实验8入侵检测软件snort的安装与

1、实验八 入侵检测系统snort的安装与使用一、实验序号：8二、实验学时：23、 实验目的（1）理解入侵检测的作用和检测原理。（2）理解误用检测和异常检测的区别。（3）掌握Snort的安装、配置。（4）掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。四、 实验环境 每2位学生为一个实验组，使用2台安装Windows 2000/XP的PC机，其中一台上安装Windows平台下的Snort 2.9软件；在运行snort的计算机上，安装WinpCap4.1.2程序。五、 实验要求1、实验任务 （1）安装和配置入侵检测软件。 （2）查看入侵检测软件的运行数据。 （3）记录并分析实验结果。2

2、、实验预习 （1）预习本实验指导书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。 （2）复习有关入侵检测的基本知识。六 实验背景1 基础知识 入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统（Intrusion Detection System， IDS）是完成入侵检测功能的软件和硬件的集合。 随着网络安全风险系数不断揭帖，防火墙作为最主要的安全防范手段已经不能满足人们对网络安全的需求。作为对防火墙极其有益的补充，位于其后的第二道安全闸门IDS能够帮助网

3、络系统快速发现网络攻击的发生，有效扩展系统管理员的安全管理能力及提高信息安全基础结构的完整性。IDS能在不影响网络及主机性能的情况下对网络数据流和主机审计数据进行监听和分析，对可疑的网络连接和系统行为进行记录和报警，从而提供对内部攻击、外部攻击和误操作的实时保护。2 入侵检测软件Snort简介 Snort是一款免费的NISD，具有小巧、易于配置、检测效率高等我，常被称为轻量级的IDS。Snort具有实时数据流量分析和IP数据包日志分析能力，具有跨平台特征，能够进行协议分析和对内容的搜索或匹配。Snort能够检测不同的攻击行为，如缓冲区溢出、端口扫描和拒绝服务攻击等，并进行实时报警。 Snort

4、可以根据用户事先定义的一些规则分析网络数据流，并根据检测结果采取一定的行动。Snort有3种工作模式：v 嗅探器（同sniffer）v 数据包记录器v NIDS （网络入侵检测系统）嗅探器模式仅从网络上读取数据包并作为连续不断的数据流显示在终端上；数据包记录器模式把数据包记录到硬盘上，以备分析之用；NIDS模式功能强大，可以通过配置实现。七 实验步骤1 安装和配置IDS软件Snort 由于需要对网络底层进行操作，安装Snort前需要预先安装WinpCap4.1.1以上版本（WIN32平台上网络分析和捕获数据包的链接库）。（由于之前做Sniffer实验时已经安装了，可不必再安装）（1）从教师信息

5、门户的教学软件栏目下载Windows平台下的Snort安装程序和WinpCap4.1.2程序:v 双击Snort安装程序进行安装，选择安装目录为D:Snortv 进行到选择日志文件存时，为简单起见，选择不需要数据库支持，或者选择Snort默认的MySQL和OCBC数据库的方式。(2)从教师信息门户的教学软件栏目下载Windows平台下的WinpCap4.1.2程序。双击进行默认安装就可以。（3）单击“开始”菜单，选择“运行”命令，输入cmd并按回车键，在命令行方式下输入如下命令: C:Documents and SettingsAdministrator> D: D:>cd Sno

6、rtbin D:Snortbin>snort -W /“-W”选项查看可用网卡如果Snort安装成功，系统将显示出如图所示的信息。 图2 查看网卡信息（4）从返回的结果可知主机上有哪个物理网卡正在工作及该网卡的详细信息。图2中显示的第二个是具有物理地址的网卡。输入snort -v -i2命令启用Snort。其中：-v表示使用Verbose模式，该命令将IP和TCP/UDP/ICMP的包头信息显示在屏幕上；-i2表示监听第二个网卡。（5）为了进一步查看Snort的运行情况，可以人为制造一些ICMP网络流量。在局域网的另一台主机上使用Ping指令，探测Snort的主机。（6）回到运行Snor

7、t的主机，可以发现Snort已经记录了这次探测的数据包。Snort在屏幕上输出了从的ICMP数据包头。（7）打开D:Snortetcsnort.conf，设置Snort的内部网络和外部网络网络检测范围。将Snort.conf文件中的var HOME_NET any语句的any改为自己所在的子网地址，即将Snort监测的内部网络设置为所在的局域网。如本地IP为 ，则改为 /24。（8）配置网段内提供网络服务的IP地址，只需要把默认的$HOME_NET改成对应的主机地址即可。var DNS_SERVERS $HOME_NETvar SMTP_SERVERS

8、$HOME_NETvar HTTP_SERVERS $HOME_NETvar SQL_SERVERS $HOME_NETvar TELNET_SERVERS $HOME_NETvar SNMP_SERVERS $HOME_NET如果不需要监视类型的服务，可以用#号将上述语句注释掉。（9）在Snort.conf文件中，修改配置文件classification.config和reference.config的路径:include D:snortetcclassification.configinclude D:snortetcreference.config其中classification.con

9、fig文件保存的是规则的警报级别相关的配置，reference.config文件保存了提供更多警报相关信息的链接。2 操作与测试（1）Snort嗅探器模式 检测Snort安装是否成功时，用到的就是Snort嗅探器模式。输入命令如下: snort -v -i2使Snort只将IP和TCP/UDP/ICMP的包头信息输出到屏幕上。如果要看到应用层的数据，可以输入如下命令: snort -v -e -i2如果需要输出更详细的信息，输入命令: snort -v -e -i1（或i2）可以显示数据层的信息。（2）数据包记录器模式 上面的命令只是在屏幕上输出，如果要记录在LOG文件上，需要预先建立一个Lo

10、g目录。输入下面的命令数据包记录器模式: snort -dve -i2 -l d:Snortlog -h /24 -K ascii其中：-l选项指定了存放日志的文件夹； -h指定目标主机，这里检测对象是局域网段内的所有主机，如不指定-h，则默认检测本机； -K指定了记录的格式，默认是Tcpdump格式，此处使用ASCII码。在命令行窗口运行了该指令后，将打开保存日志的目录。 在Log目录下自动生成了许多文件夹和文件，文件夹是以数据包主机的IP地址命名的，每个文件夹下记录的日志就是和该外部主机相关的网络流量。打开其中任一个，使用记事本查看日志文件，会发现文件的内容和嗅探器模

11、式下的屏幕输出类似。v 运行上述命令后，去ping另一台主机，查看日志，这个ping是否被记录下来？v 用一扫描软件，对HIDS主机进行端口扫描。v 在HIDS主机的DOS界面下可以看到从B机器扫描发过来的探测的数据包信息，如图所示。使用Ctrl-C键可以退出程序，看到数据包统计信息。 图 DOS界面上的数据包显示对记录的数据包信息作进一步的分析，如图2所示 图2 Snort数据包记录器模式记录的日志 检测到此数据包的信息如下：v 源MAC地址：0：11：D8：7B：7：3B；v 目的MAC地址：0：11：D8：7B：7：89；v 类型：0*800，长度：0*3E；v 源IP地址：192.16

12、8.6.81，源端口：1053；v 目的IP地址：0，目的端口：80；v 协议类型是：TCP；TTL(生存时间)：128；TOS(服务类型)：0*0；ID：205；IP包头长度：20；数据包总长度：48 DF。后面的一段信息显示此数据包企图探测连接目的主机80端口。从上面的数据包记录的信息来看，就可以知道网络上有人可能在扫描HIDS主机端口的开放情况，必须采取措施将端口关闭或更改。（3）NIDS（入侵检测(IDS)功能）（这一步，此次实验可不做） A.网络IDS模式，该模式是snort的最重要的实现形式。相对于数据包记录器模式，该模式只是增加了一个选项“-c”，用于指明所使用的规则集snort.conf（在IDS模式下必须指定规则集文件）。打开etcsnort.conf，对snort的配置文件进行修改，包括检测的内外网范围，以及文件路径的格式修改为Windows下的格式，注释掉没有使用的选项。 B.下载规则集，放入ruler下面（默认已经安装），并对检查snort.conf中的指定的规则集(在文件末尾)与你下载的规则集一致，注释掉没有的规则。（请查看下载的snort.conf文件进行修改）。 C.