snort入侵檢測系統(tǒng)使用實(shí)驗(yàn)

1、網(wǎng)絡(luò)安全技術(shù)實(shí)驗(yàn)報(bào)告姓名系別實(shí)驗(yàn)地點(diǎn)A406學(xué)號年級班實(shí)驗(yàn)時(shí)間2012-5-24成績評定教師簽字實(shí)驗(yàn)項(xiàng)目一、實(shí)驗(yàn)?zāi)康耐ㄟ^實(shí)驗(yàn)進(jìn)一步理解IDS的原理和作用；學(xué)習(xí)安裝、配置和使用Snort入侵檢測系統(tǒng)；學(xué)習(xí)分析Snort警報(bào)文件；結(jié)合指定的攻擊特征，學(xué)習(xí)如何創(chuàng)建檢測規(guī)則。二、實(shí)驗(yàn)內(nèi)容學(xué)習(xí)Snort基礎(chǔ)知識；安裝工具軟件（snort、winpcap和nmap）掃描工具；使用snort進(jìn)行Xmax掃描檢測和目錄遍歷攻擊；創(chuàng)建和測試規(guī)則；三、實(shí)驗(yàn)步驟（一）軟件安裝打開計(jì)算機(jī)安裝nmap，安裝時(shí)全部按照默認(rèn)設(shè)置直至安裝成功。如果計(jì)算機(jī)上沒有安裝winpcap4.1或以上版本，則需要安裝，安裝時(shí)全部按照默認(rèn)

2、設(shè)置直至安裝成功。打開虛擬機(jī)，啟動windowsserver2003,安裝snort,將snort安裝在C盤，安裝時(shí)全部按照默認(rèn)設(shè)置直至安裝成功。在虛擬機(jī)上安裝winpcap，安裝時(shí)全部按照默認(rèn)設(shè)置直至安裝成功。（二）將snort用作嗅探器snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測系統(tǒng)。嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。網(wǎng)路入侵檢測模式是最復(fù)雜的，而且是可配置的。我們可以讓snort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測結(jié)果采取一定的動作。在虛擬機(jī)上（IP：50）：單擊開始-運(yùn)行并輸入cmd進(jìn)入

3、命令行。在命令行中鍵入cdc:snortbin，回車確認(rèn)。VindDwa5.2.379Q17C）販翌聽有l(wèi)?8&-2003Hicrocoft仙1ln&iniso-r*Gdicynoft鍵入snort-h,回車確認(rèn)，這將顯示可以與snort一起使用的命令行選項(xiàng)的幫助文件（認(rèn)真看一下每一個(gè)選項(xiàng)的涵義）。FKACI1.佃Ennirtnss-HfalarC111*hKb.on-FYLYf1L?-DtouFuJnrLnftepeluwpf.maE.Cnuctoif).tagp9!SLi!PrlLb4niI|hF-(niv-uipa屮占鼻wdillc(upHterlav*MbLmfnnDu仔SppLLfm

4、vEnS-戶LBElll*Th*l-Chfll-SFhf*l旨Khiri-3.3r-li(dMlVmU：*曲工護(hù)TurnaffFFIflriihOta3laFI-virbihiiirya-fu-rLla*barlSPFfllLrafnmfHjtCh|liananatw-rhL|hbebhawjt-aplHflri|Fitv-rfto孔】*FtuFufW石Xunw.linip.F-tbp.n!irin；iiiMp叭S.flGArsrLftg電苜VlidiiHirprfufiLvEmlitflJTlarmpzliv-iny*!cA-tATurnaffQ*rLn|QhngnQhiIMr-*tvhif

5、MrmHPir&tIncluiLr1-d1JninvM._inC.f.pL-df1LrnnnLog4MEK4flBHCId#hi|I|bWAiplrfilhJpm出ii胸14*p口.Ta!Lflriidmporl七臨Ehvcmr-irwnESnnirCconflyuraIl-AnIltriUTCf*li,-tiM-it-ihnl弘TirE啊liwiIj?SupBJ1auin*gn!in.t*md町04匕滬41Duivpiharnw|s.haLdnl*stnrlln|inthalinkIflyarion:ljd*屮in=-.-.-=.i_i-pji_=r_,-iC：9C=DC：3?：=II-：0

6、：&E：S=B：1V：0wBHHl*n：0-4J17.t.tS_9I1S16-22E_2.ft.LiaS4UPJrLl1QTOfiI0M0】D托:p4nl2fiDTHLanlll|.11.-H3=H1B21412C8rCrEXr22rt2r5FluHiBEiZriiltpjkrHxHMI.11h1i.t.iit.=iii7-fa.a.4.i=s4皿pttl=詢t幅油泅pU.K=s467Nnr4-r=lr4i-%LJnll?lLFq4*T45TM02TpgD0p00L11.帶MHHr-!.!鷲器住Mll11nl-1Js器SC3LEU05121.5M14M14FP7350弗&BE詬4Ai7酬P(guān)F4

7、?&FFF翻IS腑1弋1J15144于4431M區(qū)IL11ROB14HHiT.JFIF.M1mUMHI.,IntflJPEGLihrnry鏢霑”JLoih1.Cl.12.441.C.Idi-IkIpLLfllll1A-HNU1CM|.MttLLiupfiKnni)飼*|4.BpABaniDi總|；1CM/UMEBSI1LLoCFRUICH幵HW在宿主機(jī)上（IP：51）：單擊開始-運(yùn)行并輸入cmd進(jìn)入命令行。鍵入ping50-t在虛擬機(jī)上：-T-7.注意snort轉(zhuǎn)儲ping的內(nèi)容到屏幕上。（三）使用預(yù)處理器的Snort配置在虛擬機(jī)上：使用記事本為snort創(chuàng)建一個(gè)配置文件，將文件命名為snor

8、t_preprocessor.conf。在命令行上，鍵入notepadc:snortetcsnort_preprocessor.conf。單擊yes創(chuàng)建文件。在記事本中鍵入下列行：varH0ME_NET/24（根據(jù)具體環(huán)境進(jìn)行設(shè)置）varEXTERNAL_NETanyvarRULE_PATHc:snortrulespreprocessorstream4:detect_scans前三行是變量設(shè)定值，當(dāng)需要知道內(nèi)部或本地網(wǎng)絡(luò)是什么，什么被認(rèn)為是不可信賴的或外部的通信，以及在哪里發(fā)現(xiàn)規(guī)則文件時(shí)，預(yù)處理器和規(guī)則文件將會使用這些值。最后一行是將要調(diào)用來處理通信和檢測掃描的預(yù)處理器。完成并保存。在命令行中

9、鍵入：snort-1c:snortlog-cc:snortetcsnortpreprocessor.conf,回車確認(rèn)。其中，l表示輸出日志文件的位置，而-c表示配置文件的位置。EnfgrcfTff肚川煮IMCTCUEItidEtreiWDropflhirts-INflCTJUEdnartrutcErtbiL9QCipnCfaaniLGnMdhM0ChaEhHvddvrEAIjmanU：liigtFhtprtefteirtTtnitiLtring旬卄ateinjIhieitllscIEhAirttc*unpvbEanbor.SanJFnitijIdolingxlclwinE.Se：rv414*

10、J*iSTGqfuliMpvCC：的IVRCUWESvpiionit*i：iftirs=IHflCTlUTC*j.iLontliM-Hhte3Qcacandia$獰jjynPMlwryn|L財(cái)朋內(nèi)St4t9IHACTIUErviiiwijUptBiACTIVE斡*=蚯TW1djnoniLc-)-i9Ert-p&siu)loilogdJractQrgi-ctnartJlciiInitialNationCdhpJbCe*SnortF*firUeKJih2舟rSHJFK廠缺Qi廠Fl曲ItErf陽2ihuld曲囪hereinRdfeSLhftTheSnortTaam:httpr/ZiMi-andrt

11、.ar/teiM.hta(CP血眄rialA199B-20IMSaiurafiMEnc.uetL亡二暮片匸-I：niirf-tiUiDi4Ca|wphdCdrlfinninginIMEriar*|nidIif:jnibhEaE.PliigLhcThEDduiVEchinintbiintarfEoHPPi_C3BI27t7-4197-4-A3BfiKXBfiCtiSlD在宿主機(jī)上：運(yùn)行nmap通過Profile菜單-NewProfileandCommand,設(shè)置命令：nmap-sX-T4-A-v50上述命令中的X是要發(fā)送一個(gè)Xmax掃描，該掃描是一種在正常的網(wǎng)絡(luò)通信中不會被看到的數(shù)據(jù)包。接下來嘗

12、試針對虛擬機(jī)web服務(wù)器的目錄遍歷攻擊。&在瀏覽器中鍵入：50/scripts/.%255c./winnt/system32/cmd.exe?/c+dir+winnt回車。在虛擬機(jī)上：在命令行窗口上，按CRTL+C,停止snort,得到snort概要輸出界面，如圖8-1所示。a）Snort收到了多少數(shù)據(jù)包？b）有多少數(shù)據(jù)包是TCP的？c）有多少警報(bào)？圖1Snort概要輸出界面&在c:snortlog目錄下用記事本打開alert.ids文件，如圖2.口51-文IfgJtW袖式如MJ冊助砂jp_strnsrEftLT!HmTeviTVscn)rtt-pctin*gniK-PIS15S13.9*60

13、0517?.J8.15a4*：W5M.-17?.?6-15.123：53TOPTFL;4皿譏也詔別邨TLcn譚也彌Lm;“*|*P*F3pq:BKIfFIKZAck:C3yin:血胡曲ffcpLitn:ZDarjjFtr:啦琦，卓町111-：i：i)STEAL1UMJIHHTV(JiHftS5C-lh)tK涔M“典的二29(|-gP(r：X111:11:1件pp_Ei0北祈srEALIliH(NiriUlTVXH啦scan)町onyw-Aidsig.WiK?iTZrJB.i?*:-i72-,?*.i5Bi?3：n)TCfTIL汕山rOSzi&Kfli同拠科lLcnQ常腳5砒“STEALIMft

14、CFUJITV(XMASscan)tieleccln斗町骯/昭-叮二帖二肝-咄此亦17Z-JB-1T17f.2t.1S.1?3:S54TCPTil：5?I咋：勵9:號印初l,L叩畑HMML駒冷尊*44J*Pn*Ft?qsMKifFttpckiX桃葉擁山皿fcptnt24祈qNr4xtM4iEpfi_7trammSrEALliHACFEUITVKHASscan)iitvct-i*nW7#S-&1Sl5Sl3.Wiflft51i7?.J8.15n4*：OT5tt172-.?t.1?.1?3：64t4TOPTFL;3t皿譏也;0誥酣時(shí)Lcn譚也彌Lm;“|*P*F3vq:MDCMFIKZAck:C3

15、ym:血胡曲ffcpLun:2BBr-gFtr:啦琦卓町1ima：i)帖葉-乩尸帕朋、STEALIMfiCFKJITV口制胎scan)j?teecin卓町MH/na-BaH5：13H&iiZ17?T17?.2.1&.173:254TdPTH汕丁M鐘朋：54lWI仇即畑0財(cái)_駒：祐駝q:nfi0CMF*2pcki叭tfinr抽訶啊匸叩1_的：対葉護(hù)訃：Om-4111:11:1件pp_Ei0北祈srEALIliH(NiriUlTVXH啦scan)町1513.W196ti7?BJ9.15a4*：J9564U建.肚.1X122rEIJtalIlia圖2alert.ids文件上圖中，111:10:1，是

16、snortID和修改號。(spp_stream4)STEALTHACTIVITY(XMASscan)detection,這是引發(fā)警報(bào)的與處理器。*U*p*F,這顯示了所捕獲數(shù)據(jù)包上設(shè)置的Urgent、push以及fin標(biāo)記。使用檢測引擎的snort配置在虛擬機(jī)上：1.在snort_preprocessor.conf中，刪除最后一行。2增加下列行到文件末尾：varHTTP_SERVERS50varHTTP_PORTS80preprocessorflowincludeclassification.configincludec:snortrulesweb-misc.rules將文件命名為snort_

17、detection.conf并存到c:snortetc.在前述配置中，為web服務(wù)器的IP地址和端口地址增加了變量。flow預(yù)處理器用來幫助為檢測引擎準(zhǔn)備捕獲的數(shù)據(jù)。Web-misc.rules規(guī)則包涵檢測引擎將要查找的特征的文件。現(xiàn)我們來看一下web-misc.rules規(guī)則。用記事本打開c:snortrules下的web-misc.rules規(guī)則。用關(guān)鍵詞1113查找到下述規(guī)則內(nèi)容：alerttcp$EXTERNAL_NETany-$HTTP_SERVERS$HTTP_PORTS(msg:WEB-MISChttpdirectorytraversal;flow:to_server,estab

18、lished;content:./;reference:arachnids,297;classtype:attempted-recon;sid:1113;rev:5;)規(guī)則由規(guī)則頭和規(guī)則體組成。規(guī)則頭包含規(guī)則動作、協(xié)議、源和目的地。規(guī)則動作是指如果除規(guī)則之外的條件滿足時(shí)將要發(fā)生的事，在本例中將會引發(fā)警報(bào)。規(guī)則正在檢查的協(xié)議是TCP。源和目的地是$EXTERNAL_NETany-$HTTP_SERVERS$HTTP_PORTS。Any指的是任何端口，-表示通信方向是進(jìn)入的。Msg:的選項(xiàng)設(shè)置將會顯示在警報(bào)日志中。flow:定義數(shù)據(jù)包的方向。Content：/告知檢測引擎在數(shù)據(jù)包中查找這些字符，這是實(shí)際執(zhí)行目錄遍歷的字符串。reference:arachnids,297是外部弓丨用。Sid:1113是snortid.Rev:5是規(guī)則修訂號。在虛擬機(jī)上：在命令行上鍵入：snort-1c:snortlog-cc:snortetcsnort_detection.conf,并回車。在宿主機(jī)上：在瀏覽器中鍵入：50/scripts/.%255c./winnt/system