入侵检测实验

1、:检测实验一、实验目的及要求：（1）理解入侵检测的作用和检测原理。（2）理解误用检测和异常检测的区别。（3）掌握Snort的安装、配置和使用等实用技术二、实验环境每2位学生为一个实验组，使用2台安装Windows 2000/XP的PC机，通过局域网互联， IP 网络为 /24。其中一台（00）上安装 Windows 平台下的 Snort 2.8.1 软件，另一台的IP地址为01。实验环境的网络拓扑如图1所示。图1入侵检测实验拓扑三实验要求1、实验任务（1）安装和配置入侵检测软件。（2）查看入侵检测软件的运行数据。（3）记录并分析实验结果。2、实验预习（1）预习本实验指导书，深入理解实验的目的与

2、任务，熟悉实验步骤和基本环节。（2）复习有关入侵检测的基本知识。3、实验报告（1）简要描述实验过程。（2）实验中遇到了什么问题，如何解决的。（3）分析入侵检测系统在网络安全方面的作用。（4）实验收获与体会。Windows下Snort的配置安装软件:一、安装 WinPcap_3_1、安装 Snort_2_4_5Snort 2. 4. 5 Setup（力Installation OptionsSelect which curifiguratiori uptiuns you want installedAll Windows versions of Snort already contain sup

3、port for logging to MySQL and ODBC databases. Please select any additional functionality that you desire.do not plan to log to a database or I am planninq to log to one of the databases listedboye. I need support for logging to Microsoft 5QL Server. Note that the 5QL Server client software must alre

4、ady be installed cm this computer. I need support for logging to Oracle. Note that the Oracle client software must already be installed on this computer.Nullsoft Install System v2.09Cancel五、实验内容或步骤：1安装和配置轻量级IDS软件Snort由于需要对网络底层进行操作，安装Snort前需要预先安装WinpCap （WIN32平台上网 络分析和捕获数据包的链接库）。Snort安装程序，双击安装程序进行安装，

5、选择安装目录 为 D： Snort。（2）进行到选择日志文件存时，为简单起见，选择不需要数据库支持，或者选择Snort 默认的MySQL和OCBC数据库的方式。（3）单击“开始”菜单，选择“运行”命令，输入cmd并按回车键，在命令行方式下 输入如下命令：C： Documents and SettingsAdministrator D：D： cd SnortbinD： Snortbinsnort - W如果Snort安装成功，系统将显示出如图所示的信息。从返回的结果可知主机上有哪个物理网卡正在工作及该网卡的详细信息。图2中显示 的第二个是具有物理地址的网卡。输入snort -v-i2命令启用Sn

6、ort。其中，-v表示使用 Verbose模式，把信息包打印在屏幕上；-i2表示监听第二个网为了进一步查看Snort的运行情况，可以人为制造一些ICMP网络流量。在局域网 的另一台主机上使用Ping指令，探测Snort的主机。回到运行Snort的主机，可以发现Snort已经记录了这次探测的数据包。例如图 4所示，Snort在屏幕上输出了从到55的ICMP数据包头。（7）打开D： Snortetcsnort.conf,设置Snort的内部网络和外部网络网络检测范 围。将Snort.conf文件中的var HOME_NET any语句的any改为自己所在的子网地址，即将 Snort监测的内部网络设

7、置为所在的局域网。如本地IP为，则改为 /24。（8）配置网段内提供网络服务的IP地址，只需要把默认的$HOME_NET改成对应的主机 地址即可。var DNS_SERVERS $HOME_NETvar SMTP_SERVERS $HOME_NETvar HTTP_SERVERS $HOME_NETvar SQL_SERVERS $HOME_NETvar TELNET_SERVERS $HOME_NETvar SNMP_SERVERS $HOME_NET如果不需要监视类型的服务，可以用#号将上述语句注释掉。在 Snort.conf 文件中，修改配置文件 classification.confi

8、g 和 reference.config 的路径：include D： snortetcclassification.configinclude D： snortetcreference.config其中classification.config文件保存的是规则的警报级别相关的配置， reference.config文件保存了提供更多警报相关信息的链接。六操作与测试(1)Snort嗅探器模式检测Snort安装是否成功时，用到的就是Snort嗅探器模式。输入命令如下：snort -v-i2使Snort只将IP和TCP/UDP/ICMP的包头信息输出到屏幕上。如果要看到应用层的数据， 可以输入如下

9、命令：snort -v - e-i1如图所示。(2)数据包记录器模式上面的命令只是在屏幕上输出，如果要记录在LOG文件上，需要预先建立一个Log目录。 输入下面的命令数据包记录器模式：snort -dve-i2-l d： Snortlog -h /24 -K ascii其中，-l选项指定了存放日志的文件夹：-h指定目标主机，这里检测对象是局域网段 内的所有主机，如不指定-h，则默认检测本机；-K指定了记录的格式，默认是Tcpdump格式，此处使用ASCII码。在命令行窗口运行了该指令后，将打开保存日志的目录。在Log目录下自动生成了许多文件夹和文件，文件夹是以数据包主机的IP地址命名的， 每个文件夹下记录的日志就是和该外部主机相关的网络流量。打开其中任一个，使用记事本 查看日志文件，会发现文件的内容和嗅探器模式下的屏幕输出类似，1O炭件囚 编辑(E)查看世)收藏 工具(T)帮助(H)。后退，法夕搜索修文件夹地址 ID) Iri D: Snortlog文件和文件夹任翦穴J创建一个新交件夹将这个交件夹发布到Web共享此交件夹58.218. 179.21459.54. 1