snort入侵检测系统使用实验

1、网络安全技术实验报告姓名系别实验地点A406学号年级班实验时间2012-5-24成绩评定教师签字实验项目一、实验目的通过实验进一步理解IDS的原理和作用；学习安装、配置和使用Snort入侵检测系统；学习分析Snort警报文件；结合指定的攻击特征，学习如何创建检测规则。二、实验内容学习Snort基础知识；安装工具软件（snort、winpcap和nmap）扫描工具；使用snort进行Xmax扫描检测和目录遍历攻击；创建和测试规则；三、实验步骤（一）软件安装打开计算机安装nmap，安装时全部按照默认设置直至安装成功。如果计算机上没有安装winpcap4.1或以上版本，则需要安装，安装时全部按照默认

2、设置直至安装成功。打开虚拟机，启动windowsserver2003,安装snort,将snort安装在C盘，安装时全部按照默认设置直至安装成功。在虚拟机上安装winpcap，安装时全部按照默认设置直至安装成功。（二）将snort用作嗅探器snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。在虚拟机上（IP：50）：单击开始-运行并输入cmd进入

3、命令行。在命令行中键入cdc:snortbin，回车确认。VindDwa5.2.379Q17C）販翌听有l?8&-2003Hicrocoft仙1ln&iniso-r*Gdicynoft键入snort-h,回车确认，这将显示可以与snort一起使用的命令行选项的帮助文件（认真看一下每一个选项的涵义）。FKACI1.佃Ennirtnss-HfalarC111*hKb.on-FYLYf1L?-DtouFuJnrLnftepeluwpf.maE.Cnuctoif).tagp9!SLi!PrlLb4niI|hF-(niv-uipa屮占鼻wdillc(upHterlav*MbLmfnnDu仔SppLLfm

4、vEnS-戶LBElll*Th*l-Chfll-SFhf*l旨Khiri-3.3r-li(dMlVmU：*曲工护TurnaffFFIflriihOta3laFI-virbihiiirya-fu-rLla*barlSPFfllLrafnmfHjtCh|liananatw-rhL|hbebhawjt-aplHflri|Fitv-rfto孔】*FtuFufW石Xunw.linip.F-tbp.n!irin；iiiMp叭S.flGArsrLftg电苜VlidiiHirprfufiLvEmlitflJTlarmpzliv-iny*!cA-tATurnaffQ*rLn|QhngnQhiIMr-*tvhif

5、MrmHPir&tIncluiLr1-d1JninvM._inC.f.pL-df1LrnnnLog4MEK4flBHCId#hi|I|bWAiplrfilhJpm出ii胸14*p口.Ta!Lflriidmporl七临Ehvcmr-irwnESnnirCconflyuraIl-AnIltriUTCf*li,-tiM-it-ihnl弘TirE啊liwiIj?SupBJ1auin*gn!in.t*md町04匕沪41Duivpiharnw|s.haLdnl*stnrlln|inthalinkIflyarion:ljd*屮in=-.-.-=.i_i-pji_=r_,-iC：9C=DC：3?：=II-：0

6、：&E：S=B：1V：0wBHHl*n：0-4J17.t.tS_9I1S16-22E_2.ft.LiaS4UPJrLl1QTOfiI0M0】D托:p4nl2fiDTHLanlll|.11.-H3=H1B21412C8rCrEXr22rt2r5FluHiBEiZriiltpjkrHxHMI.11h1i.t.iit.=iii7-fa.a.4.i=s4皿pttl=询t幅油泅pU.K=s467Nnr4-r=lr4i-%LJnll?lLFq4*T45TM02TpgD0p00L11.带MHHr-!.!鷲器住Mll11nl-1Js器SC3LEU05121.5M14M14FP7350弗&BE诟4Ai7酬PF4

7、?&FFF翻IS腑1弋1J15144于4431M區IL11ROB14HHiT.JFIF.M1mUMHI.,IntflJPEGLihrnry镖霑”JLoih1.Cl.12.441.C.Idi-IkIpLLfllll1A-HNU1CM|.MttLLiupfiKnni)饲*|4.BpABaniDi总|；1CM/UMEBSI1LLoCFRUICH幵HW在宿主机上（IP：51）：单击开始-运行并输入cmd进入命令行。键入ping50-t在虚拟机上：-T-7.注意snort转储ping的内容到屏幕上。（三）使用预处理器的Snort配置在虚拟机上：使用记事本为snort创建一个配置文件，将文件命名为snor

8、t_preprocessor.conf。在命令行上，键入notepadc:snortetcsnort_preprocessor.conf。单击yes创建文件。在记事本中键入下列行：varH0ME_NET/24（根据具体环境进行设置）varEXTERNAL_NETanyvarRULE_PATHc:snortrulespreprocessorstream4:detect_scans前三行是变量设定值，当需要知道内部或本地网络是什么，什么被认为是不可信赖的或外部的通信，以及在哪里发现规则文件时，预处理器和规则文件将会使用这些值。最后一行是将要调用来处理通信和检测扫描的预处理器。完成并保存。在命令行中

9、键入：snort-1c:snortlog-cc:snortetcsnortpreprocessor.conf,回车确认。其中，l表示输出日志文件的位置，而-c表示配置文件的位置。EnfgrcfTff肚川煮IMCTCUEItidEtreiWDropflhirts-INflCTJUEdnartrutcErtbiL9QCipnCfaaniLGnMdhM0ChaEhHvddvrEAIjmanU：liigtFhtprtefteirtTtnitiLtring旬卄ateinjIhieitllscIEhAirttc*unpvbEanbor.SanJFnitijIdolingxlclwinE.Se：rv414*

10、J*iSTGqfuliMpvCC：的IVRCUWESvpiionit*i：iftirs=IHflCTlUTC*j.iLontliM-Hhte3Qcacandia$獰jjynPMlwryn|L财朋內St4t9IHACTIUErviiiwijUptBiACTIVE斡*=蚯TW1djnoniLc-)-i9Ert-p&siu)loilogdJractQrgi-ctnartJlciiInitialNationCdhpJbCe*SnortF*firUeKJih2舟rSHJFK厂缺Qi厂Fl曲ItErf阳2ihuld曲囱hereinRdfeSLhftTheSnortTaam:httpr/ZiMi-andrt

11、.ar/teiM.hta(CP血眄rialA199B-20IMSaiurafiMEnc.uetL亡二暮片匸-I：niirf-tiUiDi4Ca|wphdCdrlfinninginIMEriar*|nidIif:jnibhEaE.PliigLhcThEDduiVEchinintbiintarfEoHPPi_C3BI27t7-4197-4-A3BfiKXBfiCtiSlD在宿主机上：运行nmap通过Profile菜单-NewProfileandCommand,设置命令：nmap-sX-T4-A-v50上述命令中的X是要发送一个Xmax扫描，该扫描是一种在正常的网络通信中不会被看到的数据包。接下来尝

12、试针对虚拟机web服务器的目录遍历攻击。&在浏览器中键入：50/scripts/.%255c./winnt/system32/cmd.exe?/c+dir+winnt回车。在虚拟机上：在命令行窗口上，按CRTL+C,停止snort,得到snort概要输出界面，如图8-1所示。a）Snort收到了多少数据包？b）有多少数据包是TCP的？c）有多少警报？图1Snort概要输出界面&在c:snortlog目录下用记事本打开alert.ids文件，如图2.口51-文IfgJtW袖式如MJ冊助砂jp_strnsrEftLT!HmTeviTVscn)rtt-pctin*gniK-PIS15S13.9*60

13、0517?.J8.15a4*：W5M.-17?.?6-15.123：53TOPTFL;4皿讥也詔別邨TLcn譚也彌Lm;“*|*P*F3pq:BKIfFIKZAck:C3yin:血胡曲ffcpLitn:ZDarjjFtr:啦琦，卓町111-：i：i)STEAL1UMJIHHTV(JiHftS5C-lh)tK涔M“典的二29(|-gP(r：X111:11:1件pp_Ei0北祈srEALIliH(NiriUlTVXH啦scan)町onyw-Aidsig.WiK?iTZrJB.i?*:-i72-,?*.i5Bi?3：n)TCfTIL汕山rOSzi&Kfli同拠科lLcnQ常脚5砒“STEALIMft

14、CFUJITV(XMASscan)tieleccln斗町肮/昭-叮二帖二肝-咄此亦17Z-JB-1T17f.2t.1S.1?3:S54TCPTil：5?I咋：勵9:號印初l,L叩畑HMML驹冷尊*44J*Pn*Ft?qsMKifFttpckiX桃叶拥山皿fcptnt24祈qNr4xtM4iEpfi_7trammSrEALliHACFEUITVKHASscan)iitvct-i*nW7#S-&1Sl5Sl3.Wiflft51i7?.J8.15n4*：OT5tt172-.?t.1?.1?3：64t4TOPTFL;3t皿讥也;0誥酣时Lcn譚也彌Lm;“|*P*F3vq:MDCMFIKZAck:C3

15、ym:血胡曲ffcpLun:2BBr-gFtr:啦琦卓町1ima：i)帖叶-乩尸帕朋、STEALIMfiCFKJITV口制胎scan)j?teecin卓町MH/na-BaH5：13H&iiZ17?T17?.2.1&.173:254TdPTH汕丁M钟朋：54lWI仇即畑0财_驹：祐駝q:nfi0CMF*2pcki叭tfinr抽诃啊匸叩1_的：対叶护讣：Om-4111:11:1件pp_Ei0北祈srEALIliH(NiriUlTVXH啦scan)町1513.W196ti7?BJ9.15a4*：J9564U建.肚.1X122rEIJtalIlia图2alert.ids文件上图中，111:10:1，是

16、snortID和修改号。(spp_stream4)STEALTHACTIVITY(XMASscan)detection,这是引发警报的与处理器。*U*p*F,这显示了所捕获数据包上设置的Urgent、push以及fin标记。使用检测引擎的snort配置在虚拟机上：1.在snort_preprocessor.conf中，删除最后一行。2增加下列行到文件末尾：varHTTP_SERVERS50varHTTP_PORTS80preprocessorflowincludeclassification.configincludec:snortrulesweb-misc.rules将文件命名为snort_

17、detection.conf并存到c:snortetc.在前述配置中，为web服务器的IP地址和端口地址增加了变量。flow预处理器用来帮助为检测引擎准备捕获的数据。Web-misc.rules规则包涵检测引擎将要查找的特征的文件。现我们来看一下web-misc.rules规则。用记事本打开c:snortrules下的web-misc.rules规则。用关键词1113查找到下述规则内容：alerttcp$EXTERNAL_NETany-$HTTP_SERVERS$HTTP_PORTS(msg:WEB-MISChttpdirectorytraversal;flow:to_server,estab

18、lished;content:./;reference:arachnids,297;classtype:attempted-recon;sid:1113;rev:5;)规则由规则头和规则体组成。规则头包含规则动作、协议、源和目的地。规则动作是指如果除规则之外的条件满足时将要发生的事，在本例中将会引发警报。规则正在检查的协议是TCP。源和目的地是$EXTERNAL_NETany-$HTTP_SERVERS$HTTP_PORTS。Any指的是任何端口，-表示通信方向是进入的。Msg:的选项设置将会显示在警报日志中。flow:定义数据包的方向。Content：/告知检测引擎在数据包中查找这些字符，这是实际执行目录遍历的字符串。reference:arachnids,297是外部弓丨用。Sid:1113是snortid.Rev:5是规则修订号。在虚拟机上：在命令行上键入：snort-1c:snortlog-cc:snortetcsnort_detection.conf,并回车。在宿主机上：在浏览器中键入：50/scripts/.%255c./winnt/system