SNORT网络入侵检测实验

实验网络入侵检测系统（Snort）实验一、实验平台的搭建1）实验软件：（1）windowsserver2003或Windows2000Server镜像文件（2）网络数据包截取驱动程序WinPcap_4_1_2.zip（3）Windows版本的Snort安装包Snort_2_9_0_5_Installer.exe（4）Windows版本的ApacheWeb服务器apache_2.2.4-win32-x86-no_ssl.zip（5）Windows版本的PHP脚本环境支持php-5.2.5-Win32.zip（6）Windows版本的Mysql数据库服务器mysql-5.0.22-win32.zip（7）ACID（AnalysisConsoleforIntrusionDatabases）基于PHP的入侵检测数据库分析控制台acid-0.9.6b23.tar.gz（8）Adodb（ActiveDataObjectsDataBase）PHP库adodb504.tgz（9）PHP图形库jpgraph-2.3.tar.gz（10）snort规则包rules20090505.tar.gz）安装步骤：（1）组件的安装：在c:下建立duoduo的文件夹，再在其下建立duo的文件夹放入所有的安装程序，在后续的安装时，把可以选择安装路径的组件安装在duoduo的文件夹下①装WinPcap运行WinPcap_4_1_2.zip，默认安装。②装mysql运行mysql-5.0.22-win32.zip，选择自定义安装选择安装路径C:\duoaduo\mysql下，安装时注意：端口设置为3306（以后要用到），密码本实验设置成123，添加环境变量：图4-4配置环境变量③安装apache运行apache_2.2.4-win32-x86-no_ssl.zip安装到c:\duoaduo\apache④下面安装php：解压php-5.2.5-Win32到c:\duoaduo\php添加gd图形库支持复制c:\duoaduo\php\php5ts.dll和c:\duoaduo\php\libmysql.dll文件到%systemroot%\system32查询本机的%systemroot%复制c:\duoaduo\php\php.ini-dist到%systemroot%并重命名为php.ini，修改php.ini，分别去掉“extension=php_gd2.dll”和“extension=php_mysql.dll”前的分号，并指定extension_dir=c:\duoaduo\php\ext，同时复制c:\duoaduo\php\ext下的php_gd2.dll与php_mysql.dll到%systemroot%\system32在C:\duoaduo\apache\conf\httpd.conf中添加LoadModulephp5_modulec:/duoaduo/php/php5apache2_2.dll和AddTypeapplication/x-httpd-php.php，AddTypeapplication/x-httpd-php-source.phps重启Apache服务在C:\duoaduo\apache\htdocs目录下新建webinf.php（文件内容为：?phpinfo();?）并使用访问测试是否能够显示当前Apache服务器的信息，如果能够显示表明Apache和php工作基本正常⑤安装Snort运行Snort_2_9_0_5_Installer.exe安装在C:\duoaduo\Snort下即可，运行C:\duoaduo\Snort\bin\snort.exe⑥安装adodb解压缩adodb到c:\ids\php5\adodb文件夹下。⑦安装jgraph解压缩jpgraph到c:\duoaduo\php\jpgraph文件夹下⑧安装acid解压缩acid到c\duoaduo\apache\htdocs\acid文件夹下修改acid_conf.php文件为以下内容$DBlib_path=c:\duoaduo\php\adodb;$DBtype=mysql;$alert_dbname=snort;$alert_host=localhost;$alert_port=3306;$alert_user=root;$alert_password=123;$archive_dbname=snort_archive;$archive_host=localhost;$archive_port=3306;$archive_user=root;$archive_password=123;$ChartLib_path=c:\duoaduo\php\jpgraph\src;⑨重启apache、mysql服务⑩在浏览器中初始化acid数据库：启动Apache和mysql服务运行ACID：打开浏览器，地址为。如果有下图所示，则表示ACID安装成功。运行c:\duoaduo\snort\binsnort-cc:\duoaduo\snort\etc\snort.conf-lc:\duoaduo\snort\log-vdeX-X参数用于在数据链接层记录rawpacket数据-d参数记录应用层的数据-e参数显示／记录第二层报文头数据-c参数用以指定snort的配置文件的路径-v参数用于在屏幕上显示被抓到的包这时会在相应文件夹下，记录数据：（2）网络入侵检测系统:Snort最重要的用途还是作为网络入侵检测系统(NIDS)，使用下面命令行可以启动这种模式：./snort-dev-l./log-h***.***.***.***/**-csnort.conf图4-18运行网络入侵检测命令（3）网络入侵检测模式下的输出选项在NIDS模式下，有很多的方式来配置Snort的输出。在默认情况下,Snort以ASCII格式记录日志，使用full报警机制。如果使用full报警机制，snort会在包头之后打印报警消息。使用-s选项可以使Snort把报警消息发送到syslog，默认的设备是LOG_AUTHPRIV和LOG_ALERT。可以修改snort.conf文件修改其配置。Snort还可以使用SMB报警机制，通过SAMBA把报警消息发送到Windows主机。为了使用这个报警机制，在运行./configure脚本时，必须使用--enable-smbalerts选项。下面是一些输出配置的例子：使用默认的日志方式(以解码的ASCII格式)并且把报警发./snort-csnort.conf-l./log-s-H给syslog：具体本实验环境运行:\snort-cc:\duoaduo\snort\etc\snort.conf-lc:\duoaduo\snort\log-s-H2）Snort与控制台，数据库的使用检测：（1）设置监测包含的规则。找到snort.conf文件中描述规则的部分，如下图所示：前面加＃表示该规则没有启用，将local.rules之前的＃号去掉，其余规则保持不变（2）运行C:\duoaduo\Snort\bin中的snort.exe,不关闭窗口，浏览网页（3）打开acid检测控制台主界面点击右侧图示中TCP后的数字“1%”，将显示所有检测到的TCP协议日志详细情况TCP协议日志网页中的选项依次为：流量类型、时间戳、源地址、目标地址以及协议选择控制条中的“home”返回控制台主界面，在主界面的下部有流量分析及归类选项，可以看到，表中详细记录了各类型流量的种类、在总日志中所占的比例、出现该类流量的起始和终止时间等详细分析。点击第一条信息的起始时间2008-02-1301:49:01会显示起详细的信息。