实验8入侵检测软件snort的安装与.doc

实验八 入侵检测系统snort的安装与使用 一、实验序号：8二、实验学时：2 实验目的（1）理解入侵检测的作用和检测原理。（2）理解误用检测和异常检测的区别。（3）掌握Snort的安装、配置。 （4）掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。四、 实验环境 每2位学生为一个实验组，使用2台安装Windows 2000/XP的PC机，其中一台上安装Windows平台下的Snort 2.9软件；在运行snort的计算机上，安装WinpCap4.1.2程序。五、 实验要求1、实验任务 （1）安装和配置入侵检测软件。 （2）查看入侵检测软件的运行数据。 （3）记录并分析实验结果。2、实验预习 （1）预习本实验指导书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。 （2）复习有关入侵检测的基本知识。六 实验背景1 基础知识 入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统（Intrusion Detection System， IDS）是完成入侵检测功能的软件和硬件的集合。 随着网络安全风险系数不断揭帖，防火墙作为最主要的安全防范手段已经不能满足人们对网络安全的需求。作为对防火墙极其有益的补充，位于其后的第二道安全闸门IDS能够帮助网络系统快速发现网络攻击的发生，有效扩展系统管理员的安全管理能力及提高信息安全基础结构的完整性。 IDS能在不影响网络及主机性能的情况下对网络数据流和主机审计数据进行监听和分析，对可疑的网络连接和系统行为进行记录和报警，从而提供对内部攻击、外部攻击和误操作的实时保护。2 入侵检测软件Snort简介 Snort是一款免费的NISD，具有小巧、易于配置、检测效率高等我，常被称为轻量级的IDS。Snort具有实时数据流量分析和IP数据包日志分析能力，具有跨平台特征，能够进行协议分析和对内容的有哪些信誉好的足球投注网站或匹配。Snort能够检测不同的攻击行为，如缓冲区溢出、端口扫描和拒绝服务攻击等，并进行实时报警。 Snort可以根据用户事先定义的一些规则分析网络数据流，并根据检测结果采取一定的行动。Snort有3种工作模式： 嗅探器（同sniffer） 数据包记录器 NIDS （网络入侵检测系统） 嗅探器模式仅从网络上读取数据包并作为连续不断的数据流显示在终端上；数据包记录器模式把数据包记录到硬盘上，以备分析之用；NIDS模式功能强大，可以通过配置实现。七 实验步骤1 安装和配置IDS软件Snort 由于需要对网络底层进行操作，安装Snort前需要预先安装WinpCap4.1.1以上版本（WIN32平台上网络分析和捕获数据包的链接库）。（由于之前做Sniffer实验时已经安装了，可不必再安装）（1）从教师信息门户的教学软件栏目下载Windows平台下的Snort安装程序和WinpCap4.1.2程序: 双击Snort安装程序进行安装，选择安装目录为D:\Snort 进行到选择日志文件存时，为简单起见，选择不需要数据库支持，或者选择Snort默认的MySQL和OCBC数据库的方式。 (2)从教师信息门户的教学软件栏目下载Windows平台下的WinpCap4.1.2程序。双击进行默认安装就可以。（3）单击“开始”菜单，选择“运行”命令，输入cmd并按回车键，在命令行方式下输入如下命令: C:\Documents and Settings\Administrator D: D:\cd Snort\bin D:\Snort\binsnort -W //“-W”选项查看可用网卡如果Snort安装成功，系统将显示出如图所示的信息。 图2 查看网卡信息（4）从返回的结果可知主机上有哪个物理网卡正在工作及该网卡的详细信息。图2中显示的第二个是具有物理地址的网卡。 输入snort -v -i2命令启用Snort。 其中：-v表示使用Verbose模式，该命令将IP和TCP/UDP/ICMP的包头信息显示在屏幕上；-i2表示监听第二个网卡。（5）为了进一步查看Snort的运行情况，可以人为制造一些ICMP网络流量。在局域网的另一台主机上使用Ping指令，探测Snort的主机。（6）回到运行Snort的主机，可以发现Snort已经记录了这次探测的数据包。Snort在屏幕上输出了从到的ICMP数据包头。（7）打开D:\Snort\etc\snort.conf，设置Snort的内部网络和外部网络网