信息安全实验2-入侵检测

信息安全实验2_入侵检测第一页，共22页。实验要求1.按照实验指导书独立完成每次实验；2.每次实验由指导老师当场检查实验结果并提交电子版实验报告；第二页，共22页。实验2入侵检测系统实验目的：通过实验深入理解入侵检测系统的原理和工作方式，熟悉入侵检测工具snort在windows和Linux操作系统中的安装和配置方法。实验环境：一台安装WindowXP操作系统地机器或虚拟机，连接到本地局域网中。第三页，共22页。实验准备：用VMware搭建XP实验平台1.VMware12虚拟机软件安装若电脑上没有XP系统，则需要使用虚拟机安装一个XP系统用于实验。2.将XP系统导入VMware(1)在Vmvare中，选择文件->打开,找到并导入虚拟机。由于虚拟机软件包及虚拟机文件过大，会在实验时在提前分发给每位同学。第四页，共22页。任务一Windows环境下snort安装1.安装Apache_2.0.46(1)双击apche_2.0.46-win32-x86-no_src.msi,安装在目录C:\apache。安装程序会在该文件夹下自动产生一个子文件夹apache2。第五页，共22页。(2)打开配置问题C:\apahce\apache2\conf\httpd.conf,将其中的Listen8080更改为Listen80.(3)单击“开始”按钮，选择“运行”，输入cmd,进入命令行模式C:\>cdapache\apache2\binC:\apache\apche2\bin\apache–kinstall这是将apache设置为以Windows中的服务方式运行。2.安装PHP(1)解压缩Php-4.3.2-win32.zip至C：\php(2)复制C:\php下php4ts.dll至C:\windows\System32,复制-dist至C:\windows，并改名为php.ini，复制C:\php\extensions\php_gd2.dll至C:\windows第六页，共22页。（3）添加gd图形库支持，在C:\windows\php.ini中添加extension=php_gd2.dll。如果php.ini有该句，将此语句前的“；”注释符去掉。（4）添加Apache对PHP的支持。在C:\apache\apache2\conf\httpd.conf中添加：LoadModulephp4_module"C:/php/sapi/php4apache2.dll"AddTypeapplication/x-httpd-php.php（注意.php前面有个空格）（5）单击“开始”按钮，选择“运行”，输入cmd,进入命令行模式，以下命令：netstopapache2netstartapache2（6）在C:\apache\apahce2\htdocs目录下新建test.php测试文件。Test.php内容为<?phpinfo();?>。使用/test.php测试php是否安装成功。如果安装成功，则网页显示php的版本信息。3.安装snort安装snort-2_0_0.exe,snort的默认安装路径在C:\snort.第七页，共22页。4.安装配置Mysql数据库（1）安装Mysql到默认文件夹C:\mysql,并在命令行方式输入下面的命令：cdC:\mysql\binmysqld–ntinstall这将使mysql在windows中以服务方式运行。（2）重新打开命令行，输入netstartmysql,启动Mysql服务（3）重新打开命令行输入下面命令：

cdC:\mysql\binmysql–uroot–p当出现Enterpassword提示符后直接按回车，登录数据库。（4）在Mysql提示符后输入下面的命令 createdatabasesnort; createdatabasesnort_archive;第八页，共22页。（5）输入quit命令退出Mysql后，在出现提示符之后输入：mysql-Dsnort-uroot-p<C:\snort\contrib\create_mysqlmysql-Dsnort_archive-uroot-p<C:\snort\contrib\create_mysql上面两个语句表示以root用户身份，使用C:\snort\contrib目录下的create_mysql脚本文件，在snort数据库和snort_archive数据库中建立了snort运行必须的数据表。（6）再次以root用户登录Mysql数据库，在提示符后输入下面的语句：grantusageon*.*to"acid"@"localhost"identifiedby"acidtest";grantusageon*.*to"snort"@"localhost"identifiedby"snorttest";上面两个语句表示在本地数据库中建立了acid（密码为acidtest）和snort(密码为snorttest)两个用户，以备后面使用。（7）在mysql提示符后面输入下面的语句：grantselect,insert,update,delete,create,alteronsnort.*to"acid"@localhost;grantselect,insertonsnort.*to"snort"@localhost;grantselect,insert,update,delete,create,alteronsnort_archive.*to"acid"@localhost;这是为新建的用户在snort和snort_archive数据库中分配权限。第九页，共22页。5.安装adodb将adodb360.zip解压至C:\php\adodb目录下，即完成了adodb安装。6.安装配置数据控制台acid（1）解压缩acid-0.9.6b23.tar.gz至C:\apache\apahce2\htdocs\acid目录下。（2）找到并修改C:\apache\apache2\htdocs\acid下的acid_conf.php文件：$DBlib_path="C:\php\adodb"$DBlib_path="C:\php\adodb";$DBtype="mysql";$alert_dbname="snort";$alert_host="localhost";$alert_port="3306";$alert_user="acid";$alert_password="acidtest";第十页，共22页。$archive_dbname="snort_archive";$archive_host="localhost";$archive_port="3306";$archive_user="acid";$archive_password="acidtest";$ChartLib_path="C:\php\jpgraph\src";注意：修改时要将文件中原来的对应内容注释或覆盖掉。（3）查看/acid/acid_db_setup.php网页，单击createACIDAG建立数据库。建立成功效果图如下：第十一页，共22页。第十二页，共22页。7安装jpgraph库(1)解压缩jpgraph-1.12.2.tar.gz至C:\php\jpgraph(2)修改C:\php\jpgragh\src下jpgraph.php文件，去掉下面语句的注释；DEFINE(“CACHE_DIR”,”/tmp/jpgraph_cache/”);8.安装winpcap按照默认选项和默认路径安装winpcap。9.配置并启动snort(1)打开C:\snort\etc\snort.conf文件，将文件夹中的下列语句：Includeclassification.configIncludereference.config修改为绝对路径：includeC:\snort\etc\classification.configincludeC:\snort\etc\reference.config第十三页，共22页。（2）在该文件的最后加入下面语句：Outputdatabase:alert,mysql,host=localhostuser=snortpassword=snorttestdbname=snortencoding=hexdetail=full（3）单击“开始”按钮，选择“运行”，输入cmd,进入命令行模式输入以下命令：

cdc:\snort\binsnort-c"C:\snort\etc\snort.conf"-l"C:\snort\log"-d-e-X上面的命令启动snort。第十四页，共22页。（4）打开/acid/acid_main.php，进入acid分析控制台主界面。如上配置均正确，将出现如图所示页面。第十五页，共22页。任务二windows下snort使用完善配置文件（1）打开C：/snort/etc/snort.conf文件，查看现有配置（2）设置snort的内、外网检测范围将snort.conf。文件中varHOME_NETany语句中的any改为自己所在的子网地址即将snort监测的内网设置为本机所在局域网。如本地IP为0，则将any改为/24.并将varEXTERNAL_NETany语句中的any改为!/24,即将snort监测的外网改为本机所在局域网意外的网络。（3）设置监测所包含的规则找到snort.conf文件中下图描述规则的部分第十六页，共22页。前面加“#”表示该规则没有启用，将local.rules之前的“#”去掉，其余规则保持不变。第十七页，共22页。2.使用控制台查看检测结果（1）重复任务一第9步中的步骤（3）（4），启动snort并打开acid检测控制台主界面。（2）单机页面上TCP或UDP后的数字“n%”，将显示所有检测到的TCP协议日志详细情况，如后页ppt上图所示。TCP协议日志网页中的选项依次为：流量类型、时间戳、源地址、目标地址以及协议。由于snort主机所在的内网为，可以看出，日志中只记录了外网IP对内网的连接（即目标地址均为内网）（3）选择控制条中的home返回控制台主界面，在主界面的下面有流量分析及归类选项，如后页ppt下图。第十八页，共22页。第十九页，共22页。（4）选择last24hours:alertsunique,可以看到24h内特殊流量的分类记录和分析。可以看到，表中详细记录了各类型流量的种类、在总日志中所占的比例、出现该类流量的起始和终止时间等详细分析。在控制台主界面中还有其他功能选项，请自己练习使用。3.配置snort规则下面我们联系添加一条规则，以对符合此规则的数据包进行检测。（1）打开C：/snort/rules/local.rules文件（2）在规则中添加一条语句，实现对内网的U