《實驗16 Snort入侵檢測》由會員分享����,可在線閱讀�,更多相關(guān)《實驗16 Snort入侵檢測(65頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1���、Computer network security technology首都經(jīng)濟貿(mào)易大學(xué) 信息學(xué)院 計算機科學(xué)與應(yīng)用系 鄭小玲信息學(xué)院Information CollageSnortSnort的使用的使用第1章 程序設(shè)計基礎(chǔ)QuitMenuSnort的使用的使用實驗?zāi)康膶嶒災(zāi)康耐ㄟ^實驗深入理解通過實驗深入理解IDS的原理和工作方式的原理和工作方式���,熟悉入侵檢測工具,熟悉入侵檢測工具snort在在Windows操操作系統(tǒng)中的安裝和配置方法作系統(tǒng)中的安裝和配置方法QuitMenuSnort的使用的使用Snort的使用的使用Snort介紹介紹安裝配置安裝配置SnortSnort的使用的使用QuitS
2���、nort介紹介紹Menu1.Snort簡介簡介snortsnort是是Martin RoeschMartin Roesch等人開發(fā)的一種開放源等人開發(fā)的一種開放源碼的入侵檢測系統(tǒng)��。碼的入侵檢測系統(tǒng)��。Martin RoeschMartin Roesch把把snortsnort定定位為一個輕量級的入侵檢測系統(tǒng)�����。它具有實時位為一個輕量級的入侵檢測系統(tǒng)��。它具有實時數(shù)據(jù)流量分析和數(shù)據(jù)流量分析和IPIP數(shù)據(jù)包日志分析的能力�,具數(shù)據(jù)包日志分析的能力,具有跨平臺特征����,能夠進行協(xié)議分析和對內(nèi)容的有跨平臺特征,能夠進行協(xié)議分析和對內(nèi)容的搜索搜索/匹配�����。它能夠檢測不同的攻擊行為����,如緩匹配。它能夠檢測不同的攻擊行為����,
3、如緩沖區(qū)溢出��、端口掃描����、沖區(qū)溢出、端口掃描��、DoSDoS攻擊等,并進行實時攻擊等����,并進行實時報警報警QuitSnort介紹介紹Menu1.Snort簡介簡介snort有三種工作模式:有三種工作模式:嗅探器����、數(shù)據(jù)包記錄器嗅探器、數(shù)據(jù)包記錄器�、入侵檢測系統(tǒng)、入侵檢測系統(tǒng)���。做嗅探器時�����,它只讀取網(wǎng)絡(luò)��。做嗅探器時�,它只讀取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包�����,然后顯示在控制臺上�����。作數(shù)中傳輸?shù)臄?shù)據(jù)包,然后顯示在控制臺上��。作數(shù)據(jù)包記錄器時�,它可以將數(shù)據(jù)包記錄到硬盤上據(jù)包記錄器時,它可以將數(shù)據(jù)包記錄到硬盤上��,已備分析之用��。入侵檢測模式功能強大����,可,已備分析之用����。入侵檢測模式功能強大,可通過配置實現(xiàn)����,但稍顯復(fù)雜,通過配置實現(xiàn)�,但
4、稍顯復(fù)雜���,snort可以根據(jù)用可以根據(jù)用戶事先定義的一些規(guī)則分析網(wǎng)絡(luò)數(shù)據(jù)流��,并根戶事先定義的一些規(guī)則分析網(wǎng)絡(luò)數(shù)據(jù)流�,并根據(jù)檢測結(jié)果采取一定的動作據(jù)檢測結(jié)果采取一定的動作QuitSnort介紹介紹Menu1.Snort簡介簡介 Snort具有良好的擴展性和可移植性,可支持具有良好的擴展性和可移植性�,可支持Linux、windows等多種操作系統(tǒng)平臺�,在本實驗中����,主要介紹等多種操作系統(tǒng)平臺,在本實驗中��,主要介紹snort在在windows操作系統(tǒng)中的安裝和使用方法�����,以有操作系統(tǒng)中的安裝和使用方法��,以有助于同學(xué)們對入侵檢測系統(tǒng)的深入理解助于同學(xué)們對入侵檢測系統(tǒng)的深入理解在下面的實驗內(nèi)容中涉及到較多在
5���、下面的實驗內(nèi)容中涉及到較多mysql數(shù)據(jù)庫服務(wù)器以數(shù)據(jù)庫服務(wù)器以及及snort規(guī)則的配置命令����,為了有助于對實驗內(nèi)容的深規(guī)則的配置命令,為了有助于對實驗內(nèi)容的深入了解����,首先對入了解,首先對mysql和和snort的使用方法進行簡單介紹�����,的使用方法進行簡單介紹���,下面主要介紹基于下面主要介紹基于windows操作系統(tǒng)的操作方法操作系統(tǒng)的操作方法QuitSnort介紹介紹Menu2.mysql的使用的使用 mysqlmysql默認安裝在默認安裝在C:mysqlC:mysql文件夾下��,其運行文件為文件夾下��,其運行文件為C:mysqlbinmysqlC:mysqlbinmysql.exe.exe��,故在使用
6�����、時需先在��,故在使用時需先在windowswindows命命令行方式下進入令行方式下進入C:mysqlC:mysqlbinbin文件夾����,即單擊文件夾,即單擊“開始開始”按鈕��,選擇按鈕�����,選擇“運行運行”�����,輸入����,輸入cmdcmd后�,輸入下面的命令:后,輸入下面的命令:C:cd mysqlC:cd mysqlbinbin 出現(xiàn)下面的提示符:出現(xiàn)下面的提示符:C:mysqlC:mysqlbinbin 在此目錄下可連接在此目錄下可連接mysql數(shù)據(jù)庫數(shù)據(jù)庫QuitSnort介紹介紹Menu(1)連接連接mysql數(shù)據(jù)庫數(shù)據(jù)庫 連接連接mysqlmysql:mysqlmysql-h-h主機地址主機地址 -u
7���、-u用戶名用戶名 -p-p用戶密碼用戶密碼 如果只連接本地的如果只連接本地的mysqlmysql�����,則可以省去主機地址一項��,默認用戶的����,則可以省去主機地址一項,默認用戶的用戶名為用戶名為rootroot��,沒有密碼��。故可以用下面的語句登錄:�,沒有密碼。故可以用下面的語句登錄:mysql mysql -u root p-u root p 屏幕上會出現(xiàn)密碼輸入提示符屏幕上會出現(xiàn)密碼輸入提示符 Enter passwordEnter password:由于根用戶沒有密碼��,直接回車��,出現(xiàn)下面的提示符:由于根用戶沒有密碼�����,直接回車�,出現(xiàn)下面的提示符:mysqlmysql 這表示已經(jīng)進入這表示已經(jīng)進入mysq
8、lmysql數(shù)據(jù)庫的管理模式�,可在此模式下對數(shù)據(jù)庫、數(shù)據(jù)庫的管理模式�����,可在此模式下對數(shù)據(jù)庫、表�����、用戶進行管理表���、用戶進行管理QuitSnort介紹介紹Menu(2)數(shù)據(jù)庫和表的管理數(shù)據(jù)庫和表的管理創(chuàng)建新的數(shù)據(jù)庫:創(chuàng)建新的數(shù)據(jù)庫:create database create database 數(shù)據(jù)庫名數(shù)據(jù)庫名;注意一定要在命令末尾加上注意一定要在命令末尾加上“;”為語句的終止符����,否則為語句的終止符�,否則mysqlmysql不會編譯該條命令不會編譯該條命令使用某數(shù)據(jù)庫:使用某數(shù)據(jù)庫:use use 數(shù)據(jù)庫名數(shù)據(jù)庫名在某庫中建立表:在某庫中建立表:create table create table
9、表名表名(字段設(shè)定列表)(字段設(shè)定列表)也可以從事先導(dǎo)出的表文件導(dǎo)入數(shù)據(jù)庫中:也可以從事先導(dǎo)出的表文件導(dǎo)入數(shù)據(jù)庫中:c:mysqlbinmysqlc:mysqlbinmysql-D -D 數(shù)據(jù)庫名數(shù)據(jù)庫名 -u-u 用戶名用戶名 -p-p密碼密碼 snort-c 配置文件及路徑配置文件及路徑-l 日志日志文件的路徑文件的路徑-d-e X其中:其中:-X 參數(shù)用于在數(shù)據(jù)鏈接層記錄參數(shù)用于在數(shù)據(jù)鏈接層記錄raw packet 數(shù)據(jù)數(shù)據(jù)-d 參數(shù)記錄應(yīng)用層的數(shù)據(jù)參數(shù)記錄應(yīng)用層的數(shù)據(jù)-e 參數(shù)顯示記錄第二層報文頭數(shù)據(jù)參數(shù)顯示記錄第二層報文頭數(shù)據(jù)-c 參數(shù)用以指定參數(shù)用以指定snort 的配置文件的路徑
10����、的配置文件的路徑QuitSnort介紹介紹Menu3.snort的啟動的啟動如:如:c:snortbinsnort-c c:snortetcsnort.conf c:snortbinsnort-c c:snortetcsnort.conf-l c:snortlog-d-e-X-l c:snortlog-d-e-X也可以控制也可以控制snortsnort將記錄寫入固定的安全記錄文將記錄寫入固定的安全記錄文件中:件中:c:snortbinsnort A fast c c:snortbinsnort A fast c 配置文件及路配置文件及路徑徑 l l 日志文件及路徑日志文件及路徑Quit安裝配置
11、安裝配置SnortMenu1.實驗環(huán)境實驗環(huán)境一臺安裝一臺安裝windows2000/XPwindows2000/XP操作系統(tǒng)的計算操作系統(tǒng)的計算機��,連接到本地局域網(wǎng)中機�,連接到本地局域網(wǎng)中 注意注意:在打開在打開PHPPHP文件的時候用的是寫字板�,文件的時候用的是寫字板,而不是記事本而不是記事本Quit安裝配置安裝配置SnortMenu2.需要下載安裝的軟件需要下載安裝的軟件Quit安裝配置安裝配置SnortMenu3.安裝安裝(1)安裝安裝Apache_2.0.46 雙擊雙擊apache_2.0.46-win32-x86-no_src.msi�����,安,安裝在默認文件夾裝在默認文件夾c:apac
12���、he下���。安裝程序會在下。安裝程序會在該文件夾下自動產(chǎn)生一個子文件夾該文件夾下自動產(chǎn)生一個子文件夾apache2 打開配置文件打開配置文件c:apacheapache2confhttpd.conf����,將其中的,將其中的Listen 8080���,更改為�����,更改為 Listen 50080Quit安裝配置安裝配置SnortMenu(1)安裝安裝Apache_2.0.46Quit安裝配置安裝配置SnortMenu(1)安裝安裝Apache_2.0.46 注意:注意:這是由于這是由于windows IIS中的中的Web服務(wù)器服務(wù)器默認情況下在默認情況下在TCP 80端口監(jiān)聽連接請求�����,而端口監(jiān)聽連接請求���,而80
13、80端口一般留給代理服務(wù)器使用���,所以為了避免端口一般留給代理服務(wù)器使用�����,所以為了避免Apache web 服務(wù)器的監(jiān)聽端口與其發(fā)生沖突���,將服務(wù)器的監(jiān)聽端口與其發(fā)生沖突����,將Apache Web服務(wù)器的監(jiān)聽端口修改為不常用的高服務(wù)器的監(jiān)聽端口修改為不常用的高端端口端端口50080Quit安裝配置安裝配置SnortMenu(1)安裝安裝Apache_2.0.46 單擊單擊“開始開始”����,選擇,選擇“運行運行”��,輸入�,輸入“cmd”,進入命令行方式��。輸入下面的命令:進入命令行方式�����。輸入下面的命令:c:cd apacheapache2bin c:apacheapache2binapache k insta
14����、ll這是將這是將apache設(shè)置為設(shè)置為windows中的服務(wù)方式運行中的服務(wù)方式運行Quit安裝配置安裝配置SnortMenu(2)安裝安裝PHP解壓縮解壓縮php-4.3.2-Win32.zip 至至c:php拷貝拷貝c:php下下php4ts.dll 至至%systemroot%system32,php.ini-dist至至%systemroot%php.ini���。注意:這里的第二步應(yīng)該是:注意:這里的第二步應(yīng)該是:php.iniphp.ini-dist-dist至至%systemrootsystemroot%目錄下�,然后改名為目錄下����,然后改名為php.iniphp.iniQuit安裝配置
15、安裝配置SnortMenu(2)安裝安裝PHP添加添加gd圖形庫支持�����,在圖形庫支持�,在php.ini中添加中添加extension=php_gd2.dll。如果����。如果php.ini有該句,將有該句�����,將此語句前面的此語句前面的“;”注釋符去掉注釋符去掉Quit安裝配置安裝配置SnortMenu(2)安裝安裝PHP注意:這里需要將文件注意:這里需要將文件c:phpextensionsphp_gd2.dllc:phpextensionsphp_gd2.dll拷貝到目錄拷貝到目錄c:phpc:php 下下Quit安裝配置安裝配置SnortMenu(2)安裝安裝PHP添加添加Apache對對PHP的支持
16�����、。在的支持���。在c:apacheapache2confhttpd.conf中添加:中添加:LoadModule php4_module c:/php/sapi/php4apache2.dllAddType application/x-httpd-php .phpQuit安裝配置安裝配置SnortMenu(2)安裝安裝PHP單擊單擊“開始開始”按鈕����,選擇按鈕��,選擇“運行運行”�,在彈出的,在彈出的窗口中輸入窗口中輸入cmd進入命令行方式�,輸入下面命令:進入命令行方式,輸入下面命令:net start apache2 在在windows中啟動中啟動Apache web服務(wù)服務(wù)Quit安裝配置安裝配置S
17�、nortMenu(2)安裝安裝PHP 在在c:apacheapache2htdocs 目錄下新建目錄下新建test.php測試文件,測試文件����,test.php 文件內(nèi)容為文件內(nèi)容為 使用使用http:/127.0.0.1:50080/test.php,測試���,測試PHP是否成功安裝��,如成功安裝��,則在瀏覽器中出是否成功安裝��,如成功安裝�����,則在瀏覽器中出現(xiàn)下面的網(wǎng)頁現(xiàn)下面的網(wǎng)頁:Quit安裝配置安裝配置SnortMenu(2)安裝安裝PHPQuit安裝配置安裝配置SnortMenu(3)安裝安裝Snort安裝安裝snort-2_0_0.exe�����,snort的默認安裝路徑的默認安裝路徑在在c:snortQ
18����、uit安裝配置安裝配置SnortMenu(4)安裝配置安裝配置MYSQL數(shù)據(jù)庫數(shù)據(jù)庫安裝安裝Mysql到默認文件夾到默認文件夾c:mysql�,并在命令行,并在命令行方式下進入方式下進入c:mysqlbin�����,輸入下面的命令:��,輸入下面的命令:c:mysqlbinmysqld -nt install在命令行方式下輸入在命令行方式下輸入net start mysql����,啟動�����,啟動mysql 服務(wù)服務(wù)Quit安裝配置安裝配置SnortMenu(4)安裝配置安裝配置MYSQL數(shù)據(jù)庫數(shù)據(jù)庫單擊單擊“開始開始”按鈕���,選擇按鈕,選擇“運行運行”�,輸入,輸入“cmd”��,在出現(xiàn)的命令行窗口中輸入下面的命�����,在出現(xiàn)的命
19����、令行窗口中輸入下面的命令:令:c:cd mysqlbin c:mysqlbinmysql u root pQuit安裝配置安裝配置SnortMenu(4)安裝配置安裝配置MYSQL數(shù)據(jù)庫數(shù)據(jù)庫 出現(xiàn)出現(xiàn)Enter password提示符后直接回車,這就以默認的提示符后直接回車�����,這就以默認的沒有密碼的沒有密碼的root用戶登錄用戶登錄Mysql數(shù)據(jù)庫數(shù)據(jù)庫Quit安裝配置安裝配置SnortMenu(4)安裝配置安裝配置MYSQL數(shù)據(jù)庫數(shù)據(jù)庫在在mysql提示符后輸入下面的命令:提示符后輸入下面的命令:mysql create database snort�;(注意:在輸入分號后(注意:在輸入分號后
20、mysql才會編譯執(zhí)行語句)才會編譯執(zhí)行語句)mysqlcreate database snort_archive;(上上 面的面的create語句建立了語句建立了snort運行必須的運行必須的snort數(shù)據(jù)庫和數(shù)據(jù)庫和snort_archive數(shù)據(jù)庫數(shù)據(jù)庫)Quit安裝配置安裝配置SnortMenu(4)安裝配置安裝配置MYSQL數(shù)據(jù)庫數(shù)據(jù)庫輸入輸入“quit”命令退出命令退出mysql后,在出現(xiàn)的提示符后����,在出現(xiàn)的提示符之后輸入:之后輸入:mysql-D snort-u root-p mysql-D snort_archive-u root-p grant usage on*.*to ac
21、idlocalhost identified by acidtest;mysqlgrant usage on*.*to snortlocalhost identified by snorttest;(上面兩個語句表示在本地數(shù)據(jù)庫中建立了上面兩個語句表示在本地數(shù)據(jù)庫中建立了acid(密碼為(密碼為acidtest)和)和snort(密碼為(密碼為snorttest)兩個用戶����,以備后)兩個用戶��,以備后面使用面使用)Quit安裝配置安裝配置SnortMenu(4)安裝配置安裝配置MYSQL數(shù)據(jù)庫數(shù)據(jù)庫 在在mysql提示符后面輸入下面的語句提示符后面輸入下面的語句mysql grant select
22���、,insert,update,delete,create,alter on snort.*to“acid”“l(fā)ocalhost”;mysql grant select,insert on snort.*to“snort”“l(fā)ocalhost”;mysql grant select,insert,update,delete,create,alter on snort_archive.*to“acid”“l(fā)ocalhost”;(這是為新建的用戶在這是為新建的用戶在snort和和snort_archive數(shù)據(jù)庫中分配數(shù)據(jù)庫中分配權(quán)限權(quán)限)Quit安裝配置安裝配置SnortMenu(5)安裝安裝ado
23���、db 將將adodb360.zip解壓縮至解壓縮至c:phpadodb 目目錄下,即完成了錄下���,即完成了adodb的安裝的安裝Quit安裝配置安裝配置SnortMenu(6)安裝配置數(shù)據(jù)控制臺安裝配置數(shù)據(jù)控制臺acid解壓縮解壓縮acid-0.9.6b23.tar.gz 至至c:apacheapache2htdocsacid 目錄下目錄下修改修改c:apacheapache2htdocsacid下的下的acid_conf.php 文件:文件:Quit安裝配置安裝配置SnortMenu(6)安裝配置數(shù)據(jù)控制臺安裝配置數(shù)據(jù)控制臺acid$DBlib_path=c:phpadodb;$DBtype=
24�����、mysql;$alert_dbname =snort;$alert_host =localhost;$alert_port =3306;$alert_user =acid;$alert_password=acidtest;/*Archive DB connection parameters*/$archive_dbname =snort_archive;$archive_host =localhost;$archive_port =3306;$archive_user =acid;$archive_password=acidtest;$ChartLib_path=c:phpjpgraphsrc
25���、;注意:修改時要將文件注意:修改時要將文件中原來的對應(yīng)內(nèi)容注釋中原來的對應(yīng)內(nèi)容注釋掉,或者直接覆蓋掉����,或者直接覆蓋Quit安裝配置安裝配置SnortMenu(6)安裝配置數(shù)據(jù)控制臺安裝配置數(shù)據(jù)控制臺acid查看查看http:/127.0.0.1:50080/acid/acid_db_setup.php網(wǎng)頁網(wǎng)頁點擊點擊create ACID AG建立建立數(shù)據(jù)庫數(shù)據(jù)庫Quit安裝配置安裝配置SnortMenu(6)安裝配置數(shù)據(jù)控制臺安裝配置數(shù)據(jù)控制臺acid按照系統(tǒng)提示建立數(shù)據(jù)庫���,正常建立后出現(xiàn)下按照系統(tǒng)提示建立數(shù)據(jù)庫,正常建立后出現(xiàn)下面的網(wǎng)頁面的網(wǎng)頁Quit安裝配置安裝配置SnortMenu(7
26�����、)安裝安裝jpgrapg 庫庫解壓縮解壓縮jpgraph-1.12.2.tar.gz 至至c:phpjpgraph修改修改c:phpjpgraghsrc下下jpgragh.php文件�����,文件�,去掉下面語句的注釋:去掉下面語句的注釋:DEFINE(CACHE_DIR,/tmp/jpgraph_cache/);Quit安裝配置安裝配置SnortMenu(8)安裝安裝winpcap 安裝默認選項和默認路徑安裝安裝默認選項和默認路徑安裝winpcapQuit安裝配置安裝配置SnortMenu(9)配置并啟動配置并啟動snort打開打開c:snortetcsnort.conf文件�,將文件中文件,將文件中的
27����、下列語句:的下列語句:include classification.config include reference.config修改為絕對路徑:修改為絕對路徑:include c:snortetcclassification.config include c:snortetcreference.configQuit安裝配置安裝配置SnortMenu(9)配置并啟動配置并啟動snort在該文件的最后加入下面語句:在該文件的最后加入下面語句:output database:alert,mysql,host=localhost user=snort password=snorttest dbnam
28、e=snort encoding=hex detail=fullQuit安裝配置安裝配置SnortMenu(9)配置并啟動配置并啟動snort單擊單擊“開始開始”�����,選擇,選擇“運行運行”�,輸入,輸入cmd�,在命令行方式下輸入下面的命令:在命令行方式下輸入下面的命令:c:cd snortbin;c:snortbinsnort-c c:snortetcsnort.conf-l c:snortlog-d-e-XQuit安裝配置安裝配置SnortMenu(9)配置并啟動配置并啟動snort上面的命令將啟動上面的命令將啟動Snort�,如果,如果snort正常運行�����,正常運行����,系統(tǒng)最后將顯示出下面的信息:系
29�����、統(tǒng)最后將顯示出下面的信息:Quit安裝配置安裝配置SnortMenu(9)配置并啟動配置并啟動snort 打開打開http:/127.0.0.1:50080/acid/acid_main.php網(wǎng)頁��,進入網(wǎng)頁��,進入acid分析控制臺主界面��。如上述配分析控制臺主界面�����。如上述配置均正確,將出現(xiàn)下面的頁面:置均正確���,將出現(xiàn)下面的頁面:Quit安裝配置安裝配置SnortMenu(9)配置并啟動配置并啟動snort至此至此Snort安裝�、安裝��、配置配置完成完成Quit安裝配置安裝配置SnortMenu安裝配置安裝配置Snort安裝安裝Snort時注意關(guān)閉防火墻時注意關(guān)閉防火墻QuitSnort的使用的使
30����、用Menu1.完善配置文件完善配置文件 打開打開c:/snort/etc/snort.conf文件,查看現(xiàn)有配置文件�����,查看現(xiàn)有配置 設(shè)置設(shè)置snort的內(nèi)�、外網(wǎng)檢測范圍。將的內(nèi)���、外網(wǎng)檢測范圍���。將snort.conf文件中文件中var HOME_NET any語句中的語句中的any改為自己所在的改為自己所在的子網(wǎng)地址,即將子網(wǎng)地址�����,即將snort監(jiān)測的內(nèi)網(wǎng)設(shè)置為本機所在局監(jiān)測的內(nèi)網(wǎng)設(shè)置為本機所在局域網(wǎng)。如本地域網(wǎng)���。如本地IP為為192.168.1.10��,則將�����,則將any改為改為192.168.1.0/24����。并將����。并將var EXTERNAL_NET any語句語句中的中的any改為改為!192.
31���、168.1.0/24���,即將,即將snort監(jiān)測的外網(wǎng)監(jiān)測的外網(wǎng)改為本機所在局域網(wǎng)以外的網(wǎng)絡(luò)改為本機所在局域網(wǎng)以外的網(wǎng)絡(luò)QuitSnort的使用的使用Menu1.完善配置文件完善配置文件設(shè)置監(jiān)測包含的規(guī)則�����。設(shè)置監(jiān)測包含的規(guī)則。找到找到snort.conf文件中描文件中描述規(guī)則的部分��,如下圖:述規(guī)則的部分�����,如下圖:snort.conf文件中包含文件中包含的檢測規(guī)則文件的檢測規(guī)則文件:前面加表示該規(guī)則沒有啟用�����,前面加表示該規(guī)則沒有啟用����,將將local.rules之前的之前的#號去掉,其余規(guī)則保持不變號去掉���,其余規(guī)則保持不變QuitSnort的使用的使用Menu1.完善配置文件完善配置文件QuitSn
32���、ort的使用的使用Menu2.使用控制臺查看檢測結(jié)果使用控制臺查看檢測結(jié)果打開打開http:/127.0.0.1:50080/acid/acid_main.php網(wǎng)頁,啟動網(wǎng)頁��,啟動snort并打開并打開acid檢測控制臺主檢測控制臺主界面界面QuitSnort的使用的使用Menu2.使用控制臺查看檢測結(jié)果使用控制臺查看檢測結(jié)果QuitSnort的使用的使用Menu2.使用控制臺查看檢測結(jié)果使用控制臺查看檢測結(jié)果點擊右側(cè)圖示中點擊右側(cè)圖示中TCP后的數(shù)字后的數(shù)字“80%”�,將顯示���,將顯示所有檢測到的所有檢測到的TCP協(xié)議日志詳細情況,如下圖協(xié)議日志詳細情況�����,如下圖所示�。所示。TCP協(xié)議日志網(wǎng)頁
33����、中的選項依次為:流協(xié)議日志網(wǎng)頁中的選項依次為:流量類型、時間戳���、源地址�����、目標(biāo)地址以及協(xié)議。量類型��、時間戳�、源地址、目標(biāo)地址以及協(xié)議��。由于由于snort主機所在的內(nèi)網(wǎng)為主機所在的內(nèi)網(wǎng)為202.112.108.0,可以����,可以看出,日志中只記錄了外網(wǎng)看出����,日志中只記錄了外網(wǎng)IP對內(nèi)網(wǎng)的連接對內(nèi)網(wǎng)的連接(即目標(biāo)地址均為內(nèi)網(wǎng))(即目標(biāo)地址均為內(nèi)網(wǎng))QuitSnort的使用的使用Menu2.使用控制臺查看檢測結(jié)果使用控制臺查看檢測結(jié)果QuitSnort的使用的使用Menu2.使用控制臺查看檢測結(jié)果使用控制臺查看檢測結(jié)果選擇控制條中的選擇控制條中的“home”返回控制臺主界返回控制臺主界面,在主界面的下部有
34�、流量分析及歸類選面,在主界面的下部有流量分析及歸類選項��,如下圖���。項���,如下圖。acid檢測控制臺主界面檢測控制臺主界面:QuitSnort的使用的使用Menu2.使用控制臺查看檢測結(jié)果使用控制臺查看檢測結(jié)果QuitSnort的使用的使用Menu2.使用控制臺查看檢測結(jié)果使用控制臺查看檢測結(jié)果選擇選擇“l(fā)ast 24 hours:alerts unique”����,可以,可以看到看到24小時內(nèi)特殊流量的分類記錄和分析��,小時內(nèi)特殊流量的分類記錄和分析�����,如下圖所示??梢钥吹剑碇性敿氂涗浟巳缦聢D所示���??梢钥吹?����,表中詳細記錄了各類型流量的種類�、在總?cè)罩局兴嫉谋雀黝愋土髁康姆N類、在總?cè)罩局兴嫉谋壤?��、出現(xiàn)該類
35�、流量的起始和終止時間等詳例����、出現(xiàn)該類流量的起始和終止時間等詳細分析(在控制臺主界面中還有其他功能細分析(在控制臺主界面中還有其他功能選項,請自己練習(xí)使用)選項�����,請自己練習(xí)使用)QuitSnort的使用的使用Menu2.使用控制臺查看檢測結(jié)果使用控制臺查看檢測結(jié)果QuitSnort的使用的使用Menu2.使用控制臺查看檢測結(jié)果使用控制臺查看檢測結(jié)果選擇選擇“l(fā)ast 24 hours:alerts unique”�����,可以�,可以看到看到24小時內(nèi)特殊流量的分類記錄和分析,小時內(nèi)特殊流量的分類記錄和分析�����,QuitSnort的使用的使用Menu3.配置配置snort規(guī)則規(guī)則練習(xí)添加一條規(guī)則�,以對符合此規(guī)
36、則的數(shù)據(jù)包練習(xí)添加一條規(guī)則�,以對符合此規(guī)則的數(shù)據(jù)包進行檢測進行檢測打開打開c:snortruleslocal.rules文件,如圖所示文件��,如圖所示QuitSnort的使用的使用Menu3.配置配置snort規(guī)則規(guī)則QuitSnort的使用的使用Menu3.配置配置snort規(guī)則規(guī)則在規(guī)則中添加一條語句�����,實現(xiàn)對內(nèi)網(wǎng)的在規(guī)則中添加一條語句�����,實現(xiàn)對內(nèi)網(wǎng)的UDP協(xié)協(xié)議相關(guān)流量進行檢測,并報警:議相關(guān)流量進行檢測�����,并報警:udp ids/dns-version-query���。語句如下:��。語句如下:alert udp any any$HOME_NET any(msg:udp ids/dns-version-query;content:version;)保存文件后����,退出保存文件后����,退出重啟重啟Snort和和acid檢測控制臺,使規(guī)則生效檢測控制臺���,使規(guī)則生效Quit安裝配置安裝配置SnortMenu結(jié)束放映結(jié)束放映信息學(xué)院信息學(xué)院 鄭小玲鄭小玲
實驗16 Snort入侵檢測
