实验八-入侵检测系统snort的使用

实验八入侵检测系统snort的使用【实验目的】1)理解入侵检测的作用和检测原理。2)掌握Snort的安装、配置和使用等实用技术。【实验环境】Windows系统、snort软件、nmap软件【实验重点及难点】重点：入侵检测的工作原理。难点：snort的配置文件的修改及规则的书写。【Snort简介】Snort是一套开放源代码的网络入侵预防软件与网络入侵检测软件。Snort使用了以侦测签章（signature-based）与通讯协定的侦测方法。截至目前为止，Snort的被下载次数已达到数百万次。Snort被认为是全世界最广泛使用的入侵预防与侦测软件。【实验步骤】1、从ftp上下载所需要的软包，winpcap，snort，nmap。安装软件前请阅读readme文件。2、注意安装提示的每一项，在选择日志文件存放方式时，请选择“不需要数据库支持或者snort默认的MySQL和ODBC数据库支持的方式”选项。3、将snort.exe加入path变量中（该步骤可选，否则要切换到安装路径下执行命令）。4、执行snort.exe，看能否成功执行，并利用“-W”选项查看可用网卡。如下：上例中共有两个网卡，其中第二个是可用网卡，注意识别你自己机器上的网卡！注：snort的运行模式主要有3种：嗅探器模式（同sniffer）、数据包记录器模式和网络入侵检测模式。5、嗅探器模式嗅探器模式就是snort从网络上读出数据包然后显示在你的控制台上。可用如下命令启动该模式：snort–v–i2//-i2指明使用第二个网卡，该命令将IP和TCP/UDP/ICMP的包头信息显示在屏幕上。如果需要看到应用层的数据，使用以下命名：snort–v–d–i2更多详细内容请参考。6、数据包记录器模式该模式将在屏幕上的输出记录在LOG文件中（需要事先建立一个log目录）。命令格式如下：snort–vd–i2–ld:\log//将数据记录在d盘下的log目录下，-l选项指定记录的目录运行该模式后，到log目录下查看记录的日志的内容。snort–vd–i2–hIP–ld:\log//IP：本机IP，-h指定目标主机运行上述命令后，去ping另一台主机，查看日志，这个ping是否被记录下来？7、网络IDS模式，该模式是snort的最重要的实现形式。相对于数据包记录器模式，该模式只是增加了一个选项“-c”，用于指明所使用的规则集snort.conf（在IDS模式下必须指定规则集文件）。打开\etc\snort.conf，对snort的配置文件进行修改，包括检测的内外网范围，以及文件路径的格式修改为Windows下的格式，注释掉没有使用的选项。8、下载规则集，放入ruler下面（默认已经安装），并对检查snort.conf中的指定的规则集(在文件末尾)与你下载的规则集一致，注释掉没有的规则。（请查看下载的snort.conf文件进行修改）。9、在任意盘下建立日志记录文件夹log，比如F盘，f:\log。10、启动snort的入侵检测模式，如：snort.exe–i4–dev–lf:\log–cc:\snort\etc\snort.conf，检查snort能否正常启动，如有错误根据错误提示进行排错。注意：上面命令使用的是第4个网卡接口；记录应用层，数据链层的信息；日志记录在f:\log下；配置文件路径是c:\snort\etc\snort.conf。11、snort安装成功后，使用nmap扫描器，对安装snort的主机进行扫描，完成后查看log日志下的alert.ids文件内容，并分析记录的内容。12、编辑自己的规则，如通过捕捉关键字“search”记录打开Google网页的动作，并将符合规则的数据包记录到alert.ids文件。步骤如下：首先打开ruler目录下的experimental.rules文件，添加如下内容：alerttcp$HOME_NETany-any80(content:search;nocase;sid:100000;msg:googlesearchquery;),保存修改，启动snort进行测试规则的有效性，并分析结果。13、学习网页内容，书写更多自己的规则。