網(wǎng)絡(luò)安全實(shí)驗(yàn)Snort網(wǎng)絡(luò)入侵檢測(cè)實(shí)驗(yàn)

1、遵義師范學(xué)院計(jì)算機(jī)與信息科學(xué)學(xué)院實(shí) 驗(yàn) 報(bào) 告（20132014學(xué)年第1 學(xué)期 ）課程名稱： 網(wǎng)絡(luò)安全實(shí)驗(yàn) 班 級(jí)： 學(xué) 號(hào)： 姓 名： 任課教師： 計(jì)算機(jī)與信息科學(xué)學(xué)院實(shí) 驗(yàn) 報(bào) 告實(shí)驗(yàn)名稱Snort網(wǎng)絡(luò)入侵檢測(cè)實(shí)驗(yàn)指導(dǎo)教師實(shí)驗(yàn)類型操作實(shí)驗(yàn)學(xué)時(shí)4實(shí)驗(yàn)時(shí)間一、實(shí)驗(yàn)?zāi)康呐c要求（1）進(jìn)一步學(xué)習(xí)網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù)。（2）理解Snort網(wǎng)絡(luò)入侵檢測(cè)基本原理。（3）學(xué)習(xí)和掌握Snort網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的安裝、配置與操作。（4）學(xué)習(xí)和掌握如何利用Snort進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)應(yīng)用。二、實(shí)驗(yàn)儀器和器材惠普pavilion-G4，corel-i3-2310，內(nèi)存：4G，虛擬機(jī)軟件vmware9.0，windo

2、ws server 2003， Snort_2_9_2_2_Installer，appserv-win32-2.5.10。Acid，Adodb，Jpgraph，Mysql，PHP，WINPCAP，SNORTRULES。三、 實(shí)驗(yàn)原理、內(nèi)容及步驟（一）、實(shí)驗(yàn)原理：入侵檢測(cè)基本原理：入侵檢測(cè)（Intrusion Detection）是對(duì)入侵行為的檢測(cè)。它通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在

3、網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。入侵檢測(cè)通過(guò)執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭

4、到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過(guò)它執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)：· 監(jiān)視、分析用戶及系統(tǒng)活動(dòng)· 系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)· 識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警· 異常行為模式的統(tǒng)計(jì)分析· 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性·操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。對(duì)一個(gè)成功的入侵檢測(cè)系統(tǒng)來(lái)講，它不但可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)（包括程序、文件和硬件設(shè)備等）的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為

5、重要的一點(diǎn)是，它應(yīng)該管理、配置簡(jiǎn)單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。而且，入侵檢測(cè)的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后，會(huì)及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。入侵檢測(cè)系統(tǒng)所采用的技術(shù)可分為特征檢測(cè)與異常檢測(cè)兩種:特征檢測(cè)(Signature-based detection) 又稱Misuse detection ，這一檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來(lái)表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。它可以將已有的入侵方法檢查出來(lái)，但對(duì)新的入侵方法無(wú)能為力。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來(lái)。異

6、常檢測(cè)(Anomaly detection) 的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔”，將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為Snort入侵檢測(cè)系統(tǒng)：Snort簡(jiǎn)介：在1998年，Martin Roesch先生用C語(yǔ)言開發(fā)了開放源代碼(Open Source)的入侵檢測(cè)系統(tǒng)Snort.直至今天，Snort已發(fā)展成為一個(gè)多平臺(tái)(Multi-Platform),實(shí)時(shí)(Real-Time)流量

7、分析，網(wǎng)絡(luò)IP數(shù)據(jù)包(Pocket)記錄等特性的強(qiáng)大的網(wǎng)絡(luò)入侵檢測(cè)/防御系統(tǒng)(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共許可(GPLGUN General Pubic License),在網(wǎng)上可以通過(guò)免費(fèi)下載獲得Snort,并且只需要幾分鐘就可以安裝并開始使用它。snort基于libpcap。Snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。網(wǎng)絡(luò)入侵檢測(cè)模式是最復(fù)雜的，而且是可配置

8、的。我們可以讓snort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測(cè)結(jié)果采取一定的動(dòng)作。Snort原理：Snort能夠?qū)W(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行抓包分析，但區(qū)別于其它嗅探器的是，它能根據(jù)所定義的規(guī)則進(jìn)行響應(yīng)及處理。Snort 通過(guò)對(duì)獲取的數(shù)據(jù)包，進(jìn)行各規(guī)則的分析后，根據(jù)規(guī)則鏈，可采取Activation（報(bào)警并啟動(dòng)另外一個(gè)動(dòng)態(tài)規(guī)則鏈）、Dynamic（由其它的規(guī)則包調(diào)用）、Alert（報(bào)警），Pass（忽略），Log（不報(bào)警但記錄網(wǎng)絡(luò)流量）五種響應(yīng)的機(jī)制。 Snort有數(shù)據(jù)包嗅探，數(shù)據(jù)包分析，數(shù)據(jù)包檢測(cè)，響應(yīng)處理等多種功能，每個(gè)模塊實(shí)現(xiàn)不同的功能，各模塊都是用插件的方式和Snort相結(jié)合，功能

9、擴(kuò)展方便。例如，預(yù)處理插件的功能就是在規(guī)則匹配誤用檢測(cè)之前運(yùn)行，完成TIP碎片重組，http解碼，telnet解碼等功能，處理插件完成檢查協(xié)議各字段，關(guān)閉連接，攻擊響應(yīng)等功能，輸出插件將得理后的各種情況以日志或警告的方式輸出。Snort工作過(guò)程：Snort通過(guò)在網(wǎng)絡(luò)TCP/IP的5層結(jié)構(gòu)的數(shù)據(jù)鏈路層進(jìn)行抓取網(wǎng)絡(luò)數(shù)據(jù)包，抓包時(shí)需將網(wǎng)卡設(shè)置為混雜模式，根據(jù)操作系統(tǒng)的不同采用libpcap或winpcap函數(shù)從網(wǎng)絡(luò)中捕獲數(shù)據(jù)包；然后將捕獲的數(shù)據(jù)包送到包解碼器進(jìn)行解碼。網(wǎng)絡(luò)中的數(shù)據(jù)包有可能是以太網(wǎng)包、令牌環(huán)包、TCP/IP包、802.11包等格式。在這一過(guò)程包解碼器將其解碼成Snort認(rèn)識(shí)的統(tǒng)一的格式

10、；之后就將數(shù)據(jù)包送到預(yù)處理器進(jìn)行處理，預(yù)處理包括能分片的數(shù)據(jù)包進(jìn)行重新組裝，處理一些明顯的錯(cuò)誤等問(wèn)題。預(yù)處理的過(guò)程主要是通過(guò)插件來(lái)完成，比如Http預(yù)處理器完成對(duì)Http請(qǐng)求解碼的規(guī)格化，F(xiàn)rag2事務(wù)處理器完成數(shù)據(jù)包的組裝，Stream4預(yù)處理器用來(lái)使Snort狀態(tài)化，端口掃描預(yù)處理器能檢測(cè)端口掃描的能力等；對(duì)數(shù)據(jù)包進(jìn)行了解碼，過(guò)濾，預(yù)處理后，進(jìn)入了Snort的最重要一環(huán)，進(jìn)行規(guī)則的建立及根據(jù)規(guī)則進(jìn)行檢測(cè)。規(guī)則檢測(cè)是Snort中最重要的部分，作用是檢測(cè)數(shù)據(jù)包中是否包含有入侵行為。例如規(guī)則alert tcp any any ->/24 80（msg：”misc lar

11、ge tcp packet”；dsize：>3000；）這條規(guī)則的意思是，當(dāng)一個(gè)流入這個(gè)網(wǎng)段的TCP包長(zhǎng)度超過(guò)3000B時(shí)就發(fā)出警報(bào)。規(guī)則語(yǔ)法涉及到協(xié)議的類型、內(nèi)容、長(zhǎng)度、報(bào)頭等各種要素。處理規(guī)則文件的時(shí)候，用三維鏈表來(lái)存規(guī)則信息以便和后面的數(shù)據(jù)包進(jìn)行匹配，三維鏈表一旦構(gòu)建好了，就通過(guò)某種方法查找三維鏈表并進(jìn)行匹配和發(fā)生響應(yīng)。規(guī)則檢測(cè)的處理能力需要根據(jù)規(guī)則的數(shù)量，運(yùn)行Snort機(jī)器的性能，網(wǎng)絡(luò)負(fù)載等因素決定；最后一步就是輸出模塊，經(jīng)過(guò)檢測(cè)后的數(shù)據(jù)包需要以各種形式將結(jié)果進(jìn)行輸出，輸出形式可以是輸出到alert文件、其它日志文件、數(shù)據(jù)庫(kù)UNIX域或Socket等。Snor

12、t部署與運(yùn)行：Snort的部署非常靈活，很多操作系統(tǒng)上都可以運(yùn)行，可以運(yùn)行在window xp，windows2003，linux等操作系統(tǒng)上。用戶在操作系統(tǒng)平臺(tái)選擇上應(yīng)考慮其安全性，穩(wěn)定性，同時(shí)還要考慮與其它應(yīng)用程序的協(xié)同工作的要求。如果入侵檢測(cè)系統(tǒng)本身都不穩(wěn)定容易受到攻擊，就不能很好的去檢測(cè)其它安全攻擊漏洞了。在Linux與Windows操作系統(tǒng)相比較之下，Linux更加健壯，安全和穩(wěn)定。Snort的運(yùn)行，主要是通過(guò)各插件協(xié)同工作才使其功能強(qiáng)大，所以在部署時(shí)選擇合適的數(shù)據(jù)庫(kù)，Web服務(wù)器，圖形處理程序軟件及版本也非常重要。Snort部署時(shí)一般是由傳感器層、服務(wù)器層、管理員控制臺(tái)層三層結(jié)構(gòu)組

13、成。傳感器層層就是一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的嗅探器層，收集網(wǎng)絡(luò)數(shù)據(jù)包交給服務(wù)器層進(jìn)行處理，管理員控制臺(tái)層則主要是顯示檢測(cè)分析結(jié)果。部署Snort時(shí)可根據(jù)企業(yè)網(wǎng)絡(luò)規(guī)模的大小，采用三層結(jié)構(gòu)分別部署或采用三層結(jié)構(gòu)集成在一臺(tái)機(jī)器上進(jìn)行部署，也可采用服務(wù)器層與控制臺(tái)集成的兩層結(jié)構(gòu)。Snort的有三種模式的運(yùn)行方式：嗅探器模式，包記錄器模式，和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模式。嗅探器模式僅僅是從捕獲網(wǎng)絡(luò)數(shù)據(jù)包顯示在終端上，包記錄器模式則是把捕獲的數(shù)據(jù)包存儲(chǔ)到磁盤，入侵檢測(cè)模式則是最復(fù)雜的能對(duì)數(shù)據(jù)包進(jìn)行分析、按規(guī)則進(jìn)行檢測(cè)、做出響應(yīng)。（二）、實(shí)驗(yàn)內(nèi)容：(1)在Windows下安裝Sort工具。(2)Snort入侵檢測(cè)系統(tǒng)配置。(

14、3)Snort入侵檢測(cè)系統(tǒng)檢測(cè)ICMP PING掃描。(4)Snort入侵檢測(cè)系統(tǒng)來(lái)自外網(wǎng)的ICMP PING掃描。(5)Snort入侵檢測(cè)系統(tǒng)與防火墻聯(lián)動(dòng)。（三）、實(shí)驗(yàn)步驟(因?yàn)榇舜螌?shí)驗(yàn)在windows系統(tǒng)下進(jìn)行，所以軟件安裝步驟較多，具體如下)：1.Windows 下安裝Snort以及其他工具安裝1）首先在windows下先安裝apache windows服務(wù)器，并安裝至C:IDSAPACHE文件夾內(nèi)，在彈出來(lái)的因?yàn)榇税姹臼羌闪薖HP,MY SQL的,所以直接點(diǎn)擊安裝。安裝過(guò)程中會(huì)提示輸入SQL密碼以及apache的root名和管理員郵箱，輸入即可。在此處我們輸入的郵箱為tokyolaw

15、，帳戶名為Tokyo，密碼設(shè)置為123456.2）將C:idsphp5 Php5ts.dll復(fù)制到WINDOWS和WINDOWSsystem32目錄 3）添加GD圖形庫(kù)的支持，將C:WINDOWS下的PhP.ini中把“;extension=php_gd2.dll”和“;extension=php_mysql.dll”這兩條語(yǔ)句前面的分號(hào)去掉。4）將C:idsphp5ext下的文件php_gd2.dll,php_mysql.dll復(fù)制至C:windows下；將php_mysql.dll復(fù)制至C:windowssystem32下；5）添加APACHE對(duì)PHP的支持。在C:idsapachecon

16、fhttpd.conf的末尾添加以下語(yǔ)句：LoadModule php5_module c:/ids/php5/php5apache2_2.dllAddType application/x-httpd-php .php6）重啟APACHE。7）在C:idsAPACHEhtdocs目錄下新建TEST.PHP，內(nèi)容：<?phpinfo();?>。在IE中測(cè)試PHP是否成功安裝。8）安裝WINPCAP。此處安裝了一個(gè)帶有winpcap的軟件，由于前次實(shí)驗(yàn)已經(jīng)安裝在電腦上就不再安裝。9）安裝SNORT至C:idssnort。安裝時(shí)會(huì)提示選擇組件以及是否用數(shù)據(jù)庫(kù)，這里我們先不選擇數(shù)據(jù)庫(kù)，組件

17、默認(rèn)四個(gè)全部安裝，安裝完成后運(yùn)行一次MYSQL，安裝目錄如下圖：10）在命令行方式下，進(jìn)入c:idssnortbin，執(zhí)行命令：snort W，測(cè)試SNORT是否成功安裝。出現(xiàn)以下提示則安裝成功。11)將C:IDSSnortschemas里面的create_mysql復(fù)制到C:根目錄下，如圖：12）安裝adodb，將實(shí)驗(yàn)實(shí)現(xiàn)準(zhǔn)備好的額adodb文件夾 復(fù)制至c:php5adodb 目錄下：13) 安裝jpgraph，將實(shí)驗(yàn)實(shí)現(xiàn)準(zhǔn)備好的 jpgraph文件夾復(fù)制至c:php5jpgraph。修改C:php5jpgraphsrcjpgraph.php:DEFINE(“CACHE_DIR”,”/tm

18、p/jpgraph_cache”);14) 創(chuàng)建數(shù)據(jù)庫(kù)，創(chuàng)建表，進(jìn)入cmd界面，執(zhí)行以下命令：cd，mysql -u root p， 輸入密碼后,登錄mysql建兩個(gè)數(shù)據(jù)庫(kù)：create database snort;create database snort_archive;驗(yàn)證一下show databases;2.運(yùn)行Snort：1）進(jìn)入Mysql控制臺(tái)，建立SNORT運(yùn)行必須的SNORT數(shù)據(jù)庫(kù)和SNORT_ARCHIVE數(shù)據(jù)庫(kù)。輸入mysql -h localhost -u root -p123456 < c:snort_mysql.sql ：2）復(fù)制C:idssnortscham

19、es下的create_mysql文件到C:idssnortbin下。3）在命令行方式下分別輸入和執(zhí)行以下兩條命令。mysql -D snort -u root -p < C:create_mysqlmysql -D snort_archive -u root -p < c:create_mysql4）查看數(shù)據(jù)庫(kù)：show databases5）修改該目錄下的ACID_CONF.PHP文件，修改內(nèi)容如下：$DBlib_path = "c:idsphp5adodb"$DBtype = "mysql"$alert_dbname = "sn

20、ort"$alert_host = "localhost"$alert_port = "3306"$alert_user = "acid"$alert_password = “123456"/* Archive DB connection parameters */$archive_dbname = "snort_archive"$archive_host = "localhost"$archive_port = "3306"$archive_user = "acid"$archive_password = “123456"$ChartLib_path = "c:idsphp5jpgraphsrc"6) 重啟APACHE服務(wù)。在IE中輸入：http:/localhost/acid/acid_db_setup.php，打開頁(yè)面后，單擊Create ACID AG按鈕，建立數(shù)據(jù)庫(kù)。7) 解壓縮SNORT規(guī)則包。將事先準(zhǔn)備的SNORT規(guī)則包的所有文件解壓縮至：C:idssnort下，替換其中的文件和文件夾。8) 配置SNORT