網(wǎng)絡(luò)安全實(shí)驗(yàn)Snort網(wǎng)絡(luò)入侵檢測(cè)實(shí)驗(yàn)

1、遵義師范學(xué)院計(jì)算機(jī)與信息科學(xué)學(xué)院實(shí)驗(yàn)報(bào)告（2013- 2014學(xué)年第1學(xué)期）課程名稱：網(wǎng)絡(luò)安全實(shí)驗(yàn)班 級(jí)：學(xué) 號(hào)：姓 名：任課教師：計(jì)算機(jī)與信息科學(xué)學(xué)院實(shí)驗(yàn)報(bào)告實(shí)驗(yàn)名稱Snort網(wǎng)絡(luò)入侵檢測(cè)實(shí)驗(yàn)指導(dǎo)教師實(shí)驗(yàn)類型操作實(shí)驗(yàn)學(xué)時(shí)4實(shí)驗(yàn)時(shí)間-、實(shí)驗(yàn)?zāi)康呐c要求(1) 進(jìn)一步學(xué)習(xí)網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù)。(2) 理解Snort網(wǎng)絡(luò)入侵檢測(cè)基本原理。(3) 學(xué)習(xí)和掌握Snort網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的安裝、配置與操作。(4) 學(xué)習(xí)和掌握如何利用Snort進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)應(yīng)用。二、實(shí)驗(yàn)儀器和器材惠普 pavilion-G4 ，corel-i3-2310 ，內(nèi)存：4G 虛擬機(jī)軟件 vmware9.0,windows s

2、erver 2003，Snort_2_9_2_2_Installer ,appserv-win32-2.5.10。Acid，Adodb, Jpgraph，Mysql，PHP WINPCAP SNORTRULES三、實(shí)驗(yàn)原理、內(nèi)容及步驟(一) 、實(shí)驗(yàn)原理：入侵檢測(cè)基本原理：入侵檢測(cè)(Intrusion Detection)是對(duì)入侵行為的檢測(cè)。它通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn) 的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)作 為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)， 在網(wǎng)

3、絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘 門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。 入侵檢測(cè)通過(guò)執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn): 監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并 向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作 系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全 管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整 性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否 有違反安全

4、策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全 閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊 和誤操作的實(shí)時(shí)保護(hù)。這些都通過(guò)它執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警異常行為模式的統(tǒng)計(jì)分析評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。對(duì)一個(gè)成功的入侵檢測(cè)系統(tǒng)來(lái)講，它不但可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)(包括 程序、文件和硬件設(shè)備等)的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重 要的一點(diǎn)是，它應(yīng)該管理、配置簡(jiǎn)單，從而使非專業(yè)人員非常容易

5、地獲得網(wǎng)絡(luò)安全。而 且，入侵檢測(cè)的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測(cè) 系統(tǒng)在發(fā)現(xiàn)入侵后，會(huì)及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。 入侵檢測(cè)系統(tǒng)所采用的技術(shù)可分為 特征檢測(cè)與異常檢測(cè)兩種：特征檢測(cè)(Signature-based detection)又稱 Misuse detection，這一檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來(lái)表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。它可以 將已有的入侵方法檢查出來(lái)，但對(duì)新的入侵方法無(wú)能為力。其難點(diǎn)在于如何設(shè)計(jì)模式既 能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來(lái)。異常檢測(cè)(Anomaly detection) 的假

6、設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一 理念建立主體正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔”，將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比 較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測(cè)的難題在于如何 建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為Snort入侵檢測(cè)系統(tǒng)：Snort簡(jiǎn)介：在1998年，Martin Roesch先生用C語(yǔ)言開發(fā)了開放源代碼(OpenSource)的入侵檢測(cè)系統(tǒng)Snort.直至今天，Snort已發(fā)展成為一個(gè)多平臺(tái) (Multi-Platform), 實(shí)時(shí)(Real-Time)流量分析，網(wǎng)絡(luò)IP數(shù)據(jù)包(Pocket)記錄等

7、特性的 強(qiáng)大的網(wǎng)絡(luò)入侵檢測(cè) / 防御系統(tǒng)(Network Intrusion Detection/Prevention System), 即 NIDS/NIPS.Snort 符合通用公共許可(GPL GUN General Pubic License), 在網(wǎng)上 可以通過(guò)免費(fèi)下載獲得Snort,并且只需要幾分鐘就可以安裝并開始使用它。snort基于 libpcap。Snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。嗅探器模式 僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。網(wǎng)絡(luò)入侵檢測(cè)模式是最復(fù)雜的，而且是可配置的。我們可以讓sno

8、rt 分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測(cè)結(jié)果采取一定的動(dòng)作。Snort原理：Snort能夠?qū)W(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行抓包分析，但區(qū)別于其它嗅探器的 是，它能根據(jù)所定義的規(guī)則進(jìn)行響應(yīng)及處理。Snort通過(guò)對(duì)獲取的數(shù)據(jù)包，進(jìn)行各規(guī)則 的分析后，根據(jù)規(guī)則鏈，可采取Activation （報(bào)警并啟動(dòng)另外一個(gè)動(dòng)態(tài)規(guī)則鏈）、Dynamic （由其它的規(guī)則包調(diào)用）、Alert （報(bào)警），Pass （忽略），Log （不報(bào)警但記錄網(wǎng)絡(luò)流量） 五種響應(yīng)的機(jī)制。Snort有數(shù)據(jù)包嗅探，數(shù)據(jù)包分析，數(shù)據(jù)包檢測(cè)，響應(yīng)處理等多種功能，每個(gè) 模塊實(shí)現(xiàn)不同的功能，各模塊都是用插件的方式和 Snort相結(jié)合，功能擴(kuò)

9、展方便。例如， 預(yù)處理插件的功能就是在規(guī)則匹配誤用檢測(cè)之前運(yùn)行，完成TIP碎片重組，http解碼，telnet解碼等功能，處理插件完成檢查協(xié)議各字段，關(guān)閉連接，攻擊響應(yīng)等功能，輸出 插件將得理后的各種情況以日志或警告的方式輸出。Snort工作過(guò)程：Snort通過(guò)在網(wǎng)絡(luò)TCP/IP的5層結(jié)構(gòu)的數(shù)據(jù)鏈路層進(jìn)行抓取網(wǎng)絡(luò) 數(shù)據(jù)包，抓包時(shí)需將網(wǎng)卡設(shè)置為混雜模式，根據(jù)操作系統(tǒng)的不同采用libpcap或winpcap 函數(shù)從網(wǎng)絡(luò)中捕獲數(shù)據(jù)包；然后將捕獲的數(shù)據(jù)包送到包解碼器進(jìn)行解碼。網(wǎng)絡(luò)中的數(shù)據(jù) 包有可能是以太網(wǎng)包、令牌環(huán)包、TCP/IP包、802.11包等格式。在這一過(guò)程包解碼器將其解碼成Snort認(rèn)識(shí)的統(tǒng)

10、一的格式；之后就將數(shù)據(jù)包送到預(yù)處理器進(jìn)行處理，預(yù)處理 包括能分片的數(shù)據(jù)包進(jìn)行重新組裝，處理一些明顯的錯(cuò)誤等問(wèn)題。預(yù)處理的過(guò)程主要是 通過(guò)插件來(lái)完成，比如 Http預(yù)處理器完成對(duì)Http請(qǐng)求解碼的規(guī)格化，F(xiàn)rag2事務(wù)處理 器完成數(shù)據(jù)包的組裝，Stream4預(yù)處理器用來(lái)使Snort狀態(tài)化，端口掃描預(yù)處理器能檢 測(cè)端口掃描的能力等；對(duì)數(shù)據(jù)包進(jìn)行了解碼，過(guò)濾，預(yù)處理后，進(jìn)入了Snort的最重要一環(huán)，進(jìn)行規(guī)則的建立及根據(jù)規(guī)則進(jìn)行檢測(cè)。規(guī)則檢測(cè)是Snort中最重要的部分，作用是檢測(cè)數(shù)據(jù)包中是否包含有入侵行為。例如規(guī)則alert tcp any any -/24 80（msg ” mi

11、sc large tcp packet ”； dsize : 3000;）這條規(guī)則的意思是，當(dāng)一個(gè)流 入這個(gè)網(wǎng)段的TCP包長(zhǎng)度超過(guò)3000B時(shí)就發(fā)出警報(bào)。規(guī)則語(yǔ)法涉及到協(xié)議 的類型、內(nèi)容、長(zhǎng)度、報(bào)頭等各種要素。處理規(guī)則文件的時(shí)候，用三維鏈表來(lái)存規(guī)則信 息以便和后面的數(shù)據(jù)包進(jìn)行匹配，三維鏈表一旦構(gòu)建好了，就通過(guò)某種方法查找三維鏈 表并進(jìn)行匹配和發(fā)生響應(yīng)。規(guī)則檢測(cè)的處理能力需要根據(jù)規(guī)則的數(shù)量，運(yùn)行Snort機(jī)器的性能，網(wǎng)絡(luò)負(fù)載等因素決定；最后一步就是輸出模塊，經(jīng)過(guò)檢測(cè)后的數(shù)據(jù)包需要以各 種形式將結(jié)果進(jìn)行輸出，輸出形式可以是輸出到alert文件、其它日志文件、數(shù)據(jù)庫(kù)UNIX 域或

12、Socket等。Snort部署與運(yùn)行：Snort的部署非常靈活，很多操作系統(tǒng)上都可以運(yùn)行，可以運(yùn) 行在window xp，windows2003, linux等操作系統(tǒng)上。用戶在操作系統(tǒng)平臺(tái)選擇上應(yīng)考 慮其安全性，穩(wěn)定性，同時(shí)還要考慮與其它應(yīng)用程序的協(xié)同工作的要求。如果入侵檢測(cè) 系統(tǒng)本身都不穩(wěn)定容易受到攻擊，就不能很好的去檢測(cè)其它安全攻擊漏洞了。在Lin ux與Windows操作系統(tǒng)相比較之下，Linux更加健壯，安全和穩(wěn)定。Snort的運(yùn)行，主要 是通過(guò)各插件協(xié)同工作才使其功能強(qiáng)大，所以在部署時(shí)選擇合適的數(shù)據(jù)庫(kù)，Web服務(wù)器，圖形處理程序軟件及版本也非常重要。Snort部署時(shí)一般是由傳感器層

13、、服務(wù)器層、管理員控制臺(tái)層三層結(jié)構(gòu)組成。傳感器層層就是一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的嗅探器層，收集網(wǎng)絡(luò)數(shù) 據(jù)包交給服務(wù)器層進(jìn)行處理，管理員控制臺(tái)層則主要是顯示檢測(cè)分析結(jié)果。部署Snort時(shí)可根據(jù)企業(yè)網(wǎng)絡(luò)規(guī)模的大小，采用三層結(jié)構(gòu)分別部署或采用三層結(jié)構(gòu)集成在一臺(tái)機(jī)器 上進(jìn)行部署，也可采用服務(wù)器層與控制臺(tái)集成的兩層結(jié)構(gòu)。Snort的有三種模式的運(yùn)行方式：嗅探器模式，包記錄器模式，和網(wǎng)絡(luò)入侵檢測(cè)系 統(tǒng)模式。嗅探器模式僅僅是從捕獲網(wǎng)絡(luò)數(shù)據(jù)包顯示在終端上，包記錄器模式則是把捕獲 的數(shù)據(jù)包存儲(chǔ)到磁盤，入侵檢測(cè)模式則是最復(fù)雜的能對(duì)數(shù)據(jù)包進(jìn)行分析、按規(guī)則進(jìn)行檢 測(cè)、做出響應(yīng)。（二）、實(shí)驗(yàn)內(nèi)容：在 Windows下安裝Sort

14、工具。（2）Snort入侵檢測(cè)系統(tǒng)配置。Snort入侵檢測(cè)系統(tǒng)檢測(cè)ICMP PING掃描。Snort入侵檢測(cè)系統(tǒng)來(lái)自外網(wǎng)的ICMP PING掃描。（5）Snort入侵檢測(cè)系統(tǒng)與防火墻聯(lián)動(dòng)。（三）、實(shí)驗(yàn)步驟（因?yàn)榇舜螌?shí)驗(yàn)在 windows系統(tǒng)下進(jìn)行，所以軟件安裝步驟較多，具體如下）：1.Windows下安裝Snort以及其他工具安裝1）首先在 windows下先安裝apache windows服務(wù)器，并安裝至 C:IDSAPACHE 文件夾內(nèi)，在彈出來(lái)的因?yàn)榇税姹臼羌闪?PHP,MYSQL的,所以直接點(diǎn)擊安裝。安裝過(guò) 程中會(huì)提示輸入SQL密碼以及 即ache的root名和管理員郵箱，輸入即可。

15、在此處我們輸入的郵箱為tokyolaw，帳戶名為Tokyo,密碼設(shè)置為123456.2）將 C:idsphp5 Php5ts.dll 復(fù)制到 WINDOWS WIND0WSsystem3目錄地址 01I匚：yriND0WSsystm32名稱r dl p_0pppphpSis. dll1dl3）添加GD圖形庫(kù)的支持，將 C:WINDOW下的PhP.ini中把“;extension=php_gd2.dll ”和“ ;extension=php_mysql.dll ” 這兩條語(yǔ)句前面的分 號(hào)去掉。t?xtfcnsion=php_pxif .dllJi rf i V 11 ll iT|H|T|.;ex

16、tension=php_gettext.dll ;es te“Eioii=php_gniptn. ;exten5ion=pfip_ifx _dll ;eKtension=pnp_inap _dll ;extension=php_interha5e-dll ;exteftsion=php_ldap-dll &xtension=php_nb5tring.dLl ;eKtension=pnp_Rcrjipt :extension=php_nhash ;ejstension=php_nii ne_niagic ;extension=pp_ning.dll ;eMtensionphp_msql-dll

17、;extertsion=php_RssqL.dll extcnsion=php_myGql.dllnib.bii nslfmabsmqin:iDTEFWWBCINIEWL-dll?hp. in:extenlon=php_gd2.dll ;pxtenslon=ph p_getteict.dll ;extension=php_gnp.dll ;pktpn5ion=ph p_lfjt.dll :extensifln=php_inap.ail :extenslcn=php血窕11 ;extensicn=php_ld 叩 xtenion=php nbstring-dll ;extensifln=ph p

18、_uicrjpt.dll ;extensinn=phpjnh8sh.dll ;pxtensicn=ph pjiiine_uiagic.dll ;exten51on=php_mingB（ill ;extension=php_msql.dll 注砧ql.dllop3oc.extenionphpnyql.dll4）將 C:idsphp5ext 下的文件 php_gd2.dll,php_mysql.dll 下；將 php mysql.dll 復(fù)制至 C:windowssystem32 下；復(fù)制至 C:windows卜也址 3 i_J C . VTVIHIIOlflfSJ tufi t-!- . 3.

19、-E3J 叵電 UpL Lb I*. . # 弓j? ijiddi S*tiip, J.宀年LJ 口 3 - 1-W *L E p o t c. bmp isiSSSEii25J6267202 呂nn lil 492尼妲*- 廿村孤-srroL也紐 tH) | 匸1工刃UD需主殲.4.-l i 即也 1 1 1 1沖m j a w” nlMmlla Xe：T dLLl1|scrril tidELl1u .-J Xml i- vi _ dUK &1 *WLp . dillimpz- M IILXSi# *IE IP fO-. eIELI二邑7石煩卓- 1-J 15) 添加 APACH對(duì) PHP的

20、支持。在 C:idsapacheconfhttpd.conf的末尾添加以 下語(yǔ)句：LoadModule php5_module c:/ids/php5/php5apache2_2.dllAddType applicati on /x-httpd-php .phpII：Indxlgnore *?* * *# HEADER* README* RCS CUS *Tu *tkoadnodule phpS_niodule c:Zids/phpS/phpSapache2_2.dll IftddType application/x-littpd-php .php6) 重啟 APACHEYJ 取占酉V從 ZE

21、* mrb 二| Control Server by Manual 卜( 彳 Vninstall App：CT ,5.10啟動(dòng)2 Internet Hiplorer $| Outlook Impress H邂側(cè)CMitrol Server by Senice i Review Sarver Log FilesQi My58L Command Line Client Reset MySQL Boot Fas sword| 1 Uninstall AppServ t2.5. 10 Apacht Restart 加du Start Apache Stop 罷 HySQL StartMySQL Sto

22、pHES 卜 Hirfcip 口 XirM lirerk7) 在 C:idsAPACHEhtdocs 目錄下新建 TEST.PHP 內(nèi)容：v?phpinfo();? 在IE中測(cè)試PHP是否成功安裝。一.吊巳”攤親 收聲窸4 A申力卜|沁:Eip力田 $二 I 鬲/The AppServ Open Project - 2_5.1O for WindowsphpMyAdmini Untcbn&Ei MnrsqiEir Version 1* 1 0_3 HHP Inlciirmaivun VhtbioiwAh o tit Ap* 匚孕 irv 7 豊 r io 門 f. 1 D f a I -/VI

23、 n tl o w 尊AjfspSoiv is o m&rflingi opn tsum scrftwor inftQlller packoge for Win dews in eludes : ApFfcchie Wf?t SrvR-r Version 2 Z 8 RHP Script LfiRiquacie Versi口n S.2. B MySQL Uumtjase Version bU.E1 b huinirh LJilatiaLitib Morhixoidir Version U_38）安裝 WINPCAP此處安裝了一個(gè)帶有winpcap的軟件，由于前次實(shí)驗(yàn)已經(jīng)安裝在電腦上就不再安裝。

24、9）安裝SNOR至C:idssnort 。安裝時(shí)會(huì)提示選擇組件以及是否用數(shù)據(jù)庫(kù)，這里我們先不選擇數(shù)據(jù)庫(kù)，組件默認(rèn)四個(gè)全部安裝，安裝完成后運(yùn)行一次MYSQ，安裝目錄 如下圖：co liStItejyrWMie 8*04： or 4.fa s d lilt7t c il b inXI。甘 7丄!口 二 Doc：in希rhAGIZI Jinn it#no n匸F= oiit 1 nnfl 1R FRU I CFnptXE EHU I GE XUHUM&TRIjL.左匸七吒 九r理a s/hdlmtCbCnnlfrHt：工些彷內(nèi)一工 D JL 全 SouUn tiiifP(1HR 聲ftm iiri

25、94 . I RUs 1石LU Ff m曰住 zLonw1 . Z - 3 Snoit: *Uizr l uii K _ V 3tf-ODIJCRy H-a i*c fin Ko a 4% a-ti Hr T tin R W3Sf地址 Q) | J) C; lDSphp5名稱1大小類型1修故日期1眉性I,adodb立件夾2013-12-10 13:42二)dev文件夾2013-12-1(? 11；那巴瞰2013-12-10 11:39了 extras立件夾2013-12-10 U:3911 rm mu mm| _jpgraph = ii miiiHwiii imulimn n n立件夾-1V-

26、 IbkTTr2013-12-10 13:45rm r-b .c ii n t-icmd界面，執(zhí)行以下命令:，mysql -u root p，14）創(chuàng)建數(shù)據(jù)庫(kù)，創(chuàng)建表，進(jìn)入 輸入密碼后，登錄mysql 建兩個(gè)數(shù)據(jù)庫(kù)：create database snort;create database sno rt_archive; 驗(yàn)證一下show databases;2.運(yùn)行 Snort :1）進(jìn)入 Mysql控制臺(tái)，建立 SNOR運(yùn)行必須的SNORTS據(jù)庫(kù)和 SNORT ARCHIVE據(jù)庫(kù)。輸入 mysql -h localhost -u root -p123456 Gd Slccalhost u

27、t*oot pl2345t c: Ssnai*t_niysql_sql2）復(fù)希9 C:idssnortschames下的 create_mysql 文件至U C:idssnortbin下。3）在命令行方式下分別輸入和執(zhí)行以下兩條命令。 mysql -D snort -u root -p C:create_mysql mysql -D sno rt_archive -u root -p c:create_mysql4）查看數(shù)據(jù)庫(kù)：show databases口 C I VWXITDCIVS Vl =i- o32 V.cm!. *yE qX w r o o-t. p5）修改該目錄下的ACID_CO

28、NF.PH文件，修改內(nèi)容如下: $DBIib_path = c:idsphp5adodb;$DBtype = mysql;$alert_db name = sn ort;$alert_host = localhost; $alert_port = 3306;$alert_user = acid; $alert_password =“ 123456;/* Archive DB connection parameters */ $archive_db name = sno rt_archive; $archive_host = localhost;$archive_port = 3306;$arc

29、hive_user = acid; $archive_password =“ 123456;$ChartLib_path = c:idsphp5jpgraphsrc;Blibpffth =叱注 ESphp 趴 adodb :文件 碗 查看電I）恪式（W 帝勘 3舊|資囤陽(yáng)|剛翳|聞時(shí)|射I-$alart-$alertdbriame host-531ert_poxt-$alart_UEr- $al e r 1: _ p asswc r d;Ny3QL database nan :host on. ihich th.e ;port oil ltd ch to a:login + o the 曲ti

30、b :passn/or d of the DB* This infarmation can be gLaaned from th* output plug in configmat ion.*/$31ert_dbnajn&J al&rt_hcst ?alert_poirt Talert_user falert_passivordan&rt：* localhost K ；3306*；M- Jacid.* 123456./* Archive DB connection paraineters */ ar ckive_ dbriaie= stto r-t_arckiverr ,$archive_ho

31、st=Localhost;$archive_port=；farchive_user=*acid* .tarchive_passvo rd 二123456: /Tokyo*/*/|ChaftLib_path = C:YIDSXphpSVjpgraphXcrc. /*Tokyir+ rnii-him rr， * i ii r jt，tt r6） 重啟 APACH服務(wù)。在 IE 中輸入：http:/localhost/acid/acid_db_setup.php,打開頁(yè)面后，單擊Create ACID AG按鈕，建立數(shù)據(jù)庫(kù)。Jd J-B *回R ：.； |畫*itf熱心 . C3UfU-Ci 1 L

32、hl tp. /1 HA . lJ. k . 6Q/i iL1 4.C.1 d_db_c4.Lue-3日倉(cāng)到I怙仕| AC IPDB SetupSearchAG MliiiiKAiice 趣Back X B Hp 孫#*電 Twt4rB*f lirl AT 4FDescriipbnd） Mfliu 盤忌曲 rk3ft 141 XA 21 WJtfjiaiStatusAdds I:ables Io eKtend tha Snol: DB Id supporl thw ACO luriiclinnshlSsardi IndBixei； （Opr*on#l） Addsto tht Snort D6

33、10 optinniz ih spedl of iht quriiI.一 .r 曲旦更二一 ？tJGlELoaded In 1 seconds，團(tuán)畫 ；.| 血 收襄http:/ 1Q2. 168. 1.6Q/i i/aci d_db_satnp. pKpACID DB SetupSuccessfully ereated acid_agSuecessfully created 為匚id_ag_alertSuccessfully created acid_ip_cacheSuccessfully created acid_0V9nt7）解壓縮SNORT規(guī)則包。將事先準(zhǔn)備的 C:idss nort

34、 下，替換其中的文件和文件夾。SNORT規(guī)則包的所有文件解壓縮至:地址|C: UDSSnrt名稱-大水羹出修改日期.附.Jilin11二ib_jpreprcc_rl3iiLes.夾夾夾夾夾夾夾夾訪件件件件件件件件JM-V文文文文文文文卄2013-12-102013-12-102013-12-102013-12-102013-12-102013-12-102013-12-102013-12-10nn11n 1rt13:5612;291Q：OQ12:29居2919: 198）配置SNOR,打開snort 將 include classification.config配置文件 c:snortetcs

35、nort.confin elude refere nce.c onfig改為絕對(duì)路徑in elude c:s no rtetcclassificati on.configin clude c:s no rtetcrefere nce.c onfigincludeit metadata reference data k do not modiFy these lines I c:idssnortetcclassificatian-conFig Include c尸tEtcrEFErEnCE _canFigWARNINGam yDiDliIc口丄三七Countles 139 threshoId C

36、inme morcapf detect ion_FiltRennf i g 110*1057(i bytcoLdetecton-Fi_lter-rules 】UDUt： 1*1十吃L- MJ 卜UHkL 1 t t： feP - MWVI MJal xilm|9）啟動(dòng)SNORT入侵檢測(cè)。 以命令行下輸入以下命令，啟動(dòng) SNORT?序。（如果希 望看到SNORK取的數(shù)據(jù)包，可以-X之后加-V。10）執(zhí)行以下命令加速SNOR并保存配置晦 -5# AamAdded D erlfe the A art cacheICMPPctcan Ti鏟 t C jIi=XDacmnents and Settins

37、Aidniinist：raoi*cdl 齊:Xidsnort bin-I DSXSnioi*t 氣binAwwt pcap_f rane $ =naxAnalysis Console for Intrusion Databases/UNINSTALL xSHOWErtsxii： VIUnlquL Alifrty： m Tcrtil Humhr Df Alrto: 0:Xl DSSraort blnsnot*t -w nort： option requires an argument* Seaici Graph Alert dataTragic Pmanic by PratocnlTCP網(wǎng)tBJ

38、 -C | Jitf.p：/ 363 . 3/x：3 d ac : J_ri *J3i. plip一options J ZSEflUICE ZlNSTftLL -options 1 /SEBUICE zSEHUICEOutrlid w : Tut DfctmbtfIQ.ZDrn T2 96 Z3I pInljiWifl； nnrifl),:lDalhiF.1 73EF :!wrainn;卩) I ii nfe wilntlLW： rKi =汕花 曲 met刖 SturCr IP adiiresf es U Dtsc. IP iddr-e 0* Uhiqui IP linKs 0Set aler

39、t mode - fast, Full cansole teslb or none alert F il3.查看統(tǒng)計(jì)數(shù)據(jù)：1）從安裝有 SNORT勺主機(jī)上打開 0/acid/acid_main.php，進(jìn)入ACID分析控制臺(tái)主界面，從中便可以查看到統(tǒng)計(jì)數(shù)據(jù)。至此，基于 SNORT勺入侵檢 測(cè)系統(tǒng)配置結(jié)束。后續(xù)工作則是完善 SNORB則配置文件。ySnort?Uersion -ODBG-MySQL-WIN32 GRE By Nrtin Roesch & The Snort lean： http：/www.snort-orff/snort/snort

40、-tSAGE； snort snortSflOPt Snort pt ions:-fi only) Soui-i Forth 0TCP (0) UDP IT* D已L Pan電 UqTCP(O) UDP(空口(!A) fifi -yj 收矗 Xtt I) IWj 11 O -aiE *回 skHnl-f mi vl i vt(M- 11) li-Ef u!hi I Ittl pV BpL 13fet vtCopytig-ht (O 19982012 Sourcef ii*e Inc _, et al. Using FChE version= S.19 20100b2SUsng ZLIB wer

41、sion : 1.2 _3G：1 L .levaeseMicrosoft Windows【欣平 5.2.3790(C)版權(quán)所有 198E-2003 MicrosaFt Carp.可以在命令行中看見snort監(jiān)測(cè)數(shù)據(jù)t2Z16-21=04：20192 ：IB8 1.1眄丄 324眄,舊 - RTRflLTI2zie-2i：04:29_fl3156S 192.16R.l,6fi - 224.0-0.22TO：002 TTL：1 TOS：0x8 ID：1734 IpLen：24 DgmLen：40IP Options - RTWALT=*=+=*二+=+=+ =+=+=+=*=斗二十=+=4=*=*二+=+=*=十=+=*=+= 2SROTO：002 TTL=1 IQS:0x0 ID：2194 IpLn：24 DgnLen：40IP Options (1 = RTPALTk-fr + =