实验1Windows平台下Snort的应用.docVIP

实验一 Windows平台下Snort的应用 【实验背景】 Snort是一种跨平台、轻量级、基于特征匹配的网络入侵检测系统。系统采用灵活的体系结构，大量使用插件机制，具有很好的扩展性和可移植性。本试验要实现采用流光软件对目标主机进行扫描；用Winpcap软件捕获数据包；用Snort进行分析，并介绍Windows平台下的Snort应用软件IDSCenter。主要下载站点有HYPERLINK //、HYPERLINK //、HYPERLINK //。 【实验目的】 掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。 【实验条件】 (1) ?Winpcap2.3，Snort2.0，IDScenter1.1 RC2，Fluxay5； (2) ?HIDS主机A：Windows 2000/2003，IP地址0/24； (3) 攻击主机B：Windows 2000/2003，IP地址1/24。 注：IP地址可以根据实验室主机配置不同进行设置。 【实验任务】 (1) 学习使用Snort数据包检测和记录功能； (2) 通过IDScenter配置功能加强对Snort原理的理解。 【实验步骤】 1. 安装数据包捕获软件 由于Snort本身没有数据包捕获功能，因此需要用其他软件来捕获数据包。Winpcap是libpcap抓包库的Windows版本，它同libpcap具有相同的功能，可以捕获原始形式的包。在HIDS主机上安装Winpcap过程如下： (1) 双击winpcap-2-3.exe 启动安装； (2) 屏幕出现欢迎对话框，单击“Next”按钮； (3) 下一个对话框提示安装过程完成，单击“OK”按钮完成软件安装。 (4) ?Winpcap安装成功，重新启动计算机。 2. 安装Snort软件 在HIDS主机上安装Snort软件过程如下： (1) 双击Snort -2.0.exe，启动安装程序； (2) 启动安装以后，会看到关于Snort的一篇文献，阅读并单击“I Agree”按钮； (3) 出现的是安装选项对话框，单击“Next”按钮； (4) 将选择安装部件，选择完毕后单击“Next”按钮； (5) 现在提示安装位置，使用默认的，并单击“Install”按钮； (6) 安装完成，单击“Close”按钮。 3. 在攻击主机B上安装流光5(Fluxay5)扫描软件，默认安装即可 4. ?Snort数据包嗅探及包记录应用 (1) 用Ping命令测试HIDS主机A与攻击主机B网络连通。 (2) 在A机器上单击“开始”→“运行”，在【运行】窗口中输入“cmd”打开DOS界面，如果在Snort安装时选择的默认安装路径为C：\，则在DOS界面中打入命令“cd C:\snort\bin”进入snort安装目录，然后打入如下命令以数据包记录的形式启动Snort： snort-dev-l /snort/log-h 0/24。 此命令为记录子网为0/24的数据，并把捕获的数据文件保存到Snort/log目录下，此时可以在屏幕上不断显示嗅探到的数据包，显示满一页后就不断滚屏。 (3) 在B机器上启用扫描软件流光5，右击“IPC$主机”→“编辑”→“添加”，在【添加主机】窗口中加入要扫描的主机“0”即安装了Snort的HIDS主机，如图1所示。 图1 流光探测主机 (4) 在流光5软件中右击“0”→“探测”→“扫描主机端口”，确定端口扫描范围后，对HIDS主机进行端口扫描，扫描到的结果如图2所示。 图2 扫描结果 (5) 在HIDS主机的DOS界面下可以看到从B机器扫描发过来的探测的数据包信息，如图3所示。使用Ctrl-C键可以退出程序，看到数据包统计信息。 图3 DOS界面上的数据包显示 (6) 在Snort/log目录下打开文件名为“1”文件夹，可以看到很多刚才B机器上对A机器进行扫描的数据包记录，如图4所示。 图4 7.15 log目录下记录的数据包信息 对记录的数据包信息作进一步的分析，如图5所示。 图5 数据包记录 检测到此数据包的信息如下： ? 源MAC地址：0：11：D8：7B：7：3B； ? 目的MAC地址：0：11：D8：7B：7：89； ? 类型：0*800，长度：0*3E； ? 源IP地址：1，源端口：1053； ? 目的IP地址：0，目的端口：80； ? 协议类型是：TCP；TTL(生存时间)：128；TOS(服务类型)：0*0；ID：205；IP包头长度：20；数据包总长度：48 DF。后面的一段信息显示此数据包企图探测连接目的主机80端口。 从上面的数据包记录的信息来看，就可以知道网络上有人可能在扫描HIDS主机端口的开放情况，必须采取措施将端口关闭或更改。 5. ?Snort用于入侵检测功能