基于Windows的入侵检测snort+BASE.doc

基于windows的入侵检测系统配置和验证综合实验 1. 实验目的 通过本实验，学习和熟悉在windows环境下配置入侵检测系统的步骤 掌握构成windows环境入侵检测系统的各种软件的安装和使用方法。 熟悉一些常用的入侵检测系统配置和操作命令及方法。 2. 实验要求 2.1预备知识 在windows下建立入侵检测系统一般采用“传感器—数据库—分析平台”的三层架构体系架构。本实验基于Snort和BASE进行构建入侵检测系统。 传感器即网络数据包捕获转储程序, 其中WinPcap作为系统底层网络接口驱动，Snort作为数据报捕获、筛选和转储程序，二者即可构成IDS的传感器部件。为了完整覆盖监控可以根据网络分布情况在多个网络关键节点上分别部署IDS传感器。 要监听流经本机网卡的所有数据包,必须绕过系统正常工作的处理机制,直接访问网络底层,需要把网卡的工作模式置于混杂(promiscuous)模式。当网络接口处于这种“混杂”方式时，该网络接口具备“广播地址”，它对所有接收到的帧都产生硬件中断以提醒操作系统处理流经该物理媒体上的每一个报文（绝大多数的网络接口具备置成promiscuous方式的能力）。操作系统直接访问数据链路层，截获相关数据，由应用程序而非上层如IP层、TCP层协议对数据过滤处理，这样就可以监听到流经网卡的所有数据。在实际应用中,其中存在若干用户不关心的数据,严重影响了系统工作效率。因此需要对数据包进行过滤,只将用户关心的敏感数据向上层提交,从而提高工作效率。包捕获和包过滤通常在内核层,具体实现依赖于操作系统。这样就需要提供一个这样的库:它建立在包捕获和包过滤模块之上,依赖于操作系统,但提供一套系统无关的调用接口供用户空间程序使用,用户程序通过它与内核部分通信而且能独立于操作系统。Libpcap(其Windows版本为WinPcap)就是这样的一个函数库。 Snort是一套非常优秀的开放源代码网络监测系统，在网络安全界有着非常广泛的应用。其基本原理基于网络嗅探，即抓取并记录经过检测节点以太网接口的数据包并对其进行协议分析，筛选出符合危险特征的或是特殊的流量。网络管理员可以根据警示信息分析网络中的异常情况，及时发现入侵网络的行为。 数据库用来存储入侵检测系统的数据包信息，本实验采用MySQL数据库，在 Snort获得记录信息后直接存储到MySQL数据库中。 由于Snort的日志记录仅仅包含网络数据包的原始信息，使用WEB平台下的BASE软件对这些大量的原始信息进行操作查询数据库的分析。 这三种角色既可以部署于同一个主机平台也可以部署在不同的物理平台上，架构组织非常灵活。如果仅仅需要一个测试研究环境，单服务器部署是一个不错的选择；而如果需要一个稳定高效的专业IDS平台，那么多层分布的IDS无论是在安全还是在性能方面都能够满足。具体的部署方案还要取决于实际环境需求。 2.2实验完成要求 参考实验步骤，在虚拟机上建立在windows环境下的入侵检测系统 按照实验报告要求如实填写好实验报告。 3. 实验环境 本实验的网络环境为TCP/IP交换环境，需要用到安装有windows操作系统虚拟机的学生主机1台。 (真实系统与虚拟机系统连接图) 4. 准备工作 1）学生实验用机安装有虚拟机VMwareWorkstation软件，并装有包含2个分区的window操作系统。 2）本实验在进行过程中需要使用到以下软件，请从实验系统页面下载并统一保存到非系统分区D：\IdsInstallTool 文件夹下 。 ① WinPcap_4_0_2安装程序 ② Snort2.8.0 for Win32安装程序 ③ Snort规则库； ④ mysql-6.0.7-alpha-win32安装程序 ⑤ PHP5的数据库连接组件：adodb506a ⑥ Apache 2.2.6 for Win32-x86 with OpenSSL 0.9.8e ⑦ PHP 5.2.4 for Win32 Non-install ⑧ WEB前端:Basic Analysis and Security Engine 1.3.6 ⑨ nmap-4.75-setup ⑩ Nessus.exe 5. 实验步骤 5.1 实验任务一：部署传感器组件 安装WinPcap程序，点击已下载的安装文件WinPcap4.0.2.exe，执行默认安装过程，完成安装。 2） 安装并配置Snort程序。 (1)点击已下载的安装文件Snort.Installer.exe,开始安装。 图1.2.1 选择snort默认支持的数据库类型 图1.2.2 选择默认的snort安装组件 设置snort的安装路径，将snort安装在非系统分区内，可设为D:\Snort。然后点击next按钮,进入最后一步，再点击c