網(wǎng)絡(luò)安全實(shí)驗(yàn)Snort網(wǎng)絡(luò)入侵檢測實(shí)驗(yàn)

網(wǎng)絡(luò)安全實(shí)驗(yàn)Snort網(wǎng)絡(luò)入

侵檢測實(shí)驗(yàn)(總6頁)-CAL-FENGHAI.-(YICAI)-CompanyOnel-CAL-本頁僅作為文檔封面，使用請(qǐng)直接刪除

遵義師范學(xué)院計(jì)算機(jī)與信息科學(xué)學(xué)院實(shí)驗(yàn)名稱Snort網(wǎng)絡(luò)入侵檢測;實(shí)驗(yàn)類型操作實(shí)驗(yàn)學(xué)時(shí)實(shí)驗(yàn)指導(dǎo)教師4實(shí)驗(yàn)名稱Snort網(wǎng)絡(luò)入侵檢測;實(shí)驗(yàn)類型操作實(shí)驗(yàn)學(xué)時(shí)實(shí)驗(yàn)指導(dǎo)教師4實(shí)驗(yàn)時(shí)間（2013—2014學(xué)年第1學(xué)期）課程名稱：網(wǎng)絡(luò)安全實(shí)驗(yàn)班級(jí):學(xué)號(hào)：姓名：任課教師:計(jì)算機(jī)與信息科學(xué)學(xué)院實(shí)驗(yàn)報(bào)告-、實(shí)驗(yàn)?zāi)康呐c要求（1）進(jìn)一步學(xué)習(xí)網(wǎng)絡(luò)入侵檢測原理與技術(shù)。（2）理解Snort網(wǎng)絡(luò)入侵檢測基本原理。（3）學(xué)習(xí)和掌握Snort網(wǎng)絡(luò)入侵檢測系統(tǒng)的安裝、配置與操作。（4）學(xué)習(xí)和掌握如何利用Snort進(jìn)行網(wǎng)絡(luò)入侵檢測應(yīng)用。二、實(shí)驗(yàn)儀器和器材惠普pavilion-G4，corel-i3-2310，內(nèi)存：4G，虛擬機(jī)軟件vmware9.0，windowsserver2003，Snort_2_9_2_2_Installer，。Acid，Adodb，Jpgraph，Mysql，PHP，WINPCAP，SNORTRULESo三、實(shí)驗(yàn)原理、內(nèi)容及步驟（一）、實(shí)驗(yàn)原理：入侵檢測基本原理：入侵檢測（IntrusionDetection）是對(duì)入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測。入侵檢測通過執(zhí)行以下任務(wù)來實(shí)現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。入侵檢測是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過它執(zhí)行以下任務(wù)來實(shí)現(xiàn)：-監(jiān)視、分析用戶及系統(tǒng)活動(dòng)-系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)-識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警-異常行為模式的統(tǒng)計(jì)分析-評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性?操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。對(duì)一個(gè)成功的入侵檢測系統(tǒng)來講，它不但可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬件設(shè)備等)的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點(diǎn)是，它應(yīng)該管理、配置簡單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。而且，入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會(huì)及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。入侵檢測系統(tǒng)所采用的技術(shù)可分為特征檢測與異常檢測兩種：特征檢測(Signature-baseddetection)又稱Misusedetection，這一檢測假設(shè)入侵者活動(dòng)可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動(dòng)是否符合這些模式。它可以將已有的入侵方法檢查出來，但對(duì)新的入侵方法無能為力。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來。異常檢測(Anomalydetection)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正常活動(dòng)的“活動(dòng)簡檔”，將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡檔”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測的難題在于如何建立“活動(dòng)簡檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為Snort入侵檢測系統(tǒng)：Snort簡介：在1998年，MartinRoesch先生用C語言開發(fā)了開放源代碼(OpenSource)的入侵檢測系統(tǒng)Snort.直至今天，Snort已發(fā)展成為一個(gè)多平臺(tái)(Multi-Platform),實(shí)時(shí)(Real-Time)流量分析，網(wǎng)絡(luò)IP數(shù)據(jù)包(Pocket)記錄等特性的強(qiáng)大的網(wǎng)絡(luò)入侵檢測/防御系統(tǒng)(NetworkIntrusionDetection/PreventionSystem),即NIDS/NIPS.Snort符合通用公共許可(GPL——GUNGeneralPubicLicense),在網(wǎng)上可以通過免費(fèi)下載獲得Snort,并且只需要幾分鐘就可以安裝并開始使用它。snort基于libpcap。Snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測系統(tǒng)。嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。網(wǎng)絡(luò)入侵檢測模式是最復(fù)雜的，而且是可配置的。我們可以讓snort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測結(jié)果采取一定的動(dòng)作。Snort原理：Snort能夠?qū)W(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行抓包分析，但區(qū)別于其它嗅探器的是，它能根據(jù)所定義的規(guī)則進(jìn)行響應(yīng)及處理。Snort通過對(duì)獲取的數(shù)據(jù)包，進(jìn)行各規(guī)則的分析后，根據(jù)規(guī)則鏈，可采取Activation(報(bào)警并啟動(dòng)另外一個(gè)動(dòng)態(tài)規(guī)則鏈)、Dynamic(由其它的規(guī)則包調(diào)用)、Alert(報(bào)警)，Pass(忽略)，Log(不報(bào)警但記錄網(wǎng)絡(luò)流量)五種響應(yīng)的機(jī)制。Snort有數(shù)據(jù)包嗅探，數(shù)據(jù)包分析，數(shù)據(jù)包檢測，響應(yīng)處理等多種功能，每個(gè)模塊實(shí)現(xiàn)不同的功能，各模塊都是用插件的方式和Snort相結(jié)合，功能擴(kuò)展方便。例如，預(yù)處理插件的功能就是在規(guī)則匹配誤用檢測之前運(yùn)行，完成TIP碎片重組，http解碼，telnet解碼等功能，處理插件完成檢查協(xié)議各字段，關(guān)閉連接，攻擊響應(yīng)等功能，輸出插件將得理后的各種情況以日志或警告的方式輸出。Snort工作過程：Snort部署與運(yùn)行：Snort的部署非常靈活，很多操作系統(tǒng)上都可以運(yùn)行，可以運(yùn)行在windowxp，windows2003，linux等操作系統(tǒng)上。用戶在操作系統(tǒng)平臺(tái)選擇上應(yīng)考慮其安全性，穩(wěn)定性，同時(shí)還要考慮與其它應(yīng)用程序的協(xié)同工作的要求。如果入侵檢測系統(tǒng)本身都不穩(wěn)定容易受到攻擊，就不能很好的去檢測其它安全攻擊漏洞了。在Linux與Windows操作系統(tǒng)相比較之下，Linux更加健壯，安全和穩(wěn)定。Snort的運(yùn)行，主要是通過各插件協(xié)同工作才使其功能強(qiáng)大，所以在部署時(shí)選擇合適的數(shù)據(jù)庫，Web服務(wù)器，圖形處理程序軟件及版本也非常重要。Snort部署時(shí)一般是由傳感器層、服務(wù)器層、管理員控制臺(tái)層三層結(jié)構(gòu)組成。傳感器層層就是一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的嗅探器層，收集網(wǎng)絡(luò)數(shù)據(jù)包交給服務(wù)器層進(jìn)行處理，管理員控制臺(tái)層則主要是顯示檢測分析結(jié)果。部署Snort時(shí)可根據(jù)企業(yè)網(wǎng)絡(luò)規(guī)模的大小，采用三層結(jié)構(gòu)分別部署或采用三層結(jié)構(gòu)集成在一臺(tái)機(jī)器上進(jìn)行部署，也可采用服務(wù)器層與控制臺(tái)集成的兩層結(jié)構(gòu)。Snort的有三種模式的運(yùn)行方式：嗅探器模式，包記錄器模式，和網(wǎng)絡(luò)入侵檢測系統(tǒng)模式。嗅探器模式僅僅是從捕獲網(wǎng)絡(luò)數(shù)據(jù)包顯示在終端上，包記錄器模式則是把捕獲的數(shù)據(jù)包存儲(chǔ)到磁盤，入侵檢測模式則是最復(fù)雜的能對(duì)數(shù)據(jù)包進(jìn)行分析、按規(guī)則進(jìn)行檢測、做出響應(yīng)。（二）、實(shí)驗(yàn)內(nèi)容：（1）在Windows下安裝Sort工具。（2）Snort入侵檢測系統(tǒng)配置。（3）Snort入侵檢測系統(tǒng)檢測ICMPPING掃描。（4）Snort入侵檢測系統(tǒng)來自外網(wǎng)的ICMPPING掃描。（5）Snort入侵檢測系統(tǒng)與防火墻聯(lián)動(dòng)。（三）、實(shí)驗(yàn)步驟（因?yàn)榇舜螌?shí)驗(yàn)在windows系統(tǒng)下進(jìn)行，所以軟件安裝步驟較多，具體如下）：Windows下安裝Snort以及其他工具安裝1）首先在windows下先安裝apachewindows服務(wù)器，并安裝至C:\IDS\APACHE文件夾內(nèi)，在彈出來的因?yàn)榇税姹臼羌闪薖HP,MYSQL的，所以直接點(diǎn)擊安裝。安裝過程中會(huì)提示輸入SQL密碼以及apache的root名和管理員郵箱，輸入即可。，帳戶名為Tokyo，密碼設(shè)置為123456.2）將C:\ids\php5\Php5ts.dll復(fù)制到WINDOWS和WINDOWS\system32目錄3）添加GD圖形庫的支持，將C:\WINDOWST的PhP.ini中把“；extension=php_gd2.dll”和“；extension=php_mysql.dll”這兩條語句前面的分號(hào)去掉。4）將C:\ids\php5\ext下的文件php_gd2.dll,php_mysql.dll復(fù)制至C:\windows下；將php_mysql.dll復(fù)制至C:\windows\system32下；5）添加APACHE對(duì)PHP的支持。在C:\ids\apache\conf\httpd.conf的末尾添加以下語句：LoadModulephp5_modulec:/ids/php5/php5apache2_2.dllAddTypeapplication/x-httpd-php.php6）重啟APACHEO7）在C:\ids\APACHE\htdocs目錄下新建TEST.PHP，內(nèi)容：＜phpinfo（）;＞。在IE中測試PHP是否成功安裝。8）安裝WINPCAPO此處安裝了一個(gè)帶有winpcap的軟件，由于前次實(shí)驗(yàn)已經(jīng)安裝在電腦上就不再安裝。

9）安裝SNORT至C:\ids\snort。安裝時(shí)會(huì)提示選擇組件以及是否用數(shù)據(jù)庫，這里我們先不選擇數(shù)據(jù)庫，組件默認(rèn)四個(gè)全部安裝，安裝完成后運(yùn)行一次MYSQL，安裝目錄如下圖：10）在命令行方式下，進(jìn)入c:\ids\snort\bin,執(zhí)行命令：snort-W,測試SNORT是否成功安裝。出現(xiàn)以下提示則安裝成功。11）將C:\IDS\Snort\schemas里面的create_mysql復(fù)制到C:\根目錄下，如圖:12）安裝adodb，將實(shí)驗(yàn)實(shí)現(xiàn)準(zhǔn)備好的額adodb文件夾復(fù)制至c:\php5\adodb目錄下：13）安裝jpgraph，將實(shí)驗(yàn)實(shí)現(xiàn)準(zhǔn)備好的jpgraph文件夾復(fù)制至c:\php5\jpgraph。修改C:\php5\jpgraph\src\jpgraph.php:DEFINE（“CACHE_DIR”，”/tmp/jpgraph_cache”）；14）創(chuàng)建數(shù)據(jù)庫，創(chuàng)建表，進(jìn)入cmd界面，執(zhí)行以下命令：cd\，mysql-uroot-p，輸入密碼后，登錄mysql建兩個(gè)數(shù)據(jù)庫：createdatabasesnort;createdatabasesnort_archive;驗(yàn)證一下showdatabases;運(yùn)行Snort:1）進(jìn)入Mysql控制臺(tái)，建立SNORT運(yùn)行必須的SNORT數(shù)據(jù)庫和SNORT_ARCHIVE數(shù)據(jù)庫。輸入mysql-hlocalhost-uroot-p123456<c:\snort_mysql.sql:2）復(fù)制C:\ids\snort\schames下的create_mysql文件到C:\ids\snort\bin下。3）在命令行方式下分別輸入和執(zhí)行以下兩條命令。mysql-Dsnort-uroot-p<C:\create_mysqlmysql-Dsnort_archive-uroot-p<c:\create_mysql4）查看數(shù)據(jù)庫：showdatabases5）修改該目錄下的ACID_CONF.PHP文件，修改內(nèi)容如下：$DBlib_path="c:\ids\php5\adodb";$DBtype="mysql";snort;"localhost";"3306";acid;“123456";$alert_dbname$alert_host$alert_port$alert_user$alert_password/*ArchiveDBconnectionparameters*/〃snort_archive〃；"localhost";"3306";snort;"localhost";"3306";acid;“123456";〃snort_archive〃；"localhost";"3306";acid;“123456";"c:\ids\php5\jpgraph\src";6）重啟APACHE服務(wù)。在IE中輸入：，打開頁面后，單擊CreateACIDAG按鈕，建立數(shù)據(jù)庫。7）解壓縮SNORT規(guī)則包。將事先準(zhǔn)備的SNORT規(guī)則包的所有文件解壓縮至:C:\ids\snort下，替換其中的文件和文件夾。8）配置SNORT，打開snort配置文件c:\snort\etc\snort.conf將includeclassification.configincludereference.config改為絕對(duì)路徑includec:\snort\etc\classification.configincludec:\snort\etc\reference.config9）啟動(dòng)SNORT入侵檢測。以命令行下輸入以下命令，啟動(dòng)SNORT程序。（如果希望看到SNOR抓取的數(shù)據(jù)包，可以-X之后加-V。10）執(zhí)行以下命令加速SNORT并保存配置查看統(tǒng)計(jì)數(shù)據(jù)：1）從安裝有SNORT的主機(jī)上打開/acid/acid_main.php，進(jìn)入ACID分析控制臺(tái)主界面，從中便可以查看到統(tǒng)計(jì)數(shù)據(jù)。至此，基于SNORT的入侵檢測系統(tǒng)配置結(jié)束。后續(xù)工作則是完善SNORT規(guī)則配置文件。可以在