網(wǎng)絡(luò)信息安全實(shí)驗(yàn)報(bào)告：Snort的安裝與使用

1、實(shí) 驗(yàn) 報(bào) 告（ 20 / 20 學(xué)年第學(xué)期）課程名稱網(wǎng)絡(luò)信息安全a 實(shí)驗(yàn)名稱實(shí)驗(yàn)一 snort的安裝與使用實(shí)驗(yàn)時(shí)間2014 年5 月16 日指導(dǎo)單位計(jì)算機(jī)學(xué)院信息安全系指導(dǎo)教師陳偉學(xué)生姓名陳松健班級學(xué)號11001024 學(xué)院 ( 系) 通達(dá)學(xué)院專業(yè)計(jì)算機(jī)科學(xué)與技術(shù)（信息安全）1 實(shí) 驗(yàn) 報(bào) 告實(shí) 驗(yàn) 名稱snort 的安裝與使用指導(dǎo)教師陳偉實(shí) 驗(yàn) 類型驗(yàn)證實(shí)驗(yàn)學(xué)時(shí)2 實(shí)驗(yàn)時(shí)間2014.5.16 一、 實(shí)驗(yàn)?zāi)康暮鸵?. 通過實(shí)驗(yàn)掌握輕量級入侵檢測系統(tǒng)snort 的安裝。2. 掌握 snort 的配置與使用方法，理解基于誤用檢測的入侵檢測系統(tǒng)工作原理。二、實(shí)驗(yàn)環(huán)境 ( 實(shí)驗(yàn)設(shè)備 ) 1. 安裝

2、 windows 2000/2003/xp 操作系統(tǒng)并連接網(wǎng)絡(luò)的一臺pc機(jī)。2. 軟件： winpcap, snort 三、實(shí)驗(yàn)原理及內(nèi)容實(shí)驗(yàn)題目 1： 在 windows 環(huán)境下安裝和使用snort 。 要求給出使用的snort 的命令參數(shù)。實(shí)驗(yàn)題目2：使用另外一臺電腦對snort 所在主機(jī)發(fā)起一次端口掃描攻擊，將snort捕獲結(jié)果復(fù)制到實(shí)驗(yàn)報(bào)告中。 （思考： snort 檢測結(jié)果的準(zhǔn)確率如何？如何提高snort的檢測速度與準(zhǔn)確率）實(shí)驗(yàn)解答：1、在 windows 環(huán)境下安裝和使用snort 。要求給出使用的snort 的命令參數(shù)。1）安裝 winpcap_4.0.2 2) 安裝 snort

3、_2_8_2_installer 3）將規(guī)則文件（.rules）復(fù)制到snort 安裝目錄的rules/目錄下4）將配置文件 (snort.conf) 將其復(fù)制到snort 的 /etc/目錄2 5） cmd 打開執(zhí)行命令：c:snortbinsnort w /選擇正確的物理網(wǎng)卡號4 c:snortbinsnort i 4 c .etcsnort.conf l .log /進(jìn)入檢測模式2：使用另外一臺電腦對snort 所在主機(jī)發(fā)起一次端口掃描攻擊，將snort 捕獲結(jié)果復(fù)制到實(shí)驗(yàn)報(bào)告中。用另一臺主機(jī)發(fā)起掃描后，打開log 文件夾下的 alert.ids搜尋“ - 10.20.79.158” （

4、也就是我的主機(jī) ip）掃描字段 , 看看是否有識別的 nmap scan 掃描。發(fā)現(xiàn)以下記錄：檢測到了 nmap xmas（圣誕樹）掃描。掃描攻擊方的ip 地址為 10.20.79.141 ，被掃描方也就是我的主機(jī)： 10.20.79.158 ，nmap 掃描的端口號為： 53914 掃描我的 1 端口，數(shù)據(jù)包的 urg 、psh 、fin 被置位，從而判斷是典型的xmas 掃描。但是除了這個(gè)包外再沒有發(fā)現(xiàn)其他的明確是nmap掃描的數(shù)據(jù)包了。在看圣誕樹掃描前后的記錄：3 攻擊方的 ip 地址和被攻擊方的ip 地址與前面的相同。第一個(gè)包是針對162 端口的刺探，如果snmp 服務(wù)開啟的話，這個(gè)端

5、口會開放，同樣161端口也必須開啟；所以猜測這個(gè)記錄也是nmap 發(fā)起的一個(gè)針對snmp 的掃描。很遺憾 snort沒有識別。第二個(gè)包是一個(gè) snmp agentx/tcp 請求包，同樣是探測snmp 服務(wù)的。繼續(xù)往下看，果然發(fā)現(xiàn)了針對端口161的探測，記錄結(jié)果如下：同樣，發(fā)現(xiàn)了攻擊方對3389的訪問，記錄結(jié)果如下：3389 是 windows 著名的遠(yuǎn)程訪問服務(wù)端口， 如果這個(gè)端口能夠進(jìn)行訪問的話，攻擊者很容易能夠遠(yuǎn)程控制本地計(jì)算機(jī)。思考： snort 檢測結(jié)果的準(zhǔn)確率如何？如何提高snort 的檢測速度與準(zhǔn)確率1）snort 成功發(fā)現(xiàn)了部分掃描動作，nmap 的 xmas 圣誕樹掃描成功被

6、識別，但對于其他端口的探測如 161、 162、 705、 3389 等端口的被作為警告記錄了下來但沒有識別，還有對 135、445 等端口的掃描沒有被發(fā)現(xiàn)。 總體感覺， 準(zhǔn)確率中等 （優(yōu)秀、良好、中等、較差四級別）。2）可以通過編寫更好的規(guī)則來提高準(zhǔn)確率，可以給規(guī)則定下更多的前提條件?？梢酝ㄟ^修改 libpcap下的伯克利包過濾器的過濾規(guī)則篩選出更明顯的存在問題的數(shù)據(jù)包，并將buffer緩沖區(qū)擴(kuò)大，采用多線程技術(shù)提高處理速度。4 四、實(shí)驗(yàn)小結(jié)（包括問題和解決方法、心得體會、意見與建議等）1、通過這次實(shí)驗(yàn)，我學(xué)會了snort 的安裝與使用。2、初步掌握 snort 的配置與使用方法，理解基于誤

7、用檢測的入侵檢測系統(tǒng)工作原理。3、通過試圖把自己計(jì)算機(jī)接入實(shí)驗(yàn)室機(jī)房學(xué)會了linux下網(wǎng)卡的配置。4、通過分析 alert下的記錄，了解到了更多關(guān)于各種重要服務(wù)的端口的知識。如 snmp 服務(wù)端口： 161、162 snmp agentx 擴(kuò)展協(xié)議服務(wù)端口： 705 windows 遠(yuǎn)程登錄服務(wù)端口： 3389 5、在考慮準(zhǔn)確率和檢測速度的時(shí)候進(jìn)一步了解了入侵檢測系統(tǒng)。6、通過這次實(shí)驗(yàn)進(jìn)一步了解了libpcap下伯克利包過濾器的工作原理。bpf 過濾使用了新的基于寄存器的預(yù)過濾機(jī)制，它的緩存機(jī)制也對整體效率提高有很大作用。 bpf 在核心設(shè)置了過濾器，預(yù)先可對數(shù)據(jù)包進(jìn)行過濾，并且只將用戶需要的數(shù)據(jù)提交給用戶進(jìn)程。每個(gè)bpf都有一個(gè) buff