网络安全实验Snort网络入侵检测实验

《网络安全实验Snort网络入侵检测实验》由会员分享，可在线阅读，更多相关《网络安全实验Snort网络入侵检测实验（7页珍藏版）》请在装配图网上搜索。

1、网络安全实验Snort网络入侵检测实验(总6页)-CAL-FENGHAI.-(YICAI)-Company Onel-CAL -本页仅作为文档封面，使用请直接删除遵义师范学院计算机与信息科学学院实验名称Snort网络入侵检测;实验类型操作实验学时实验指导教师4实验时间实验报告(20132014学年第1 学期课程名称：网络安全实验 班级学号姓名任课教师计算机与信息科学学院实验报告-、实验目的与要求(1) 进一步学习网络入侵检测原理与技术。(2) 理解Snort网络入侵检测基本原理。(3) 学习和掌握Snort网络入侵检测系统的安装、配置与操作。(4) 学习和掌握如何利用Snort进行网络入侵检测

2、应用。二、实验仪器和器材惠普 pavilion-G4, corel-i3-2310,内存：4G,虚拟机软件 vmware9.0, windows server 2003， Snort_2_9_2_2_Installer,。Acid， Adodb, Jpgraph, Mysql, PHP, WINPCAP, SNORTRULES。三、实验原理、内容及步骤(一) 、实验原理：入侵检测基本原理：入侵检测(Int rusion Det ec tion)是对入侵行为的检测。它通过收集和分析网络 行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键 点的信息，检查网络或系统中是否存在

3、违反安全策略的行为和被攻击的迹象。入侵检 测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时 保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道 安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任 务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻 的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件 的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安 全管理能力(包括安全审计、监视、进攻识别和

4、响应)，提高了信息安全基础结构的 完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络 中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第 二道安全 闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻 击和误操作的实时保护。这些都通过它执行以下任务来实现：监视、分析用户及系统活动系统构造和弱点的审计识别反映已知进攻的活动模式并向相关人士报警异常行为模式的统计分析评估重要系统和数据文件的完整性-操作系统的审计跟踪管理，并识别用户违反安全策略的行为。对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统(包 括程序、

5、文件和硬件设备等)的任何变更，还能给网络安全策略的制订提供指南。更 为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安 全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。 入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警 等。入侵检测系统所采用的技术可分为特征检测与异常检测两种：特征检测(Signature-based detection)又称 Misuse detection，这一检测假设入 侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它 可以将已有的入侵方法检查出来，但对新的入侵方法无能为

6、力。其难点在于如何设计 模式既能够表达“入侵”现象又不会将正常的活动包含进来。异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。根据这 一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相 比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为Snort入彳:检测系统:Snor t简介：在1998年，Mar tin Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天，Sno

7、rt已发展成为一个多平台(Multi- Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的 网络入侵检测/防御系统(Ne twork Int rusion De tect ion/Preven tion Sys tem),艮卩 NIDS/NIPS.Snort 符合通用公共许可(GPLGUN General Pubic License),在网上可 以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它。snort基于 libpcap。Snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式 仅仅是从网络上读取

8、数据包并作为连续不断的流显示在终端上。数据包记录器模式把 数据包记录到硬盘上。网络入侵检测模式是最复杂的，而且是可配置的。我们可以让 snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。Snort原理：Snort能够对网络上的数据包进行抓包分析，但区别于其它嗅探器的 是，它能根据所定义的规则进行响应及处理。Snort通过对获取的数据包，进行各规 则的分析后，根据规则链，可采取Activation (报警并启动另外一个动态规则链)、 Dynamic (由其它的规则包调用)、Alert (报警)，Pass (忽略)，Log (不报警但记 录网络流量)五种响应的机制。Sn

9、ort有数据包嗅探，数据包分析，数据包检测，响应处理等多种功能，每个模块实现不同的功能，各模块都是用插件的方式和 Snort相结合，功能扩展方便。例如，预处理插件的功能就是在规则匹配误用检测之前 运行，完成TIP碎片重组，http解码，telnet解码等功能，处理插件完成检查协议各 字段，关闭连接，攻击响应等功能，输出插件将得理后的各种情况以日志或警告的方 式输出。Snort工作过程：Snort部署与运行：Snort的部署非常灵活，很多操作系统上都可以运行，可以运 行在window xp，windows2003，linux等操作系统上。用户在操作系统平台选择上应 考虑其安全性，稳定性，同时还要

10、考虑与其它应用程序的协同工作的要求。如果入侵 检测系统本身都不稳定容易受到攻击，就不能很好的去检测其它安全攻击漏洞了。在 Linux与Windows操作系统相比较之下，Linux更加健壮，安全和稳定。Snort的运 行，主要是通过各插件协同工作才使其功能强大，所以在部署时选择合适的数据库， Web服务器，图形处理程序软件及版本也非常重要。Snort部署时一般是由传感器层、 服务器层、管理员控制台层三层结构组成。传感器层层就是一个网络数据包的嗅探器 层，收集网络数据包交给服务器层进行处理，管理员控制台层则主要是显示检测分析 结果。部署Snort时可根据企业网络规模的大小，采用三层结构分别部署或采

11、用三层 结构集成在一台机器上进行部署，也可采用服务器层与控制台集成的两层结构。Snort的有三种模式的运行方式：嗅探器模式，包记录器模式，和网络入侵检测系 统模式。嗅探器模式仅仅是从捕获网络数据包显示在终端上，包记录器模式则是把捕 获的数据包存储到磁盘，入侵检测模式则是最复杂的能对数据包进行分析、按规则进 行检测、做出响应。（二）、实验内容：（1）在Windows下安装Sort工具。（2）Snort入侵检测系统配置。（3）Snort入侵检测系统检测ICMP PING扫描。（4）Snort入侵检测系统来自外网的ICMP PING扫描。（5）Snort入侵检测系统与防火墙联动。（三）、实验步骤（因

12、为此次实验在windows系统下进行，所以软件安装 步骤较多，具体如下）：1. Windows下安装Snort以及其他工具安装1）首先在windows下先安装apache windows服务器，并安装至C:IDSAPACHE 文件夹内，在弹出来的因为此版本是集成了 PHP,MY SQL的，所以直接点击安装。安装 过程中会提示输入SQL密码以及apache的root名和管理员邮箱，输入即可。，帐户名为Tokyo，密码设置为123456.2）将 C:idsphp5 Php5ts.dll 复制到 WINDOWS 和 WINDOWSsystem32 目录3）添加GD图形库的支持，将C:WINDOWS下

13、的PhP.ini中把“；ex tension二php_gd2.dll和“；ex tension二php_mysql.dll这两条语句前面的分 号去掉。4）将 C:idsphp5ext 下的文件 php_gd2.dll,php_mysql.dll 复制至 C:windows 下；将 php_mysql.dll 复制至 C:windowssystem32 下；5）添加 APACHE 对 PHP 的支持。在 C:idsapacheconfhttpd.conf 的末尾添加 以下语句：LoadModule php5_module c:/ids/php5/php5apache2_2.dllAddType

14、application/x-httpd-php .php6）重启 APACHE。7）在 C:idsAPACHEhtdocs 目录下新建 TEST.PHP，内容：phpinfo（）;。 在IE中测试PHP是否成功安装。8）安装 WINPCAP。此处安装了一个带有winpcap的软件，由于前次实验已经安装在电脑上就不再安 装。9）安装SNORT至C:idssnort。安装时会提示选择组件以及是否用数据库，这里 我们先不选择数据库，组件默认四个全部安装，安装完成后运行一次MYSQL,安装目录 如下图：10）在命令行方式下，进入c:idssnortbin,执行命令：snort -W,测试 SNORT是

15、否成功安装。出现以下提示则安装成功。11）将 C:IDSSnortschemas 里面的 create_mysql 复制到 C:根目录下，如图：12）安装adodb，将实验实现准备好的额adodb文件夹 复制至c:php5adodb目 录下：13）安装jpgraph，将实验实现准备好的jpgraph文件夹复制至c:php5jpgrap ho修改 C:php5jpgraphsrcjpgraph.php: DEFINE（“CACHE_DIR”，”/tmp/jpgraph_cache”）；14）创建数据库，创建表，进入cmd界面，执行以下命令：cd，mysql -u root - p，输入密码后，登

16、录mysql建两个数据库：create database snort;create database snort_archive;验证一下show databases;2. 运行 Snort:1）进入Mysql控制台，建立SNORT运行必须的SNORT数据库和SNORT_ARCHIVE数 据库。输入 mysql -h localhost -u root -p123456 c:snort_mysql.sql :2）复制 C:idssnortschames 下的 create_mysql 文件到 C:idssnortbin 下。3）在命令行方式下分别输入和执行以下两条命令。 mysql -D sn

17、ort -u root -p C:create_mysqlmysql -D snort_archive -u root -p c:create_mysql4）查看数据库：show databases5）修改该目录下的ACID_CONF.PHP文件，修改内容如下： .snort ;localhost;3306; 1 acid ;“123456；$DBlib_path = c:idsphp5adodb; $DBtype 二mysql;snort_archive;localhost;3306; 1 acid ;“123456；c:idsphp5jpgraphsrc;6） 重启APACHE服务。在IE

18、中输入：，打开页面后，单击Create ACID AG按 钮，建立数据库。$alert_dbname $alert_host $alert_port $alert_user $alert_password /* Archive DB connection parameters */ $archive_dbname $archive_host $archive_port $archive_user $archive_password $ChartLib_path =7）解压缩SNORT规则包。将事先准备的SNORT规则包的所有文件解压缩至： C:idssnort下，替换其中的文件和文件夹。8）配

19、置 SNORT，打开 snort 配置文件 c:snortetcsnort.conf 将 include classification.configinclude reference.config 改为绝对路径include c:snortetcclassification.config include c:snortetcreference.config9）启动SNORT入侵检测。以命令行下输入以下命令，启动SNORT程序。（如果 希望看到SNOR抓取的数据包，可以-X之后加-V。10）执行以下命令加速SNORT并保存配置3.查看统计数据：1）从安装有SNORT的主机上打开/acid/aci

20、d main.php，进入ACID分析控制台主 界面，从中便可以查看到统计数据。至此，基于SNORT的入侵检测系统配置结束。后 续工作则是完善SNORT规则配置文件。可以在命令行中看见snort监测数据。 重新做了一边实验以后，显示以下内容，算是成功吧。到此，实验结束。 总结：此次实验历经苦难，最终还是没有在网页上显示snort检测数据报告，但是在命 令行里面却可以看见snort监测数据，因为先前在做实验的时候不小心将 acid_conf.php里面的用户修改为了 root，后来虽然又改回来acid，但是因为已经 create acid ag，所以没有再次提示create，然后数据直不显示。又不知什么办法 才能解决。PS:后来换了一个server 2003重新做了一遍，结果显示UDP100%,想想应该是成 功了，不过不太确定，在网上找了一些教程，还没试，试试再说。成绩日期批阅人