入侵檢測實驗報告[驕陽教育]

1、入侵檢測實驗報告 一 實驗環(huán)境搭建1 安裝winpcap按向?qū)崾就瓿杉纯?（有時會提示重啟計算機。）使網(wǎng)卡處于混雜模式，能夠抓取數(shù)據(jù)包。2 安裝snort采用默認安裝完成即可安裝完成使用下列命令行驗證是否成功C:Snortbinsnort.exe -W （也可以看到所有網(wǎng)卡的 Interface 列表）看到那個狂奔的小豬了嗎？看到了，就表示snort安裝成功。3 安裝和設置mysql設置數(shù)據(jù)庫實例流程：建立snort 運行必須的snort 庫和snort_archive 庫C:Program FilesMySQLMySQL Server 5.0binmysql -u root -pEnter

2、 password: （你安裝時設定的密碼，這里使用mysql這個密碼）mysqlcreate database snort;mysqlcreate database snort_archive;使用C:Snortschemas目錄下的create_mysql 腳本建立Snort 運行必須的數(shù)據(jù)表c:mysqlbinmysql -D snort -u root -p c:snortschemascreate_mysqlc:mysqlbinmysql -D snort_archive -u root -p grant usage on *.* to acidlocalhost identifie

3、d by acidtest;mysql grant usage on *.* to snortlocalhost identified by snorttest;為acid 用戶和snort 用戶分配相關權限mysql grant select,insert,update,delete,create,alter on snort .* tosnortlocalhost;mysql grant select,insert,update,delete,create,alter on snort .* toacidlocalhost;mysql grant select,insert,update,

4、delete,create,alter on snort_archive .*to acidlocalhost;mysql grant select,insert,update,delete,create,alter on snort_archive .*to snortlocalhost;4 測試snort啟動snortc:snortbinsnort -c c:snortetcsnort.conf -l c:snortlogs -i 2 -d5 安裝虛擬機安裝成功如下設置虛擬機內(nèi)IP為192.168.10.3主機IP為192.168.10.2Ping通表示虛擬機和主機能夠正常通信。二 配置病毒以任我行病毒為例打開netsys輸入虛擬機IP配置服務端，生成服務端后放置到虛擬機中，運行服務端。通過即可客戶端控制虛擬機。三 通過wireshark抓包分析特征通過分析每一條宿主機與虛擬機的包特征編制規(guī)則。四 將特征寫入規(guī)則文件五 運行snort將信息寫入數(shù)據(jù)庫可以看到已經(jīng)將病毒的信息寫到了數(shù)據(jù)庫中了。六 總結通過入侵檢測實驗，讓自己的動手能力有了提高。也對入侵檢測有了新的認識，對于，數(shù)據(jù)庫的使用，主機與虛擬機的直接的通信，病毒抓包，病毒特征分析，snort的特點和應用，有了基本的掌握，對簡單入侵檢測的流