哈工大安全程序设计搭建小型入侵检测系统实验报告

《安全程序设计》课程实验报告实验2：搭建小型入侵检测系统姓名院系软件学院学号任课教师指导教师实验地点软件学院3楼机房实验时间实验课表现出勤、表现得分(10)实验报告得分(40)实验总分操作结果得分(50)实验目的：本次实验将构建小型入侵检测系统，熟悉系统搭建的全过程及其使用方法。实验内容：1.安装snort所需的各类依赖2.搭建小型IDS3.测试Snort实验要求：（学生对预习要求的回答）（20分）得分：什么是入侵检测系统？入侵检测系统（简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。常见的入侵检测系统都有哪些？Snort，主流杀毒软件其实也会内置入侵检测系统，此外还有硬件防火墙。思考题：（20分）思考题1：（8分）得分：记录搭建入侵检测系统的过程及结果【实验环境】VMware+CentOS6.5，不同于Ubuntu，在此环境下很多软件需要进行编译安装，虽然比较繁琐，但是具有更高的灵活性。【安装方法】1.安装Apache、Mysql通过yum安装Apache、Mysql等服务，安装成功后通过service–status-all可以看到httpd、mysqld等服务的运行状态，如下图所示。2.下载Snort-Mysql的数据库初始化脚本，通过以下命令导入Mysql，并给Snort建立一个Mysql用户。mysql>createdatabasesnort;mysql>usersnort;mysql>source~ftpuser/snort-/create_mysqlmysql>grantallprivilegesonsnort.*tosnort@'localhost'identifiedby"snort";Snort的数据库表结构如下图所示：3.安装Snort，由于最新版的Snort2.9.xconfigure时去掉了--with-mysql选项，不便于将log转存到数据库中，我们改用Snort-的源码和Rules。安装Snort的命令如下：./configure--with-mysqlmakemakeinstall然后解压缩snortrules-snapshot-2.8.tar.gz，将doc、etc、rules、so_rules这4个文件夹复制到/etc/snort目录下。编辑/etc/snort/etc/snort.conf文件，做如下改动：HOME_NET设置为本机IP所在网络，EXTERNAL_NET设置为非本机网络varHOME_NET/24varEXTERNAL_NET!$HOME_NET将outputdatabase相关项注释掉，将日志输出设置到MySQL数据库中outputdatabase:log,mysql,user=snortpassword=snort-dbdbname=snorthost=localhost为了便于测试Snort，我们放宽ICMP攻击的入侵检测规则，在rules/icmp.rules的结尾加入以下规则定义：#AddedbyGluckZhangalertipanyany->anyany(msg:"Gluck:GotanIPPacket";classtype:not-suspicious;sid:2000000;rev:1;)alerticmpanyany->anyany(msg:"Gluck:GotanICMPPacket";classtype:not-suspicious;sid:2000001;rev:1;)alerticmpanyany->anyany(msg:"Gluck:ICMPLargeICMPPacket";dsize:>800;reference:arachnids,246;classtype:bad-unknown;sid:2000499;rev:4;)注意：不要忘记去掉snort.conf里面include$RULE_PATH/icmp.rules这条语句的注释。4.配置ADODB和BASE解压缩adodb517.zip、base-1.4.5.tar.gz，将adodb5、base-1.4.5复制到/var/www/html目录中，并重新命名，命令如下：cd/var/www/htmlcp-rf~ftpuser/adodb5/*.cp-rf~ftpuser/base-1.4.5/*.mvadodb5adodbmvbase-1.4.5basechmod-R777base修改/etc/php.ini，将error_reporting的值设置为E_ALL&~E_NOTICE此时在浏览器中输入32/base应看到如下界面：点击“Continue”，按照提示逐步输入所需信息，最终我们将看到BASE的主页面（截图时已经经过一些测试，所以是有数据的）。5.测试SnortSnort的启动命令如下，-D选项的意思是让Snort运行在后台，-c选项指定了Snort读取的配置文件。snort-D-c/etc/snort/etc/snort.conf此时通过ping命令给CentOS发送ICMP数据包，将会被Snort捕获，并形成日志写入数据库，详情如下图所示（为了区分，我在报警信息前面加入了自己的名字）。思考题2：（12分）得分：简要介绍snort的规则。一条Snort规则可以分为前后两个部分，规则头和后面的选项部分。规则头包含有匹配后的动作命令、协议类型、以及选择流量的四元组（源目的IP及源目的端口）。规则的选项部分是由一个或几个选项的符合，所有主要选项之间是与的关系。选项之间可能有一定的依赖关系，选项主要可以分为四类：数据包相关各种特征的描述选项，例如content、flags、dsize、ttl等规则本身相关一些说明选项，比如：reference、sid、classtype、priority等规则匹配后的动作选项，比如：msg、resp、react、session、logto、tag等对某些选项的修饰，比如从属于content的nocase、offset、depth、regex等由于snort的规则语言语法非常简单，所以可以对新发现的攻击作出快速的反应，迅速开发新的snort规则。编写新的规则，最重要的是知道新攻击的特征码。要得到一个新的攻击的特征码，一般的方法就是进行实际的测试。对一个测试网络进行攻击，使用snort记录在攻击主机和测试网络之间的数据流。然后，对记录的数据进行分析得到其唯一的特征码，最后把得到的特征码加入到规则中。下面是IMAP缓冲区溢出攻击被记录下的数据包：--------------------------------------------------------------------------052499-22:27:58.403313:1034->:143TCPTTL:64TOS:0x0DF***PA*Seq:0x5295B44EAck:0x1B4F8970Win:0x7D789090909090909090909090909090EB3B...............;5E89760831ED31C931C0886E07896E0C^.v.1.1.1..n..n.B00B89F36E0889E96E0C89EACD80.....n....n.....31DB89D840CD809090909090909090901...@...........9090909090909090909090E8C0FFFFFF................2F62696E2F7368909090909090909090/bin/sh.........---------------------------------------------------------------------------这个攻击的特征码就是/bin/sh字符串及其前面的机器代码，这实际上是一个shellcode，利用这些信息可以很快开发出一条