《信息安全技术》实验报告_10网络1班_090810127_王双双.doc

实验序号： 7.2 信息安全技术实验报告实验名称：Snort网络入侵检测实验姓 名：王双双学 院：计算机科学与工程学院专 业：网络工程班 级：网络一班学 号：090810127指导教师：乐德广实验地址：N6-207实验日期：2012.12.19实验7.2 Snort网络入侵检测实验（1） 请回答实验目的中的思考题。（1） Snort系统有哪些组件构成？数据包捕获器，数据包解码器，预处理器，检测引擎，输出插件。（2） Snort有哪些工作模式？有3种，分别为：嗅探器，数据包记录器和网络入侵检测系统。（3） Snort入侵检测系统支持哪些报警输出？full fast socket console cmg none 和syslog（2） 说明snort的功能和作用？实时检测与响应，多检测分析技术，灵活的插件，丰富输出，规则描述简单，跨平台。（3） 结合实验，分析说明snort系统的配置文件snort.conf图1 如图1所示，为snort.conf部分配置文件，var HOME_NET /24 为设置本机的ip范围，var RULE_PATH /etc/snort/rules 定义规则的存放位置（4） 举例说明Snort进行系统入侵检测的基本过程。第一步，snort入侵系统检测的安装，从官网下载最新的rpm安装包，通过rpm命令的“-ivh”参数进行安装，操作命令如下：以上结果先以上结果显示说明snort已经正确安装到linux中，安装后用rpm命令-ql查看snort系统中文件目录结构，操作命令如下第二步：snort入侵检测系统配置，编辑 /etc/snort/snort.conf,操作如下：vi /etc/snort/snort.conf,编辑并修改相关的配置选项，将HOME_NET有关项注释掉，然后将HOME_NET设置为本机的ip地址：/24，将EXTERNAL_NET相关项注释掉，设置其为非本机网络，将RULE_PATH参数设置为snort规则集所在的网络，本例中/etc/snort/rules/local.rules,另外将配置文件中包含除local.rules之外的所有规则用#注释掉，修改以后保存退出。第三步：snort入侵检测系统检测icmp ping扫描，添加检测规则，创建并编辑、/etc/snort/rules/local.rules,并在该文件中添加一条检测规则，操作命令如下：以上规则表示对于网络上出现任何类型为8的ICMP数据包，将产生报警。第四步：启动入侵检测，执行的命令如下：第五步：执行ping扫描，操作命令如下：在主机上79 ping 7第六步，查看检测结果，打开报警输出文件/var/log/snort/alert,可以看出以下报警信息：以上信息可以看出主机79向主机7发送了三个类型8的ICMP数据包。Snort入侵检测系统检测来自外网的icmp扫描添加检测规则编辑/etc/snort/rules/local.rules文件，并在该文件中添加以下三条语句操作如下：执行检测，操作命令如下：Snort c /etc/snort/snort.conf A fast执行ping扫描。操作如下：查看结果，在snort 入侵检测系统上打开报警输出文件/var/log/snort/alert,可以看到以下报警信息:（5） 举例说明如何设置检测规则？ 规则范例：以上规则表示检测的网络数据为的协议为tcp协议，源端口，目的端口为任意，方向由外向内，内部网络子网地址/24 端口号21，当发现数据包含有“f0 55 87 be ”的内容时，snort会发送报警消息“ftp access”（6） 说明如何实现snort和netfilter/iptables防火墙联动响应？安装好netfilter/iptables防火墙后，需要用以下命令启动，接着，进行初始化设置，操作命令如下：最后，进行默认策略设置操作命令如下：安装guardian,下载rpm包，安装操作步骤如下：接下来，进行配置guardianvi /etc/guardian.conf 内容如下：修改guardian.pl,，修改 vi /usr/local/bin/guardian.conf 启动guardian执行命令启动guardian服务，操作如下验证测试：在主机80启动ftp服务器命令如下：设置snort规则，在/etc/snort/snort.conf中添加以下规则：通过命令 snort c /etc/snort/snort.conf 启动snort系统在主机79中对目标主机80中发起ftp连接 命令如下：这是我们发现主机无法连接ftp服务器，由于guardian根据snort对该连接行为的告警信息产生了联动，阻断了主机的连接请求。我们可以通过以下命令查看iptables规则表：（7） 请谈谈你对本实验的看法，并提出你的意见或建议。本次实验做的是入侵检测，按照实验报告书的上的步骤，慢慢的做下来，难度不是很大，在做实验中过程中也发现了一些问题，对于实验需要的一些rpm包，网上不好找，找了也不好用，还好老师有提供，对于redhat，不给钱，还真不好用，还是ubuntu好，更新以下源，输个命令，就好了。实验调查1 实验难易程度： B （A）容易；（B）恰当；（C）偏难；（D）