實驗：網(wǎng)絡(luò)入侵檢測實驗設(shè)計與實現(xiàn)

1、4 網(wǎng)絡(luò)入侵檢測系統(tǒng)（Snort）實驗4.1實驗平臺的搭建1）實驗軟件：（1）Microsoft virtual pc虛擬機（2）windows server 2003鏡像文件（3）網(wǎng)絡(luò)數(shù)據(jù)包截取驅(qū)動程序WinPcap_4_1_2.zip（4）Windows 版本的Snort 安裝包Snort_2_9_0_5_Installer.exe（5）Windows 版本的Apache Web 服務(wù)器（6）Windows版本的PHP腳本環(huán)境支持（7）Windows 版本的Mysql 數(shù)據(jù)庫服務(wù)器（8）ACID（Analysis Console for Intrusion Databases）基于PHP的

2、入侵檢測數(shù)據(jù)庫分析控制臺（9）Adodb（Active Data Objects Data Base）PHP庫adodb504.tgz（10）PHP圖形庫（11）snort 規(guī)則包2）安裝步驟：（1）虛擬機和操作系統(tǒng)的安裝：運行虛擬機安裝程序，默認安裝即可，打開控制臺，新建一個虛擬機，按照提示具體填寫，選擇鏡像文件，啟動，安裝好鏡像系統(tǒng)后，效果如下：圖4-1 虛擬機（2）組件的安裝：在c:下建立duoduo的文件夾，再在其下建立duo的文件夾放入所有的安裝程序，在后續(xù)的安裝時，把可以選擇安裝路徑的組件安裝在duoduo的文件夾下安裝WinPcap運行WinPcap_4_1_2.zip，默認安裝

3、。安裝mysql圖4-2 配置端口圖4-3 配置密碼添加環(huán)境變量：圖4-4 配置環(huán)境變量安裝apache安裝到c:duoaduoapache下面安裝php：添加gd圖形庫支持復(fù)制c:duoaduophpphp5ts.dll和c: duoaduophplibmysql.dll文件到%systemroot%system32查詢本機的%systemroot%圖4-5 查詢機的%systemroot%復(fù)制c: duoaduophpphp.ini-dist到%systemroot%并重命名為php.ini，修改php.ini，分別去掉“extension=php_gd2.dll”和“extension=

4、php_mysql.dll”前的分號，圖4-6 配置php.Ini(1并指定extension_dir="c:duoaduophpext"，圖4-7配置php.Ini(2在C:duoaduoapacheconfhttpd.conf中添加LoadModule php5_module c:/duoaduo/php/php5apache2_2.dll和AddType application/x-httpd-php .php，AddType application/x-httpd-php-source .phps圖4-8 配置httpd.conf圖4-9 正確運行Apache和ph

5、p但是如果顯示圖4-10 錯誤信息原因是 addtype 的那兩句話有錯誤，檢查修改就可以了 安裝Snort運行Snort_2_9_0_5_Installer.exe安裝在C:duoaduoSnort下即可，運行C:duoaduoSnortbinsnort.exe或者在DOS中找到該位置，如果安裝 Snort成功會出現(xiàn)一個可愛的小豬圖4-11 Snort運行正常并按照以下修改C:duoaduoSnortetcsnort.conf文件：var RULE_PATH c:duoaduosnortrulesinclude classification.configinclude reference.c

6、onfig修改為絕對路徑：include c:duoaduosnortetcclassification.configinclude c:duoaduosnortetcreference.config在該文件的最后加入下面語句：output database: alert, mysql, host=localhost user=root password=123 dbname=snort encoding=hex detail=full創(chuàng)建 snort 數(shù)據(jù)庫的表 復(fù)制 c:duoaduosnortschames 文件夾下的create_mysql 文件到C:duoaduomysqlbin文件

7、夾下 打開 mysql 的的客戶端執(zhí)行如下命令 Create database snort; Create database snort_archive; Use snort; Source create_mysql; Use snort_archive; Source create_mysql; Grant all on *.* to “root”localhost” 加入 php 對 mysql 的支持： 修改 c:windowsphp.ini 文件去掉 extension=php_mysql.dll 前的分號。 復(fù)制c:duoaduophpext 文件夾下的 php_mysql.dll

8、文件到 c:windows 文件夾。復(fù)制c:duoaduophplibmysql.dll文件到c:windowssystem32下安裝 adodb 解壓縮 adodb 到 c:idsphp5adodb 文件夾下。安裝 jgraph 解壓縮 jpgraph 到 c:duoaduophpjpgraph 文件夾下安裝 acid 解壓縮 acid 到 cduoaduoapachehtdocsacid 文件夾下修改 acid_conf.php 文件 為以下內(nèi)容 $DBlib_path="c:duoaduophpadodb" $DBtype="mysql" $ale

9、rt_dbname ="snort" $alert_host = "localhost" $alert_port ="3306" $alert_user="root" $alert_password="123" $archive_dbname="snort_archive" $archive_host="localhost" $archive_port="3306" $archive_user="root" $arc

10、hive_password="123" $ChartLib_path="c:duoaduophpjpgraphsrc"重啟apache、mysql服務(wù)在瀏覽器中初始化acid數(shù)據(jù)庫： http:/localhost/acid/acid_db_setup.php以上配置正確會有下面的顯示：圖4-12 正確配置acid安裝成功，測試一下：啟動Apache和mysql服務(wù)圖4-13正確安裝acid運行c:duoaduosnortbin>snort -c "c:duoaduosnortetcsnort.conf" -l "c:

11、duoaduosnortlog" -vdeX-X 參數(shù)用于在數(shù)據(jù)鏈接層記錄raw packet 數(shù)據(jù)-d 參數(shù)記錄應(yīng)用層的數(shù)據(jù)-e 參數(shù)顯示記錄第二層報文頭數(shù)據(jù)-c 參數(shù)用以指定snort 的配置文件的路徑-v 參數(shù)用于在屏幕上顯示被抓到的包圖4-14 正確記錄日志4.2實驗測試1）Snort的使用：（1）嗅探器:所謂的嗅探器模式就是Snort從網(wǎng)絡(luò)上讀出數(shù)據(jù)包然后顯示在你的控制臺上。如果你只要把TCP/IP包頭信息打印在屏幕上，只需要輸入下面的命令：./snortV圖4-15 運行./snortV如果要把所有的包記錄到硬盤上，你需要指定一個日志目錄，snort就會自動記錄數(shù)據(jù)包：.

12、/snort -dev -l ./log圖4-16 運行./snort -dev -l ./log這時會在相應(yīng)文件夾下，記錄數(shù)據(jù)：圖4-17 文件記錄信息（2）網(wǎng)絡(luò)入侵檢測系統(tǒng):Snort最重要的用途還是作為網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS，使用下面命令行可以啟動這種模式：圖4-18運行網(wǎng)絡(luò)入侵檢測命令（3）網(wǎng)絡(luò)入侵檢測模式下的輸出選項在NIDS模式下，有很多的方式來配置Snort的輸出。在默認情況下,Snort以ASCII格式記錄日志，使用full報警機制。如果使用full報警機制，snort會在包頭之后打印報警消息。使用-s選項可以使Snort把報警消息發(fā)送到syslog，默認的設(shè)備是LOG_A

13、UTHPRIV和LOG_ALERT?？梢孕薷膕nort.conf文件修改其配置。Snort還可以使用SMB報警機制，通過SAMBA把報警消息發(fā)送到Windows主機。為了使用這個報警機制，在運行./configure腳本時，必須使用-enable-smbalerts選項。下面是一些輸出配置的例子：使用默認的日志方式(以解碼的ASCII格式并且把報警發(fā)./snort -c snort.conf -l ./log -s -H給syslog：具體本實驗環(huán)境運行:snort -c c:duoaduosnortetcsnort.conf -l c:duoaduosnortlog -s -H圖4-19運行

14、網(wǎng)絡(luò)入侵檢測模式下的輸出選項（1）圖4-20 運行網(wǎng)絡(luò)入侵檢測模式下的輸出選項（2）2）Snort與控制臺，數(shù)據(jù)庫的使用檢測：（1）設(shè)置監(jiān)測包含的規(guī)則。找到snort.conf文件中描述規(guī)則的部分，如下圖所示：圖4-21 配置snort.conf前面加表示該規(guī)則沒有啟用，將local.rules之前的號去掉，其余規(guī)則保持不變（2）運行C:duoaduoSnortbin中的snort.exe, 不關(guān)閉窗口，瀏覽網(wǎng)頁（3）打開acid檢測控制臺主界面圖4-22 顯示數(shù)據(jù)點擊右側(cè)圖示中TCP后的數(shù)字“1%”，將顯示所有檢測到的TCP協(xié)議日志詳細情況圖4-23 詳細信息（1）TCP協(xié)議日志網(wǎng)頁中的選項

15、依次為：流量類型、時間戳、源地址、目標地址以及協(xié)議選擇控制條中的“home”返回控制臺主界面，在主界面的下部有流量分析及歸類選項，圖4-24 流量分析及歸類選項圖4-25 近24小時的數(shù)據(jù)流可以看到，表中詳細記錄了各類型流量的種類、在總?cè)罩局兴嫉谋壤?、出現(xiàn)該類流量的起始和終止時間等詳細分析。點擊第一條信息的起始時間2008-02-13 01:49:01會顯示起詳細的信息。圖4-26 詳細信息(1圖4-27 詳細信息(2控制臺中所以以藍色顯示的都可以點擊以查看詳細數(shù)據(jù)。在此就不一一演示了。4 網(wǎng)絡(luò)入侵檢測系統(tǒng)（Snort）實驗4.1實驗平臺的搭建1）實驗軟件：（1）Microsoft virt

16、ual pc虛擬機（2）windows server 2003鏡像文件（3）網(wǎng)絡(luò)數(shù)據(jù)包截取驅(qū)動程序WinPcap_4_1_2.zip（4）Windows 版本的Snort 安裝包Snort_2_9_0_5_Installer.exe（5）Windows 版本的Apache Web 服務(wù)器（6）Windows版本的PHP腳本環(huán)境支持（7）Windows 版本的Mysql 數(shù)據(jù)庫服務(wù)器（8）ACID（Analysis Console for Intrusion Databases）基于PHP的入侵檢測數(shù)據(jù)庫分析控制臺（9）Adodb（Active Data Objects Data Base）PH

17、P庫adodb504.tgz（10）PHP圖形庫（11）snort 規(guī)則包2）安裝步驟：（1）虛擬機和操作系統(tǒng)的安裝：運行虛擬機安裝程序，默認安裝即可，打開控制臺，新建一個虛擬機，按照提示具體填寫，選擇鏡像文件，啟動，安裝好鏡像系統(tǒng)后，效果如下：圖4-1 虛擬機（2）組件的安裝：在c:下建立duoduo的文件夾，再在其下建立duo的文件夾放入所有的安裝程序，在后續(xù)的安裝時，把可以選擇安裝路徑的組件安裝在duoduo的文件夾下安裝WinPcap運行WinPcap_4_1_2.zip，默認安裝。安裝mysql圖4-2 配置端口圖4-3 配置密碼添加環(huán)境變量：圖4-4 配置環(huán)境變量安裝apache安

18、裝到c:duoaduoapache下面安裝php：添加gd圖形庫支持復(fù)制c:duoaduophpphp5ts.dll和c: duoaduophplibmysql.dll文件到%systemroot%system32查詢本機的%systemroot%圖4-5 查詢機的%systemroot%復(fù)制c: duoaduophpphp.ini-dist到%systemroot%并重命名為php.ini，修改php.ini，分別去掉“extension=php_gd2.dll”和“extension=php_mysql.dll”前的分號，圖4-6 配置php.Ini(1并指定extension_dir=&

19、quot;c:duoaduophpext"，圖4-7配置php.Ini(2在C:duoaduoapacheconfhttpd.conf中添加LoadModule php5_module c:/duoaduo/php/php5apache2_2.dll和AddType application/x-httpd-php .php，AddType application/x-httpd-php-source .phps圖4-8 配置httpd.conf圖4-9 正確運行Apache和php但是如果顯示圖4-10 錯誤信息原因是 addtype 的那兩句話有錯誤，檢查修改就可以了 安裝Snor

20、t運行Snort_2_9_0_5_Installer.exe安裝在C:duoaduoSnort下即可，運行C:duoaduoSnortbinsnort.exe或者在DOS中找到該位置，如果安裝 Snort成功會出現(xiàn)一個可愛的小豬圖4-11 Snort運行正常并按照以下修改C:duoaduoSnortetcsnort.conf文件：var RULE_PATH c:duoaduosnortrulesinclude classification.configinclude reference.config修改為絕對路徑：include c:duoaduosnortetcclassification.

21、configinclude c:duoaduosnortetcreference.config在該文件的最后加入下面語句：output database: alert, mysql, host=localhost user=root password=123 dbname=snort encoding=hex detail=full創(chuàng)建 snort 數(shù)據(jù)庫的表 復(fù)制 c:duoaduosnortschames 文件夾下的create_mysql 文件到C:duoaduomysqlbin文件夾下 打開 mysql 的的客戶端執(zhí)行如下命令 Create database snort; Create

22、 database snort_archive; Use snort; Source create_mysql; Use snort_archive; Source create_mysql; Grant all on *.* to “root”localhost” 加入 php 對 mysql 的支持： 修改 c:windowsphp.ini 文件去掉 extension=php_mysql.dll 前的分號。 復(fù)制c:duoaduophpext 文件夾下的 php_mysql.dll 文件到 c:windows 文件夾。復(fù)制c:duoaduophplibmysql.dll文件到c:wind

23、owssystem32下安裝 adodb 解壓縮 adodb 到 c:idsphp5adodb 文件夾下。安裝 jgraph 解壓縮 jpgraph 到 c:duoaduophpjpgraph 文件夾下安裝 acid 解壓縮 acid 到 cduoaduoapachehtdocsacid 文件夾下修改 acid_conf.php 文件 為以下內(nèi)容 $DBlib_path="c:duoaduophpadodb" $DBtype="mysql" $alert_dbname ="snort" $alert_host = "loca

24、lhost" $alert_port ="3306" $alert_user="root" $alert_password="123" $archive_dbname="snort_archive" $archive_host="localhost" $archive_port="3306" $archive_user="root" $archive_password="123" $ChartLib_path="c:

25、duoaduophpjpgraphsrc"重啟apache、mysql服務(wù)在瀏覽器中初始化acid數(shù)據(jù)庫： http:/localhost/acid/acid_db_setup.php以上配置正確會有下面的顯示：圖4-12 正確配置acid安裝成功，測試一下：啟動Apache和mysql服務(wù)圖4-13正確安裝acid運行c:duoaduosnortbin>snort -c "c:duoaduosnortetcsnort.conf" -l "c:duoaduosnortlog" -vdeX-X 參數(shù)用于在數(shù)據(jù)鏈接層記錄raw packet

26、數(shù)據(jù)-d 參數(shù)記錄應(yīng)用層的數(shù)據(jù)-e 參數(shù)顯示記錄第二層報文頭數(shù)據(jù)-c 參數(shù)用以指定snort 的配置文件的路徑-v 參數(shù)用于在屏幕上顯示被抓到的包圖4-14 正確記錄日志4.2實驗測試2）Snort的使用：（1）嗅探器:所謂的嗅探器模式就是Snort從網(wǎng)絡(luò)上讀出數(shù)據(jù)包然后顯示在你的控制臺上。如果你只要把TCP/IP包頭信息打印在屏幕上，只需要輸入下面的命令：./snortV圖4-15 運行./snortV如果要把所有的包記錄到硬盤上，你需要指定一個日志目錄，snort就會自動記錄數(shù)據(jù)包：./snort -dev -l ./log圖4-16 運行./snort -dev -l ./log這時會在相應(yīng)文件夾下，記錄數(shù)據(jù)：圖4-17 文件記錄信息（2）網(wǎng)絡(luò)入侵檢測系統(tǒng):Snort最重要的用途還是作為網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS，使用下面命令行可以啟動這種模式：圖4-18運行網(wǎng)絡(luò)入侵檢測命令（3）網(wǎng)絡(luò)入侵檢測模式下的輸出選項在NIDS模式下，有很多的方式來配置Snort的輸出。在默認情況下,Snort以ASCII格式記錄日志，使用full報警機制。如果使用full報警機制，snort會在包頭之后打印報警消