Snort入侵检测系统的配置与使用

1、贵州大学实验报告姓名学号实验组实验时间指导教师成绩实验项目名称实验三 Snort入侵检测系统的配置与使用实 验 目 的学会拾建Snort+Windows+Mysql+Php+Acid的网络入侵检测系统平台，并学习简单Snort规则的编写与使用，了解Snort的检测原理。实 验 要 求学会拾建Snort+Windows+Mysql+Php+Acid的网络入侵检测系统平台，并学习简单Snort 规则的编写与使用，了解Snort的检测原理。实 验 原 理（1）Apache_2.0.46的安装与配置（2）php-4.3.2 的安装与配置（3） snort2.0.0的安装与配置（4）Mysql数据库的安

2、装与配置（5）adodb的安装与配置（6）数据控制台acid的安装与配置（7）jpgraph库的安装（8）winpcap的安装与配置（9）snort规则的配置（10）测试snort的入侵检测相关功能实 验 仪 器（1）装有 Windows2000或 WindowsXP操作系统的 PC机；（2） Apache_2.0.46、php-4.3.2、snort2.0.0 、Mysql、adodb、acid、jpgraph 库、 winpcap等软件。实 验 步 骤（1）Apache_2.0.46的安装与配置（2）php-4.3.2 的安装与配置（3） snort2.0.0的安装与配置（4）Mysql数

3、据库的安装与配置（5）adodb的安装与配置（6）数据控制台acid的安装与配置（7）jpgraph库的安装学院：计信学院专业:班级:(8) winpcap的安装与配置(9) snort规则的配置(10) 测试snort的入侵检测相关功能(一) windows环境下snort的安装1 、安装 Apache_2.0.46(1) 双击 Apache_2.0.46-win32-x86-no_src.msi，安装在默认文件夹C:apache下。安装程序会在该文件夹下自动产生一个子文件夹apache2。(2) 打开配置文件 C:apacheapache2confhttpd.conf ，将其中的 List

4、en 8080， 更改为Listen 50080 。(这主要是为了避免冲突)。(3) 进入命令行运行方式(单击"开始”按钮，选择"运行” ，在弹出窗口中输入“ cmd',回车)，转入 C:apacheapachebin子目录，输入下面命令：C:apacheapache2b in> apache- k in stall将apache设置为以windows中的服务方式运行。2、安装PHP(1) 解压缩 php-432-Win32.zip 至 C:php。(2) 复制 C:php 下 php4ts.dll 至 systemroot%System32 , php.in

5、i-dist至 %systemroot%php.i ni。(3) 添加 gd 图形支持库，在 php.ini 中添加 extension=php_gd2.dll 。如果 php.ini 有该句，将此句前面的“；”注释符去掉。实 验 内 容(4) 添加 Apache 对 PHP的支持。在 C:apahceapache2confhttpd.conf中添加： LoadModule php4_module “ C:/php/sapi/php4apache2.dll ” AddTypeapplicati on /x-httpd-php .php(5) 进入命令行运行方式，输入下面命令：Net start

6、 apache2 ( 这将启动 Apache Web 服务)(6) 在 C:apacheapche2htdocs目录下新建 test.php 测试文件，test.php 文 件内容为 <?phpinfo();?>使用:50080/test.php，测试PHP是否成功安装，如成功安装，贝U在浏览器中出现如下图所示的网页PHP Version 4+3h2iphp)Systemendows NTC6E3F9992O&B491 5.1 Hulldl 2600EMM DaleMW 28 200315.86:05管电rwr APIApache 2 0 Ha

7、ndl>erSrhLDl Diireetary Sipportenabledronfiguration FKe ipglnljW 攔ihPHP API20020918PHP Exi«nsbMi20020429Zend EictensixHi2003101Q|ebng UbildHQTHread 歸何enabledPHP StiQuirirtfphp. htba, nv>.3、安装 snort安装snort-2_0_0.exe, snort的默认安装路径在C:snort安装配置Mysql数据库(1) 安装Mysql到默认文件夹 C:mysql，并在命令行方式下进入C:mys

8、qlbin ,输入下面命令：C:mysqlb inmysqld in stall这将使 mysql 在 Win dows 中以服务方式运行。(2) 在命令行方式下输入net start mysql ，启动 mysql服务(3 )进入命令行方式，输入以下命令C:mysqlbin>mysql - u root - p如下图：Xn;y5qlXbiin>nct start 曲叮右皿！lySQL眼弩正在启动.iyS«L服务己经启动成功.J: jTiysqlbin>ny5ql root -pintefJeleone toUy监QL menito« Connrtds e

9、nd uith : omfour MySQL Connection id is 1 to Server- vcrs inn * 4.0-.22debugrype * help；J or ' Xh for he Lp. Tipeto c lear the buffer.n3ql> .出现Enter Password提示符后直接按"回车”，这就以默认的没有密码的root用户登录mysql数据库。(1) 在mysql提示符后输入下面的命令(Mysql> )表示屏幕上出现的提示符，下同):(Mysql> ) create database snort;(Mysql&

10、gt; ) create database snort_archive;注意：在输入分号后mysql才会编译执行语句。上面的create语句建立了 snort运行必须的snort数据库和snort_archive 数据库。(2) 输入quit命令退出mysql后，在出现的提示符之后输入:(c:mysqlbin>) Mysql - Dsnort - u root - p<C:snort'eontribcreate_mysql(c:mysqlbin>) Mysql - D snort_archive- u root-p<C:snort'eontribcrea

11、te_mysql上面两个语句表示以root用户身份，使用 C:snort'eontrib目录下的create_mysql脚本文件，在 snort数据库和snort_archive数据库中建立了 snort运行必须的数据表。注意：在此形式输入的命令后没有“；”。屏幕上会出现密码输入提示，由于这里是用的是没有密码的root用户，直接按“回车”即可。(3) 再次以root用户身份登录 mysql数据库，在提示符后输入下面的语句：(mysql>) grant usage on *.* to “ acid ” loacalhost ” identified by “ acidtest ”

12、;(mysql> ) grant usage on *.* to“ snort ” loacalhost ” identified by“ snorttest ” ;上面两个语句表示在本地数据库中建立了acid (密码为acidtest )和snort (密码为snorttet )两个用户，以备后面使用。(4) 在mysql提示符后面输入下面的语句：(mysql>) grant select,insert,update,delete,create,alteron snort.*to “ adid ” localhost;(mysql>) grant select,insert

13、on snort.* to “ snort ” localhost;(mysql>) grant selectnsert,update,delete,create,alter onsnort_archive.* to“ adid ” localhost;这是为新建的用户在snort和snort_archive数据库中分配权限。4、安装 adodb将adodb360.zip 解压缩至 C:phpadodb 目录下，即完成了adodb的安装。安装配置数据控制台acid（1）解压缩 acid-0.9.6b23.tat.gz 至 C:apacheapache2htdocsacid目录下。（2）修

14、改 C:apahceapache2htdocs 下的 acid_conf.php 文件：DBIib_path = "C:phpadodb" $DBtype= ” mysql” ;$alert_db name= "sn ort"$alert_host= "localhost"$alert_port= "3306"$alert_user= "acid"$alert_password = "acidtest"/* Archive DB conn ecti on parameters

15、 */$archive_db name = "sno rt_archive"$archive_host = "localhost"$archive_port = "3306"$archive_user = "acid"$archive_password = "acidtest"$ChartLib_path= ” C:phpjpgraphsrc ” ;注意：修改时要将文件中原来的对应内容注释掉，或者直接覆盖。（3） 查看 :50080/acid/acid_db_set

16、up.php 网页，如下图所示，单击 create ACID AG建立数据库。HnrneSeai-ch A.G Mdiinleiidlicemid DB SetupstatusACW iMnM 忆Snon DB 2 台岬pen Lhe ACID fuetinialriyU雪哼平再GSsardhi IndaMM（口帥阿创AddB indexes to the Snort DB 1® oplimize lhe 即甌 Mihm queriesLoaded in 1 secondsACID >0.9 Eb23 （” pmrl 口f th呵oct）5、安装jpgraph库（1）解压缩 j

17、pgraph-1.12.2.tar.gz 至 C:phpjpgraph（2）修改C:phpjpgrahsrc 下jpgraph.php 文件，去掉下面语句的注释。DEFINE （” CACHE_DIR , ” /tmp/jpgraph_cache/ ”）; 安装 winpcap安装默认选项和默认路径安装winpcap。配置并启动snort文件，将文件中的下列语句:（3）打开 C:snortetcsnort.confin clude classificati on.configin elude referen ce.c onfig修改为绝对路径：in elude C:s no rtetcclas

18、sficatio n.configin clude C:s no rtetcrefere nce.c onfig(4) 在该文件的最后加入下面语句：Output database: alert,mysql,host=localhostuser=snort password=snorttestdbn ame=s nort en codi ng=hex detail=full(5) 进入命令行方式，输入下面的命令：C:snortbin>snort - c “ C:snortetcsnort.conf”- I “ C:snortlog-d - e - X上面的命令将启动 snort，如果sno

19、rt正常运行，系统最后将显示如下图所示(thre shold in locn 11 495Bothtraclk±nig=iis-tcount-20c-ouintsecondst ype =ThrEi sho Id t i*ac lk±nig=dlstcount =5seconds：co uni t =10eeoriidf5ia-id-24Mion )im lc app lie at ion order： - >act ivat ion- >dynam ic - >pa<35->loa=1 nit ializat ion CompleteL-&#

20、171;> Snaif <«-Bion 22 -0-OMC-HySQL-FlexRESP-W) N32 CBuild 30>Dy Martin Roesch < to esc lif'-so urc cf ire - con F www.OFg)11-7-WIH32 Port Bjj Mithae 1 Dduis <mliceanewiiw-dataner*d£- = net/nilke> 1.8 - 2.x LHH32 Port By Chi1*is Boidl (chris iEidEccidECiraf魄nts： con(6

21、) 打开 :50080/acid/acid_main.php 网页，进入 acid 分析控制台主界面。如上述配置均正确，将出现如下图所示的页面。Added alsf15)Go 1hn XMert 匚acihDOnciried on Thu Daccmber 14. 20(E 00 04 05D也帘bp応：冒0列1色血阳lhg|/330E |acii«ini3IDE)Tfcm wln-dowr w sMs cfe?ec2 耐Se-nsonG： 0Unlqre Al«m： C ( U <：ate>i：|Of4»«Ti

22、allE Profile by PidWcdI TCP MlTeial Niiiinbef Al AleirtK 0UDP (D対* Source IP addreases QICMP p% Oe.1 IP iddnesses- 0* Unique IP links 0* SmircB Parts: DPortscsn Trc 卩对o TCF (0) IdP ( 0V DkI Porl-E- 0O ICP (0) UDP(U Search G'ldipli Aleil duil-d二、Windows下 snort 的使用1 、完善配置文件(1) 打开 C:snortetcsnort.c

23、onf(2) 配置snort的内、外网检测范围。将snort.conf 文件中var Home_NET any语句中的any改为自己所在的子网地址， 即将snort监测的内网设置为本机所在局域网。如本地IP为0 ，则将any改为 /24。并将 var EXTERNAL_NET any语句中的 any 改为！ /24 ，即将 snort 监 测的外网改为本机所在局域网以外的网络(3) 设置监测包含规则。找到snort.conf 文件中描述规则的部分，前面加"#”表示该规则没有启用，将local.rules 之前的&quo

24、t;#”去掉，其余规则保持不变。2、使用控制台查看结果3、配置snort规则(1) 打开 C:snortruleslocal.rules文件。(2) 在规则中添加一条语句，实现对内网的UDP协议相关流量进行检测，并报警：udpids/d ns-vers ion-q uery。语句如下：Alert tcp any any->$Home_NET any ( msg:” udpids/dn s-vers ion-q uery” ；content: ” vers ion ” ；)重启snort和acid检测控制台，使规则生效。U LibLvii: Allaus ynu Lo IfiiriLi A

25、pathy Lu sp«*c.iFi匚 1F dilid广«9iiid/uE- 11 jitt'r* tk r lhte-dd of tbH dif f dill I _dlbii Llie <U it1 Lil jil Htcihl. >U dirpctiuv.ItU Cluingp this tnnn specifir LP Riidr垢垢“葺 呆号 刪hnmiitnU prF'UFiit iApncti'p Frnn glnrmj p j qintn al 1 bound IP 打虑“厂于耳玉产岭(fl. d s E BHHList

26、i-rizRHListen BOSS 13 li D>piiftiix SfidriHd Olij#c1 (USD) uppurLIC : SjipnclieXhio- k也替赳勺Apache t-l> naive ) -M dLlt由J (-f f lie I-C【p ,directiue,",J-k stapt Srestaift Seto-p iehutdown 1Ik inst:a 113c口nfig*1 I-n 5ervice_jiaiivr-!r-v HUJ -hl -1 -L L-tl -S1I实 验 数 据POplLions ；4 neir*B-=11 d

27、±i*e£.七口 r*y -f filoC !dir*ctiuel!B -c ,d±rectiveM n nar*E-k start"k restart-k etopishutoun -k install-k canfiarlc un ins t a.11-w_e 丄皀丄-E filet -D DUMP VHOSTSdef ine r nnw 护 use in <IfDefine> directluesj;pec if 5; am ultcrnAte in itial Scirue-rRn'Ot specif jr an a It a

28、 mate Servei-Conf iPile pmce-5 5 diract iue hr;Fore t"eading- conTig* iles process diictive aftei*1 胪ending confiy files set seiruic:亡 nantt and use its SeiuerCDinf igFi 1c tell Apache to stai-tte 11 Linnin-g Apaclie tu do a. gra匚亡Fu.ll restart tell iMinning Apache to shutdowninstall am Apache

29、servicechange startup Opt lone of an Apache seruice un install ajn Apflche ser-uicehold op&n the Done ole windlow on error Eihiau st-artup Errors of leve 1 (see La-gLeuel logr at art up errors Co f ±leshau uers i口n muraher show cunpil呑 settinff® list au-ai丄厶11>丄亡 comraancB line opt

30、ions <thLs pagte)1 list compiled in modulesii5t aiz-cM丨丄able conf igurddt i口n direct ives show parked settings <gurrentlv onlv vhost settings> a syn口n艸 for It D fiOMP_yH OSTS run syntax cJheck for- confisr filesC： sDocument and Sett insfsAdminist>*atOF>Net start 4pache2 请求的服务己经启动L请犍入N

31、ET HELPMSG 21B2以获得更多的帮助。C 二 Dociments and Sett ings fidmin istrator>PHP Version 4.3.2Display this help and exit.Enable autonatic rehashing One doesn't need to use 'rehash' to get table and field completion, but startup and reconnecting may take a longer tine. Disable with 一disaLbleAut

32、O"i*chash C:Miysq1bin>ny$qId - - install Service successfully installedC:Docunents and SettingsAdninisti*ator>cd C：XfiysqlbinMicrosoft Windows XP 版本 5.1.2600 (C> 版収所有 1985-2001 Microsoft Corp.s动动 蠶 in正己 b务务 1Ra.nflDMHM tql 余 c H IZTuffic Profile by Pioiocol TCP (OMphp)VWHiowi MTC6»«e2O$84t1 5 1 3 ”00M4Y 28 2003 1506 05Swwc APIHOHanfWfiMf (MrCwtflguidtKNi Rte (phpjni) PathCWWOOWShpwMPtVAHlZ00