Snort入侵检测系统实验.docVIP

Snort入侵检测系统实验 小组成员 实验概述 Snort是一套开放源代码的网络入侵预防软件与网络入侵检测软件。Snort使用了以侦测签章（signature-based）与通讯协定的侦测方法。 Snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。Snort最重要的用途还是作为网络入侵检测系统(NIDS)。 本次实验任务主要有： 在虚拟机中的ubuntu上安装Snort。 描述Snort规则并进行检测。 实验环境 1. 主机CPU: Pentium 双核 T4300 @ 2.10GHz 2. Vmware版本: VMware Workstation 3. Linux发行版 : Ubuntu 11.04 4. Linux 内核: Linux 2.6.38 实验过程 由于 Ubuntu 是 Debian 系的 Linux，安装软件非常简单，而且 Ubuntu 在中国科技大学有镜像，在教育网和科技网下载速度非常快(2~6M/s)，就省掉了出国下载安装包的麻烦，只需要一个命令即可在几十秒钟内安装好所有软件。 具体实验步骤如下： 1、这里使用 Ubuntu 默认命令行软件包管理器 apt 来进行安装。 以下是代码片段：??? $ sudo apt-get install libpcap0.8-dev libmysqlclient15-dev mysql-client-5.1 mysql-server-5.1 bison flex apache2 libapache2-mod-php5 php5-gd php5-mysql libphp-adodb php-pear pcregrep snort snort-rules-default 需要注意的是在安装 MySQL 数据库时会弹出设置 MySQL 根用户口令的界面，临时设置其为“test”。 2、在 MySQL 数据库中为 Snort 建立数据库。Ubuntu 软件仓库中有一个默认的软件包 snort-mysql 提供辅助功能，用软件包管理器下载安装这个软件包。 以下是代码片段：??? $ sudo apt-get install snort-mysql 3、安装好之后查看帮助文档：??????? $ less /usr/share/doc/snort-mysql/README-database.Debian 根据帮助文档中的指令，在 MySQL 中建立 Snort 的数据库用户和数据库。所使用的命令如下： 以下是代码片段：??? $ mysql –u root –p 登陆进入mysql的界面之后，根据上面文件中的配置方法对mysql进行配置： 以下是代码片段：? mysql CREATE DATABASE snort;??? 　　mysql grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort@localhost;??? 　　mysql grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort;??? 　　mysql SET PASSWORD FOR snort@localhost=PASSWORD(snort-db);??? 　　mysql exit 以上命令的功能是在 MySQL 数据库中建立一个 snort 数据库，并建立一个 snort 用户来管理这个数据库，设置 snort 用户的口令为 snort-db。 然后根据 README-database.Debian 中的指示建立 snort 数据库的结构。 以下是代码片段：? $ cd /usr/share/doc/snort-mysql??? 　　$ zcat create_mysql.gz?? mysql -u snort -D snort -psnort-db 这样就为 snort 在 MySQL 中建立了数据库的结构，其中包括各个 snort 需要使用的表。设置 snort 把 log 文件输出到 MySQL 数据库中 4、修改 Snort 的配置文件：/etc/snort/snort.conf 以下是代码片段：??? $ sudo vim /etc/snort/snort.conf 在配置文件中将 HOME_NET 有关项注释掉，