE Snort的规则库 Snort Rule PHP所用图形库 http://www.aditus.nu/jpgraph JpGraph 为PHP提供统一的数据库连接函数 ADOdb 基于PHP的入侵检测数据库分析控制台 /kb/acid ACID Linux下的Snort安装包 Snort Linux下的网络驱动 libpcap 数据库支持 / MySQL PHP脚本支持 / PHP Linux下web服务器 / Apache 作用 下载网站 软件名称 TCP 99.827% Sniffer Mode * * *