入侵檢測實驗報告

1、入侵檢測實驗報告 入侵檢測實驗報告 一 實驗環(huán)境搭建 1 安裝 winpcap 按向?qū)崾就瓿杉纯?（有時會提示重啟計算機。）使網(wǎng)卡處于混雜模式，能夠抓取數(shù)據(jù)包。 2 安裝snort 采用默認安裝完成即可 安裝完成使用下列命令行驗證是否成功 c:snortbinsnort.exe -w （也可以看到所有網(wǎng)卡的 interface 列表） 看到那個狂奔的小豬了嗎？看到了，就表示snort安裝成功。 3 安裝和設(shè)置 mysql 設(shè)置數(shù)據(jù)庫實例流程： 建立 snort 運行必須的 snort 庫和 snort_archive 庫 c:program filesmysqlmysql server 5.

2、0binmysql -u root -p enter password: （你安裝時設(shè)定的密碼，這里使用mysql這個密碼） mysqlcreate database snort; mysqlcreate database snort_archive; 使用c:snortschemas目錄下的create_mysql 腳本建立snort 運行必須的數(shù)據(jù)表 c:mysqlbinmysql -d snort -u root -p c:snortschemascreate_mysql c:mysqlbinmysql -d snort_archive -u root -p c:snortschemas

3、create_mysql 附：使用mysql -d snort -u root p命令進入snort數(shù)據(jù)庫后，使用show tables命令可以查看已創(chuàng)建的表。 建立acid 和snort 用戶,在root用戶下建立 mysql grant usage on *.* to acidlocalhost identified by acidtest; mysql grant usage on *.* to snortlocalhost identified by snorttest; 為acid 用戶和snort 用戶分配相關(guān)權(quán)限 mysql grant select,insert,update,

4、delete,create,alter on snort .* tosnortlocalhost; mysql grant select,insert,update,delete,create,alter on snort .* toacidlocalhost; mysql grant select,insert,update,delete,create,alter on snort_archive .*to acidlocalhost; mysql grant select,insert,update,delete,create,alter on snort_archive .*to sno

5、rtlocalhost; 4 測試 snort 啟動 snor t c:snortbinsnort -c c:snortetcsnort.conf -l c:snortlogs -i 2 -d 5 安裝虛擬機 安裝成功如下 設(shè)置虛擬機內(nèi) ip 為 192.168.10.3 主機 ip 為 192.168.10.2 ping 通表示虛擬機和主機能夠正常通信。 二 配置病毒 以任我行病毒為例打開 netsys 輸入虛擬機 ip 配置服務(wù)端，生成服務(wù)端后放置到虛擬機中，運行服務(wù)端。 通過即可客戶端控制虛擬機。 三 通過 wireshark 抓包分析特征 通過分析每一條宿主機與虛擬機的包特征編制規(guī)則。 四 將特征寫入規(guī)則文件 五 運行 snort 將信息寫入數(shù)據(jù)庫 可以看到已經(jīng)將病毒的信息寫到了數(shù)據(jù)庫中了。 六 總結(jié) 通過入侵檢測實驗，讓自己的動手能力有了提高。也對入侵檢測有了新的認識，對于，數(shù)據(jù)庫的使用，主機與虛擬機的直接的通信，病毒抓包，病毒特征分析，snort 的特點和應(yīng)用，