实验16Snort入侵检测.ppt

Snort的使用,第1章 程序设计基础,实验目的,通过实验深入理解IDS的原理和工作方式，熟悉入侵检测工具snort在Windows操作系统中的安装和配置方法,Snort的使用,Snort介绍 安装配置Snort Snort的使用,1.Snort简介,snort是Martin Roesch等人开发的一种开放源码的入侵检测系统。Martin Roesch把snort定位为一个轻量级的入侵检测系统。它具有实时数据流量分析和IP数据包日志分析的能力，具有跨平台特征，能够进行协议分析和对内容的搜索/匹配。它能够检测不同的攻击行为，如缓冲区溢出、端口扫描、DoS攻击等，并进行实时报警,1.Snort简介,snort有三种工作模式：嗅探器、数据包记录器、入侵检测系统。做嗅探器时，它只读取网络中传输的数据包，然后显示在控制台上。作数据包记录器时，它可以将数据包记录到硬盘上，已备分析之用。入侵检测模式功能强大，可通过配置实现，但稍显复杂，snort可以根据用户事先定义的一些规则分析网络数据流，并根据检测结果采取一定的动作,1.Snort简介,Snort具有良好的扩展性和可移植性，可支持Linux、windows等多种操作系统平台，在本实验中，主要介绍snort在windows操作系统中的安装和使用方法，以有助于同学们对入侵检测系统的深入理解 在下面的实验内容中涉及到较多mysql数据库服务器以及snort规则的配置命令，为了有助于对实验内容的深入了解，首先对mysql和snort的使用方法进行简单介绍，下面主要介绍基于windows操作系统的操作方法,2.mysql的使用,mysql默认安装在C:mysql文件夹下，其运行文件为C:mysqlbinmysql.exe，故在使用时需先在windows命令行方式下进入C:mysqlbin文件夹，即单击“开始”按钮，选择“运行”，输入cmd后，输入下面的命令： C:cd mysqlbin 出现下面的提示符： C:mysqlbin 在此目录下可连接mysql数据库,(1)连接mysql数据库,连接mysql：mysql -h主机地址 -u用户名 -p用户密码 如果只连接本地的mysql，则可以省去主机地址一项，默认用户的用户名为root，没有密码。故可以用下面的语句登录： mysql -u root p 屏幕上会出现密码输入提示符 Enter password： 由于根用户没有密码，直接回车，出现下面的提示符： mysql 这表示已经进入mysql数据库的管理模式，可在此模式下对数据库、表、用户进行管理,(2)数据库和表的管理,创建新的数据库：create database 数据库名; 注意一定要在命令末尾加上“;”为语句的终止符，否则mysql不会编译该条命令 使用某数据库：use 数据库名 在某库中建立表：create table 表名（字段设定列表） 也可以从事先导出的表文件导入数据库中： c:mysqlbinmysql -D 数据库名 -u 用户名 -p密码 路径及文件名 删除数据库：drop database 数据库名 删除表：drop table 表名,(3)用户的管理,创建新用户：grant select on 数据库.* to 用户名登录主机 identified by 密码 为用户分配权限： grant 权限 on 数据库 .* to “用户名“主机名“;,(4)退出mysql,退出mysql：quit或exit 则可以退出mysql数据库的管理模式，回到操作系统命令行界面。 mysql作为一个功能较强的数据库管理软件，其使用规则还有很多内容，感兴趣的读者可自行查阅mysql联机帮助,3. snort的启动,要启动snort，通常在windows命令行中输入下面的语句： c:snortbinsnort -c “配置文件及路径“ -l “日志文件的路径“ -d -e X 其中： -X 参数用于在数据链接层记录raw packet 数据 -d 参数记录应用层的数据 -e 参数显示记录第二层报文头数据 -c 参数用以指定snort 的配置文件的路径,3. snort的启动,如： c:snortbinsnort -c “c:snortetcsnort.conf“ -l “c:snortlog“ -d -e -X 也可以控制snort将记录写入固定的安全记录文件中： c:snortbinsnort A fast c 配置文件及路径 l 日志文件及路径,1.实验环境,一台安装windows2000/XP操作系统的计算机，连接到本地局域网中 注意: 在打开PHP文件的时候用的是写字板，而不是记事本,2.需要下载安装的软件,3.安装,(1)安装Apache_2.0.46 双击apache_2.0.46-win32-x86-no_src.msi，安装在默认文件夹c:apache下。安装程序会在该文件夹下自动产生一个子文件夹apache2 打开配置文件c:apacheapache2confhttpd.conf，将其中的Listen 8080 ，更改为 Listen 50080,(1)安装Apache_2.0.46,(1)安装Apache_2.0.46,注意：这是由于windows IIS中的Web服务器默认情况下在TCP 80端口监听连接请求，而8080端口一般留给代理服务器使用，所以为了避免Apache web 服务器的监听端口与其发生冲突，将Apache Web服务器的监听端口修改为不常用的高端端口50080,(1)安装Apache_2.0.46,单击“开始”，选择“运行”，输入“cmd”，进入命令行方式。输入下面的命令： c:cd apacheapache2bin c:apacheapache2binapache k install 这是将apache设置为windows中的服务方式运行,(2)安装PHP,解压缩php-4.3.2-Win32.zip 至c:php 拷贝c:php下php4ts.dll 至%systemroot%system32，php.ini-dist至%systemroot% php.ini。 注意：这里的第二步应该是：php.ini-dist至%systemroot%目录下，然后改名为php.ini,(2)安装PHP,添加gd图形库支持，在php.ini中添加extension=php_gd2.dll。如果php.ini有该句，将此语句前面的“;”注释符去掉,(2)安装PHP,注意：这里需要将文件c:phpextensionsphp_gd2.dll拷贝到目录c:php下,(2)安装PHP,添加Apache对PHP的支持。在c:apacheapache2confhttpd.conf中添加： LoadModule php4_module “c:/php/sapi/php4apache2.dll“ AddType application/x-httpd-php .php,(2)安装PHP,单击“开始”按钮，选择“运行”，在弹出的窗口中输入cmd进入命令行方式，输入下面命令： net start apache2 在windows中启动Apache web服务,(2)安装PHP,在c:apacheapache2htdocs 目录下新建test.php测试文件，test.php 文件内容为 使用:50080/test.php，测试PHP是否成功安装，如成功安装，则在浏览器中出现下面的网页：,(2)安装PHP,(3)安装Snort,安装snort-2_0_0.exe，snort的默认安装路径在c:snort,(4)安装配置MYSQL数据库,安装Mysql到默认文件夹c:mysql，并在命令行方式下进入c:mysqlbin，输入下面的命令： c:mysqlbinmysqld -nt install 在命令行方式下输入net start mysql，启动mysql 服务,(4)安装配置MYSQL数据库,单击“开始”按钮，选择“运行”，输入“cmd”，在出现的命令行窗口中输入下面的命令： c:cd mysqlbin c:mysqlbinmysql u root p,(4)安装配置MYSQL数据库,出现Enter password提示符后直接回车，这就以默认的没有密码的root用户登录Mysql数据库,(4)安装配置MYSQL数据库,在mysql提示符后输入下面的命令： mysql create database snort； （注意：在输入分号后mysql才会编译执行语句） mysqlcreate database snort_archive; (上 面的create语句建立了snort运行必须的snort数据库和snort_archive数据库),(4)安装配置MYSQL数据库,输入“quit”命令退出mysql后，在出现的提示符之后输入： mysql -D snort -u root -p mysql -D snort_archive -u root -p c:snortcontribcreate_mysql (上面两个语句表示以root用户身份，使用c:snortcontrib目录下的create_mysql脚本文件，在Snort数据库和snort_archive数据库中建立了snort运行必须的数据表),(4)安装配置MYSQL数据库,注意：以此形式输入的命令后没有“；” 屏幕上会出现密码输入提示，由于这里使用的是没有密码的root用户，直接回车即可,(4)安装配置MYSQL数据库,再次以root用户登陆mysql数据库，在提示符后输入下面的语句： mysqlgrant usage on *.* to “acid“localhost“ identified by “acidtest“; mysqlgrant usage on *.* to “snort“localhost“ identified by “snorttest“; (上面两个语句表示在本地数据库中建立了acid（密码为acidtest）和snort（密码为snorttest）两个用户，以备后面使用),(4)安装配置MYSQL数据库,在mysql提示符后面输入下面的语句 mysql grant select,insert,update,delete,create,alter on snort .* to “acid”“localhost”; mysql grant select,insert on snort .* to “snort”“localhost”; mysql grant select,insert,update,delete,create,alter on snort_archive .* to “acid”“localhost”; (这是为新建的用户在snort和snort_archive数据库中分配权限),(5)安装adodb,将adodb360.zip解压缩至c:phpadodb 目录下，即完成了adodb的安装,(6)安装配置数据控制台acid,解压缩acid-0.9.6b23.tar.gz 至c:apacheapache2htdocsacid 目录下 修改c:apacheapache2htdocsacid下的acid_conf.php 文件：,(6)安装配置数据控制台acid,$DBlib_path = “c:phpadodb“; $DBtype = “mysql“; $alert_dbname = “snort“; $alert_host = “localhost“; $alert_port = “3306“; $alert_user = “acid“; $alert_password = “acidtest“; /* Archive DB connection parameters */ $archive_dbname = “snort_archive“; $archive_host = “localhost“; $archive_port = “3306“; $archive_user = “acid“; $archive_password = “acidtest“; $ChartLib_path = “c:phpjpgraphsrc“;,注意：修改时要将文件中原来的对应内容注释掉，或者直接覆盖,(6)安装配置数据控制台acid,查看:50080/acid/acid_db_setup.php网页,点击create ACID AG建立数据库,(6)安装配置数据控制台acid,按照系统提示建立数据库，正常建立后出现下面的网页,(7)安装jpgrapg 库,解压缩jpgraph-1.12.2.tar.gz 至c:phpjpgraph 修改c:phpjpgraghsrc下jpgragh.php文件，去掉下面语句的注释： DEFINE(“CACHE_DIR“,“/tmp/jpgraph_cache/“)；,(8)安装winpcap,安装默认选项和默认路径安装winpcap,(9)配置并启动snort,打开c:snortetcsnort.conf文件，将文件中的下列语句： include classification.config include reference.config 修改为绝对路径： include c:snortetcclassification.config include c:snortetcreference.config,(9)配置并启动snort,在该文件的最后加入下面语句： output database: alert, mysql, host=localhost user=snort password=snorttest dbname=snort encoding=hex detail=full,(9)配置并启动snort,单击“开始”，选择“运行”，输入cmd，在命令行方式下输入下面的命令： c:cd snortbin； c:snortbinsnort -c “c:snortetcsnort.conf“ -l “c:snortlog“ -d -e -X,(9)配置并启动snort,上面的命令将启动Snort，如果snort正常运行，系统最后将显示出下面的信息：,(9)配置并启动snort,打开:50080/acid/acid_main.php网页，进入acid分析控制台主界面。如上述配置均正确，将出现下面的页面：,(9)配置并启动snort,至此Snort安装、配置完成,安装配置Snort,安装Snort时注意关闭防火墙,1.完善配置文件,打开c:/snort/etc/snort.conf文件，查看现有配置 设置snort的内、外网检测范围。将snort.conf文件中var HOME_NET any语句中的any改为自己所在的子网地址，即将snort监测的内网设置为本机所在局域网。如本地IP为0，则将any改为/24。并将var EXTERNAL_NET any语句中的any改为!/24，即将snort监测的外网改为本机所在局域网以外的网络,1.完善配置文件,设置监测包含的规则。找到snort.conf文件中描述规则的部分，如下图：snort.conf文件中包含的检测规则文件: 前面加表示该规则没有启用，将local.rules之前的#号去掉，其余规则保持不变,1.完善配置文件,2.使用控制台查看检测结果,打开:50080/acid/acid_main.php网页，启动snort并打开acid检测控制台主界面,2.使用控制台查看检测结果,2.使用控制台查看检测结果,点击右侧图示中TCP后的数字“80%”，将显示所有检测到的TCP协议日志详细情况，如下图所示。TCP协