《網(wǎng)絡(luò)安全實(shí)踐技術(shù)》課件第5章

5.1入侵檢測技術(shù)的基本原理5.2數(shù)據(jù)包捕獲工具Ethereal的配置與使用5.3嗅探器技術(shù)及Sniffer的使用5.4Snort及IDS的使用5.5小結(jié)習(xí)題5第5章入侵檢測技術(shù)

5.1入侵檢測技術(shù)的基本原理

5.1.1防火墻與入侵檢測技術(shù)

傳統(tǒng)的安全機(jī)制分為六類，即數(shù)據(jù)加密技術(shù)、訪問控制技術(shù)、認(rèn)證技術(shù)、數(shù)據(jù)完整性控制技術(shù)、安全漏洞掃描技術(shù)和防火墻技術(shù)。防火墻是指安裝在內(nèi)部網(wǎng)絡(luò)與Internet之間或者網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的，可以限制相互訪問的一種安全保護(hù)措施。防火墻是在被保護(hù)網(wǎng)絡(luò)周邊建立的、分隔被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的系統(tǒng)，它在內(nèi)部網(wǎng)與外部網(wǎng)之間形成了一道安全保護(hù)屏障。防火墻可通過軟件和硬件相結(jié)合的方式來實(shí)現(xiàn)，當(dāng)前比較成熟的防火墻實(shí)現(xiàn)技術(shù)從層次上主要有兩種：包過濾和應(yīng)用層網(wǎng)關(guān)。包過濾技術(shù)主要在IP層實(shí)現(xiàn)。它根據(jù)包頭中所含的信息，如源地址、目的地址等來判斷其能否通過。與包過濾相比，應(yīng)用層網(wǎng)關(guān)是通信協(xié)議棧的更高層操作，提供更為安全的選項(xiàng)。它通常由兩部分組成：代理服務(wù)器和篩選路由器。這種防火墻技術(shù)是目前最通用的一種，它把過濾路由器技術(shù)和軟件代理技術(shù)結(jié)合在一起，由過濾路由器負(fù)責(zé)網(wǎng)絡(luò)的互聯(lián)，進(jìn)行嚴(yán)格的數(shù)據(jù)選擇，應(yīng)用代理則提供應(yīng)用層服務(wù)的控制，中間轉(zhuǎn)接外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請的服務(wù)。防火墻具有以下優(yōu)點(diǎn)：防火墻通過過濾不安全的服務(wù)，可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)；可以提供對系統(tǒng)的訪問控制，如允許從外部訪問某些主機(jī)，同時(shí)禁止訪問另外的主機(jī)；阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Finger和DNS；防火墻可以記錄和統(tǒng)計(jì)通過它的網(wǎng)絡(luò)通信，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)，根據(jù)統(tǒng)計(jì)數(shù)據(jù)來判斷可能的攻擊和探測；防火墻提供制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段，可對企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，定義的安全規(guī)則可運(yùn)用于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)的每臺(tái)機(jī)器上分別設(shè)立安全策略。但防火墻也存在著明顯的不足：

(1)入侵者可以尋找防火墻背后可能敞開的后門而繞過防火墻。

(2)防火墻完全不能阻止內(nèi)部攻擊,對于企業(yè)內(nèi)部心懷不滿的員工來說防火墻形同虛設(shè)。

(3)由于性能的限制,防火墻通常不能提供實(shí)時(shí)的入侵檢測能力。

(4)防火墻對于病毒也束手無策。

(5)防火墻無法有效地解決自身的安全問題。

(6)防火墻無法做到安全與速度的同步提高，一旦考慮到安全因素而對網(wǎng)絡(luò)流量進(jìn)行深入的決策和分析,那么網(wǎng)絡(luò)的運(yùn)行速度勢必會(huì)受到影響。

(7)防火墻是一種靜態(tài)的安全技術(shù),需要人工來實(shí)施和維護(hù),不能主動(dòng)跟蹤入侵者。

因此，認(rèn)為在Internet的入口處布置防火墻，系統(tǒng)就足夠安全的想法是不切實(shí)際的。

防火墻只是一種被動(dòng)的防御技術(shù)，它無法識別和防御來自內(nèi)部網(wǎng)絡(luò)的濫用和攻擊，比如內(nèi)部員工惡意破壞、刪除數(shù)據(jù)，越權(quán)使用設(shè)備。也不能有效防止繞過防火墻的攻擊，比如單位的員工將機(jī)密數(shù)據(jù)用便攜式存儲(chǔ)設(shè)備隨身帶出去造成泄密，員工自己撥號上網(wǎng)造成攻擊進(jìn)入等。入侵檢測技術(shù)作為一種主動(dòng)防護(hù)技術(shù)，可以在攻擊發(fā)生時(shí)記錄攻擊者的行為，發(fā)出報(bào)警，必要時(shí)還可以追蹤攻擊者。它既可以獨(dú)立運(yùn)行，也可以與防火墻等安全技術(shù)協(xié)同工作，更好地保護(hù)網(wǎng)絡(luò)。入侵檢測系統(tǒng)(IntrusionDetectionSystem)就是對網(wǎng)絡(luò)或操作系統(tǒng)上的可疑行為作出策略反應(yīng)，及時(shí)切斷資料入侵源、記錄，并通過各種途徑通知網(wǎng)絡(luò)管理員，最大幅度地保障系統(tǒng)安全。入侵檢測技術(shù)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng))，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性，被認(rèn)為是防火墻之后的第二道安全閘門。它在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，最大幅度地保障系統(tǒng)安全。入侵檢測在網(wǎng)絡(luò)安全技術(shù)中起到了不可替代的作用，是安全防御體系的一個(gè)重要組成部分。5.1.2入侵檢測系統(tǒng)的分類

根據(jù)不同的分類標(biāo)準(zhǔn)，入侵檢測系統(tǒng)可分為不同的類別。按照其數(shù)據(jù)來源，可以分為三類：基于主機(jī)的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和分布式的入侵檢測系統(tǒng)。根據(jù)檢測原理可分為異常檢測和誤用檢測。下面逐一介紹其工作原理。

1．基于主機(jī)的入侵檢測系統(tǒng)

基于主機(jī)的入侵檢測系統(tǒng)一般主要使用操作系統(tǒng)的審計(jì)跟蹤日志作為輸入數(shù)據(jù)，某些也會(huì)主動(dòng)與主機(jī)系統(tǒng)進(jìn)行交互以獲得系統(tǒng)日志中沒有的信息。其所收集的信息集中在系統(tǒng)調(diào)用和應(yīng)用層審計(jì)上，試圖從日志判斷濫用和入侵事件的線索?；谥鳈C(jī)的IDS的優(yōu)點(diǎn)在于它不但能夠檢測本地入侵(LocalIntrusion)，還可以檢測遠(yuǎn)程入侵(RemoteIntrusion)。然而基于主機(jī)的入侵檢測系統(tǒng)安裝在我們需要保護(hù)的設(shè)備上，全面部署主機(jī)入侵檢測系統(tǒng)代價(jià)較大，企業(yè)很難將所有主機(jī)用主機(jī)入侵檢測系統(tǒng)保護(hù)起來，只能選擇部分主機(jī)加以保護(hù)。那些未安裝主機(jī)入侵檢測系統(tǒng)的機(jī)器將成為保護(hù)的盲點(diǎn)，入侵者可利用這些機(jī)器達(dá)到攻擊目標(biāo)。主機(jī)入侵檢測系統(tǒng)的另一個(gè)問題是它依賴于服務(wù)器固有的日志與監(jiān)視能力，操作系統(tǒng)依賴比較大，檢測范圍比較小。

2．基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通過計(jì)算機(jī)網(wǎng)絡(luò)中的某些點(diǎn)被動(dòng)地監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)脑剂髁?，對獲取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理，從中獲取有用的信息，再與已知攻擊特征相匹配或與正常網(wǎng)絡(luò)行為原型相比較來識別攻擊事件。

基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品(NIDS)放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。網(wǎng)絡(luò)入侵檢測系統(tǒng)有以下優(yōu)點(diǎn)：

(1)網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠檢測那些來自網(wǎng)絡(luò)的攻擊，它能夠檢測到超過授權(quán)的非法訪問。

(2)一個(gè)網(wǎng)絡(luò)入侵檢測系統(tǒng)不需要改變服務(wù)器等主機(jī)的配置。由于它不會(huì)在業(yè)務(wù)系統(tǒng)的主機(jī)中安裝額外的軟件，從而不會(huì)影響這些機(jī)器的CPU、I/O與磁盤等資源的使用，不會(huì)影響業(yè)務(wù)系統(tǒng)的性能。

(3)由于網(wǎng)絡(luò)入侵檢測系統(tǒng)不會(huì)成為系統(tǒng)中的關(guān)鍵路徑，故其發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行。部署一個(gè)網(wǎng)絡(luò)入侵檢測系統(tǒng)的風(fēng)險(xiǎn)比主機(jī)入侵檢測系統(tǒng)的風(fēng)險(xiǎn)小得多。

(4)網(wǎng)絡(luò)入侵檢測系統(tǒng)近年內(nèi)有向?qū)ｉT的設(shè)備發(fā)展的趨勢，安裝這樣的一個(gè)網(wǎng)絡(luò)入侵檢測系統(tǒng)非常方便，只需將定制的設(shè)備接上電源，作很少一些配置，將其連到網(wǎng)絡(luò)上即可。網(wǎng)絡(luò)入侵檢測系統(tǒng)也有以下弱點(diǎn)：

(1)網(wǎng)絡(luò)入侵檢測系統(tǒng)只檢查它直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)包。

(2)網(wǎng)絡(luò)入侵檢測系統(tǒng)通常采用特征檢測的方法，它可以檢測出一些普通的攻擊，而很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測。

(3)網(wǎng)絡(luò)入侵檢測系統(tǒng)可能會(huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中。

(4)網(wǎng)絡(luò)入侵檢測系統(tǒng)處理加密的會(huì)話過程較困難，目前通過加密通道的攻擊尚不多，但隨著IPv6的普及，這個(gè)問題會(huì)越來越突出。

3．分布式的入侵檢測系統(tǒng)

采用上述兩種數(shù)據(jù)來源的入侵檢測系統(tǒng)叫做混合式入侵檢測系統(tǒng)，又稱分布式的入侵檢測系統(tǒng)。這種入侵檢測系統(tǒng)能夠同時(shí)分析來自主機(jī)系統(tǒng)審計(jì)日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng)，一般為分布式結(jié)構(gòu)，由多個(gè)部件組成。許多機(jī)構(gòu)的網(wǎng)絡(luò)安全解決方案都同時(shí)采用了基于主機(jī)和基于網(wǎng)絡(luò)的兩種入侵檢測系統(tǒng)，因?yàn)檫@兩種系統(tǒng)在很大程度上互補(bǔ)，所以兩種技術(shù)結(jié)合能大幅度提升網(wǎng)絡(luò)和系統(tǒng)面對攻擊和錯(cuò)誤使用時(shí)的抵抗力，使安全實(shí)施更加有效。

4．誤用檢測

誤用檢測(MisuseDetection)技術(shù)需要建立一個(gè)入侵規(guī)則庫，其中，它對每一種入侵都形成一個(gè)規(guī)則描述，只要發(fā)生的事件符合某個(gè)規(guī)則就被認(rèn)為是入侵。在誤用檢測中，入侵過程模型及它在被觀察系統(tǒng)中留下的蹤跡是決策的基礎(chǔ)。因此，可事先定義某些特征的行為是非法的，然后將觀察對象與之進(jìn)行比較以做出判別。誤用檢測基于已知的系統(tǒng)缺陷和入侵模式，故又稱特征檢測。它能夠準(zhǔn)確地檢測到某些特征的攻擊，但卻過度依賴事先定義好的安全策略，所以無法檢測系統(tǒng)未知的攻擊行為，從而產(chǎn)生漏報(bào)。這種技術(shù)的好處在于它的誤警率(FalseAlarmRate)比較低，缺點(diǎn)是查全率(ProbabilityofDetection)完全依賴于入侵規(guī)則庫的覆蓋范圍，另外由于入侵規(guī)則的建立和更新完全靠手工，且需要豐富的網(wǎng)絡(luò)安全知識和經(jīng)驗(yàn)，所以維持一個(gè)準(zhǔn)確的入侵規(guī)則庫是一件十分困難的事情。

5．異常檢測

異常檢測技術(shù)不對每一種入侵進(jìn)行規(guī)則描述，而是對正常事件的樣本建立一個(gè)正常事件模型，如果發(fā)生的事件偏離這個(gè)模型的程度超過一定范圍，就被認(rèn)為是入侵。在建立該模型之前，首先必須建立統(tǒng)計(jì)概率模型，明確所觀察對象的正常情況，然后決定在何種程度上將一個(gè)行為標(biāo)為“異?！?，并如何做出具體決策。由于事件模型是通過計(jì)算機(jī)對大量的樣本進(jìn)行分析統(tǒng)計(jì)而建立的，具有一定的通用性，因此異常檢測克服了一部分誤用檢測技術(shù)的缺點(diǎn)。但是相對來說，異常檢測技術(shù)的誤警率較高。5.1.3入侵檢測的基本原理

如圖5-1所示，入侵檢測系統(tǒng)的數(shù)據(jù)流程共分為數(shù)據(jù)采集模塊、數(shù)據(jù)預(yù)處理模塊、分析模塊、關(guān)聯(lián)模塊和管理模塊五部分。

1．?dāng)?shù)據(jù)采集模塊

為了進(jìn)行入侵檢測，首先要獲取數(shù)據(jù)。數(shù)據(jù)的來源主要有：網(wǎng)絡(luò)數(shù)據(jù)包、系統(tǒng)日志、操作系統(tǒng)審計(jì)跡、應(yīng)用程序的日志等。圖5-1入侵檢測系統(tǒng)的數(shù)據(jù)流程

2．?dāng)?shù)據(jù)預(yù)處理模塊

從各種數(shù)據(jù)源采集的數(shù)據(jù)，需要經(jīng)過預(yù)處理才能夠加以分析。預(yù)處理的過程首先是去除一些明顯無用的信息；其次是進(jìn)行數(shù)據(jù)的分類，將同種類型的數(shù)據(jù)分在一起；然后再將相關(guān)的數(shù)據(jù)進(jìn)行合并，合并的過程中也可以再除去一些冗余、無用的信息；最后，預(yù)處理模塊將這些數(shù)據(jù)進(jìn)行格式轉(zhuǎn)換，使得這些數(shù)據(jù)可以被分析模塊識別和處理。

3．分析模塊

分析模塊是入侵檢測系統(tǒng)的核心模塊，它完成對事件的分析和處理。分析模塊可以采用現(xiàn)有的各種方法對事件進(jìn)行分析，在對事件進(jìn)行分析后，確定該事件是否是攻擊，如果是就產(chǎn)生報(bào)警，如果不能夠確定，也要給出一個(gè)懷疑值。分析模塊根據(jù)分析的結(jié)果，決定自己懷疑的數(shù)據(jù)是否要送給關(guān)聯(lián)模塊進(jìn)行數(shù)據(jù)融合。

4．關(guān)聯(lián)模塊

關(guān)聯(lián)模塊進(jìn)行數(shù)據(jù)融合，主要目的是綜合不同分析模塊送報(bào)上來的已給出懷疑值的事件，判斷是否存在分布式攻擊。

5．管理模塊

管理模塊接到報(bào)警等信息后，決定是否采取響應(yīng)，采取何種響應(yīng)。5.1.4入侵檢測的基本方法

IDS通常使用異常檢測和誤用檢測這兩種基本的分析方法來分析事件、檢測入侵行為。常用的入侵檢測方法如下所述。

1．模式匹配

模式匹配的方法用于誤用檢測。它建立一個(gè)攻擊特征庫，然后檢查發(fā)過來的數(shù)據(jù)是否包含這些攻擊特征，如特定的命令等，然后判斷它是不是攻擊。這是最傳統(tǒng)、最簡單的入侵檢測方法。它的算法簡單，準(zhǔn)確率高，缺點(diǎn)是只能檢測已知攻擊，模式庫需要不斷更新。另外對于高速大規(guī)模網(wǎng)絡(luò)，由于要處理分析大量的數(shù)據(jù)包，這種方法的速度成問題。

2．統(tǒng)計(jì)分析

統(tǒng)計(jì)分析用于異常檢測。它通過設(shè)置極限閾值等方法，將檢測數(shù)據(jù)與已有的正常行為比較，如果超出極限值，就認(rèn)為是入侵行為。

統(tǒng)計(jì)分析的最大優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會(huì)，入侵者通過逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律，從而透過入侵檢測系統(tǒng)。

如何選擇要監(jiān)視的衡量特征，以及如何在所有可能的衡量特征中選擇合適的特征子集，才能夠準(zhǔn)確預(yù)測入侵活動(dòng)，是統(tǒng)計(jì)分析的關(guān)鍵問題。

3．專家系統(tǒng)

專家系統(tǒng)主要針對誤用檢測。用專家系統(tǒng)對入侵進(jìn)行檢測，經(jīng)常針對有入侵特征的行為。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。審計(jì)事件被表述成有語義的事實(shí)，推理引擎根據(jù)這些規(guī)則和事實(shí)進(jìn)行判定。入侵的特征提取與表達(dá)，是入侵檢測系統(tǒng)的關(guān)鍵。該方法用基于規(guī)則的語言為已知攻擊建模，增加了審計(jì)數(shù)據(jù)的抽象性。

專家系統(tǒng)的不足主要有：攻擊特征的提取有較大難度，速度難以滿足實(shí)時(shí)性要求等。因此，專家系統(tǒng)多用于原型系統(tǒng)的開發(fā)，而商業(yè)產(chǎn)品中則采用其他更有效的方法。

4．神經(jīng)網(wǎng)絡(luò)

神經(jīng)網(wǎng)絡(luò)具有自適應(yīng)、自組織、自學(xué)習(xí)的能力，可以處理一些環(huán)境信息復(fù)雜、背景知識不清楚的問題。有學(xué)者把神經(jīng)網(wǎng)絡(luò)技術(shù)也應(yīng)用于入侵檢測系統(tǒng)，以檢測未知攻擊。來自審計(jì)日志或正常的網(wǎng)絡(luò)訪問行為的信息，經(jīng)數(shù)據(jù)信息預(yù)處理模塊的處理后即產(chǎn)生輸入向量。使用神經(jīng)網(wǎng)絡(luò)對輸入向量進(jìn)行處理，從中提取用戶正常行為的模式特征，并以此創(chuàng)建用戶的行為特征輪廓。這就要求系統(tǒng)事先對大量實(shí)例進(jìn)行訓(xùn)練，具有每一個(gè)用戶行為模式特征的知識，從而找出偏離這些輪廓的用戶行為。

5．模糊系統(tǒng)

模糊理論在知識和規(guī)則獲取中具有重要作用。人類思維、語言具有模糊性。模糊思維形式和語言表達(dá)具有廣泛、完美和高效的特征。人們的許多知識是模糊的，模糊知識在控制和決策中有巨大作用。于是有學(xué)者將模糊系統(tǒng)的理論方法用于入侵檢測系統(tǒng)中，以實(shí)現(xiàn)對入侵行為的判別。

6．遺傳算法

遺傳算法能在搜索過程中自動(dòng)獲取和積累有關(guān)搜索空間的知識，并自適應(yīng)地控制搜索過程，從而得到最優(yōu)解或次最優(yōu)解。遺傳算法的主要特點(diǎn)是簡單、通用、魯棒性強(qiáng)，適用于并行分布處理，應(yīng)用范圍比較廣。將遺傳算法應(yīng)用到入侵檢測系統(tǒng)中，無疑是一個(gè)好的思路，但還有很多工作要做。

7．免疫系統(tǒng)

有學(xué)者在研究過程中注意到：計(jì)算機(jī)系統(tǒng)的保護(hù)機(jī)制與生物的生理免疫系統(tǒng)之間具有顯著的相似性，即兩個(gè)系統(tǒng)運(yùn)行的關(guān)鍵是執(zhí)行“自己”和“異己”識別的能力。也就是說，一個(gè)組織的免疫系統(tǒng)能夠決定哪些東西是無害的，哪些是有害的。依據(jù)免疫系統(tǒng)方法，我們利用程序運(yùn)行過程中產(chǎn)生的系統(tǒng)調(diào)用短序列定義正常行為模式，以此來區(qū)分和識別攻擊行為。

8．?dāng)?shù)據(jù)挖掘

數(shù)據(jù)挖掘是數(shù)據(jù)庫中的一項(xiàng)技術(shù)，它的作用就是從大型數(shù)據(jù)集中抽取知識。對于入侵檢測系統(tǒng)來說，也需要從大量的數(shù)據(jù)中提取出入侵的特征。因此就有學(xué)者將數(shù)據(jù)挖掘技術(shù)引入到入侵檢測系統(tǒng)中，通過數(shù)據(jù)挖掘程序處理搜集到的審計(jì)數(shù)據(jù)，為各種入侵行為和正常操作建立精確的行為模式，這是一個(gè)自動(dòng)的過程。數(shù)據(jù)挖掘方法的關(guān)鍵點(diǎn)在于算法的選取和建立一個(gè)正確的體系結(jié)構(gòu)。

9．?dāng)?shù)據(jù)融合

數(shù)據(jù)融合技術(shù)通過綜合來自多個(gè)不同的傳感器或數(shù)據(jù)源的數(shù)據(jù)，對有關(guān)事件、行為以及狀態(tài)進(jìn)行分析和推論。這類似于人們的認(rèn)知過程：我們的大腦綜合來自各個(gè)感官的信息，根據(jù)這些信息作出決策并采取相應(yīng)的行動(dòng)。根據(jù)這個(gè)原理，在網(wǎng)絡(luò)中我們可以配置各種功能的探測器，從不同的角度、不同的位置收集反映網(wǎng)絡(luò)系統(tǒng)狀態(tài)的數(shù)據(jù)信息，包括網(wǎng)絡(luò)數(shù)據(jù)包、系統(tǒng)日志文件、網(wǎng)管信息、用戶行為特征輪廓數(shù)據(jù)、系統(tǒng)消息、已知攻擊的知識和系統(tǒng)操作者發(fā)出的命令等。然后，在對這些信息進(jìn)行相應(yīng)分析和結(jié)果融合的基礎(chǔ)上，給出檢測系統(tǒng)的判斷結(jié)果和響應(yīng)措施：對系統(tǒng)威脅源、惡意行為以及威脅的類型進(jìn)行識別，并給出威脅程度的評估。數(shù)據(jù)融合技術(shù)中的算法有不少，應(yīng)用到入侵檢測系統(tǒng)中的主要有貝葉斯算法等。

10．協(xié)議分析

協(xié)議分析是新一代IDS系統(tǒng)探測攻擊的主要技術(shù)，它利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測攻擊的存在。協(xié)議分析技術(shù)的提出彌補(bǔ)了模式匹配技術(shù)的一些不足，比如計(jì)算量大、探測準(zhǔn)確性低等。協(xié)議分析技術(shù)對協(xié)議進(jìn)行解碼，減少了入侵檢測系統(tǒng)需要分析的數(shù)據(jù)量，從而提高了解析的速度。由于協(xié)議比較規(guī)范，因此協(xié)議分析的準(zhǔn)確率比較高。另外，協(xié)議分析技術(shù)還可以探測碎片攻擊。

目前一些產(chǎn)品已經(jīng)或部分實(shí)現(xiàn)了協(xié)議分析技術(shù)?？梢哉f，與傳統(tǒng)的模式匹配技術(shù)相比，協(xié)議分析技術(shù)是新一代入侵檢測技術(shù)。5.1.5入侵檢測技術(shù)的發(fā)展方向

1．入侵檢測技術(shù)近年來的發(fā)展

入侵檢測是一種比較新的網(wǎng)絡(luò)安全策略。入侵檢測系統(tǒng)在識別入侵和攻擊時(shí)具有一定的智能性。這主要體現(xiàn)在入侵特征的提取和匯總、響應(yīng)的合并與融合、在檢測到入侵后能夠主動(dòng)采取響應(yīng)措施等方面，所以說，入侵檢測系統(tǒng)是一種主動(dòng)防御技術(shù)。入侵檢測作為傳統(tǒng)計(jì)算機(jī)安全機(jī)制的補(bǔ)充，它的開發(fā)應(yīng)用增大了網(wǎng)絡(luò)與系統(tǒng)安全的保護(hù)縱深，成為目前動(dòng)態(tài)安全工具的主要研究和開發(fā)方向。從技術(shù)的角度看，一個(gè)好的入侵檢測系統(tǒng)，應(yīng)該具有檢測效率高、資源占用率小、開放性、完備性和安全性等特點(diǎn)。無論從規(guī)模還是方法上，入侵技術(shù)近年來都發(fā)生了變化。入侵的手段與技術(shù)也有了“進(jìn)步與發(fā)展”。入侵技術(shù)的發(fā)展與演化主要反映在下列幾個(gè)方面：

(1)入侵或攻擊的綜合化與復(fù)雜化。入侵者在實(shí)施入侵或攻擊時(shí)往往同時(shí)采取多種入侵手段，以保證入侵的成功率，并可在攻擊實(shí)施的初期掩蓋攻擊或入侵的真實(shí)目的。

(2)入侵主體對象的間接化。通過一定的技術(shù)，可以掩蓋攻擊主體的源地址及主機(jī)位置。即使用了隱蔽技術(shù)后，對于被攻擊對象攻擊的主體是無法直接確定的。

(3)入侵或攻擊的規(guī)模擴(kuò)大。由于戰(zhàn)爭對電子技術(shù)與網(wǎng)絡(luò)技術(shù)的依賴性越來越大，隨之產(chǎn)生、發(fā)展、逐步升級到電子戰(zhàn)與信息戰(zhàn)。對于信息戰(zhàn)，無論其規(guī)模與技術(shù)都不可與一般意義上的計(jì)算機(jī)網(wǎng)絡(luò)的入侵與攻擊相提并論。

(4)入侵或攻擊技術(shù)的分布化。以前常用的入侵與攻擊行為往往由單機(jī)執(zhí)行，由于防范技術(shù)的發(fā)展使得此類行為不能奏效。分布式攻擊(DDoS)是近期最常用的攻擊手段，它能在很短時(shí)間內(nèi)造成被攻擊主機(jī)癱瘓，且此類分布式攻擊的單機(jī)信息模式與正常通信無差異，往往在攻擊發(fā)動(dòng)的初期不易被確認(rèn)。

(5)攻擊對象的轉(zhuǎn)移。入侵與攻擊常以網(wǎng)絡(luò)為侵犯的主體，但近期來的攻擊行為卻發(fā)生了策略性的改變，由攻擊網(wǎng)絡(luò)改為攻擊網(wǎng)絡(luò)的防護(hù)系統(tǒng)?，F(xiàn)已有專門針對IDS作攻擊的報(bào)道，攻擊者詳細(xì)地分析了IDS的審計(jì)方式、特征描述、通信模式找出IDS的弱點(diǎn)，然后加以攻擊。

2．入侵檢測技術(shù)的發(fā)展方向

今后的入侵檢測技術(shù)大致可朝下述四個(gè)方向發(fā)展：

(1)分布式入侵檢測。第一層含義即針對分布式網(wǎng)絡(luò)攻擊的檢測方法；第二層含義是使用分布式的方法來檢測分布式的攻擊，其關(guān)鍵技術(shù)是檢測信息的協(xié)同處理與入侵攻擊的全局信息的提取。

(2)智能化入侵檢測。所謂的智能化方法，是使用智能化的方法與手段來進(jìn)行入侵檢測?，F(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，這些方法常用于入侵特征的辨識與泛化。

(3)全面的安全防御方案。使用安全工程風(fēng)險(xiǎn)管理的思想與方法來處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全作為一個(gè)整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估，然后提出可行的全面解決方案。

(4)入侵檢測系統(tǒng)的測試和評估。進(jìn)行測試評估的研究，幾個(gè)比較關(guān)鍵的問題是：網(wǎng)絡(luò)流量仿真、用戶行為仿真、攻擊特征庫的構(gòu)建、評估環(huán)境的實(shí)現(xiàn)和評測結(jié)果的分析。

5.2數(shù)據(jù)包捕獲工具Ethereal

的配置與使用

Ethereal是當(dāng)前較為流行的一種計(jì)算機(jī)網(wǎng)絡(luò)調(diào)試和數(shù)據(jù)包嗅探軟件。Ethereal基本類似于tcpdump，但Ethereal還具有設(shè)計(jì)完美的GUI和眾多分類信息及過濾選項(xiàng)。用戶通過Ethereal，同時(shí)將網(wǎng)卡插入混合模式，可以查看到網(wǎng)絡(luò)中發(fā)送的所有通信流量。

Ethereal應(yīng)用于故障修復(fù)、分析、軟件和協(xié)議開發(fā)以及教育領(lǐng)域。它具有用戶對協(xié)議分析器所期望的所有標(biāo)準(zhǔn)特征，并具有其他同類產(chǎn)品所不具備的有關(guān)特征。Ethereal是一種開源代碼的許可軟件，允許用戶向其中添加改進(jìn)方案。Ethereal適用于當(dāng)前所有較為流行的計(jì)算機(jī)系統(tǒng)，包括UNIX、Linux和Windows。Ethereal的特性如下：

●

支持UNIX平臺(tái)和Windows平臺(tái)。

●

從網(wǎng)絡(luò)接口上捕獲實(shí)時(shí)數(shù)據(jù)包。

●?以非常詳細(xì)的協(xié)議方式顯示數(shù)據(jù)包。

●

可以打開或者存儲(chǔ)捕獲的數(shù)據(jù)包。

●

導(dǎo)入/導(dǎo)出數(shù)據(jù)包，從/到其他的捕獲程序。

●

按多種方式過濾數(shù)據(jù)包。

●

按多種方式查找數(shù)據(jù)包。

●

根據(jù)過濾條件，以不同的顏色顯示數(shù)據(jù)包。

●

可以建立多種統(tǒng)計(jì)數(shù)據(jù)。

Ethereal功能非常強(qiáng)大，接下來將介紹它的主要功能。5.2.1捕獲實(shí)時(shí)的網(wǎng)絡(luò)數(shù)據(jù)

實(shí)時(shí)捕獲網(wǎng)絡(luò)數(shù)據(jù)是Ethereal的主要功能之一。啟動(dòng)捕獲之前，要先設(shè)置好捕獲選項(xiàng)。

點(diǎn)擊Capture→Options，打開“CaptureOptions”設(shè)置框，如圖5-2所示，對捕獲參數(shù)進(jìn)行設(shè)置，主要參數(shù)設(shè)置方式如下：

●

Interface：即接口，這個(gè)字段指定在哪個(gè)接口進(jìn)行捕獲。這是一個(gè)下拉字段，只能從中選擇Ethereal識別出來的接口，默認(rèn)是第一塊支持捕獲的非loopback接口卡。如果沒有接口卡，那么第一個(gè)默認(rèn)就是第一塊loopback接口卡。在某些系統(tǒng)中，loopback接口卡不能用來捕獲(loopback接口卡在Windows平臺(tái)是不可用的)?！?Capturepacketsinpromiscuousmode：即在混雜模式捕獲包，這個(gè)選項(xiàng)允許設(shè)置是否將網(wǎng)卡設(shè)置在混雜模式。如果不指定，Ethereal僅僅捕獲那些進(jìn)入計(jì)算機(jī)的或送出計(jì)算機(jī)的包(而不是LAN網(wǎng)段上的所有包)。

●

CaptureFilter：即捕獲過濾。這個(gè)字段指定哪些數(shù)據(jù)包被過濾或被捕獲。例如，當(dāng)選擇“nottcpport3389”，表示不捕獲端口3389的數(shù)據(jù)包。

設(shè)置好之后，點(diǎn)擊“Start”按鈕，即可開始捕獲。圖5-2“CaptureOptions”設(shè)置框5.2.2捕獲信息

當(dāng)捕獲工具運(yùn)行時(shí)，將顯示“捕獲信息”對話框，如圖5-3所示，這個(gè)對話框顯示捕獲的實(shí)時(shí)過程，告訴用戶捕獲到的包的類型，以及某種類型的包在捕獲總數(shù)中所占的比例。圖5-2顯示當(dāng)前捕獲到TCP包和UDP包，它們所占的比例分別是2.2%和97.4%。

如果要停止當(dāng)前捕獲，只要點(diǎn)擊圖5-3下方的Stop即可。圖5-3“捕獲信息”對話框5.2.3利用捕獲的包進(jìn)行工作

1．查看捕獲的包

一旦捕獲了一些數(shù)據(jù)包，或者打開了一個(gè)原來保存過的捕獲文件，數(shù)據(jù)包就會(huì)顯示在包列表面板中，可以通過點(diǎn)擊某一個(gè)包來進(jìn)行查看。點(diǎn)擊“+”號可以擴(kuò)展樹的任何部分，并且可以選擇單獨(dú)的字段。如圖5-4所示的例子說明了選擇一個(gè)TCP包的情況。圖5-4選擇一個(gè)TCP包進(jìn)行查看

2．查看時(shí)進(jìn)行包過濾

Ethereal有兩種過濾語言，一個(gè)是在捕獲時(shí)使用的，另一個(gè)是在顯示時(shí)使用的。在這一部分，我們探討第二種類型的過濾，即顯示過濾。

顯示過濾允許用戶隱藏不感興趣的數(shù)據(jù)包，而只顯示那些感興趣的數(shù)據(jù)包。允許按照如下條件顯示：

●?協(xié)議。

●?一個(gè)字段存在與否。

●?一個(gè)字段的值。

●?兩個(gè)字段的比較。比如說要基于協(xié)議類型選擇包，只需要在工具條的Filter字段里寫上，然后按回車就可以。例如，只想查看基于“TCP”協(xié)議的數(shù)據(jù)包，只需要在Filter后面填入“tcp”，按回車即可，如圖5-5所示。

注意：當(dāng)使用顯示過濾時(shí)，所有的包都保存在捕獲文件里。顯示過濾僅僅改變捕獲文件的顯示，但不改變捕獲文件的內(nèi)容。圖5-5過濾TCP協(xié)議

5.3嗅探器技術(shù)及Sniffer的使用

5.3.1嗅探器的定義

嗅探器是具備網(wǎng)絡(luò)監(jiān)聽功能的設(shè)備，它能夠捕捉網(wǎng)絡(luò)報(bào)文，而且很多嗅探器工具可以免費(fèi)使用，因此它成為一種在網(wǎng)絡(luò)中非常流行的軟件。嗅探器攻擊也是網(wǎng)絡(luò)中非常普遍的攻擊類型之一。對于一個(gè)入侵者而言，一個(gè)位置放置很好的嗅探器無異于一個(gè)豐富的寶藏，能給入侵者提供成千上萬的口令。嗅探器(Sniffer)這一術(shù)語來源于通用網(wǎng)絡(luò)公司開發(fā)的Sniffer(一個(gè)能夠捕捉網(wǎng)絡(luò)報(bào)文的程序)。由于通用網(wǎng)絡(luò)公司在市場上的主導(dǎo)地位，Sniffer這個(gè)詞就越來越流行，逐漸成為這一類產(chǎn)品的代名詞，以后的所有協(xié)議分析程序都被稱為Sniffer。

Sniffer的正當(dāng)用處是分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。例如：網(wǎng)絡(luò)的某一段運(yùn)行得不是很好，報(bào)文的發(fā)送比較慢，而管理員又不知道問題出在什么地方，這時(shí)就可以用嗅探器來作出精確的判斷。Sniffer對系統(tǒng)管理員來說非常重要，網(wǎng)絡(luò)管理員通過Sniffer可以診斷出大量的不可見模糊問題，這些問題涉及兩臺(tái)乃至更多臺(tái)計(jì)算機(jī)之間的異常通信，有些甚至牽涉到各種協(xié)議。借助于Sniffer，系統(tǒng)管理員可以方便地確定出多少的通信量屬于哪個(gè)網(wǎng)絡(luò)協(xié)議、占主要通信協(xié)議的主機(jī)是哪一臺(tái)、大多數(shù)通信目的地是哪臺(tái)主機(jī)、報(bào)文發(fā)送占用多長時(shí)間或者主機(jī)的報(bào)文傳送間隔時(shí)間等，這些信息為管理員查找網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。

由于Sniffer可捕捉網(wǎng)絡(luò)報(bào)文，因此，Sniffer對網(wǎng)絡(luò)也存在極大的危害。通過Sniffer可以捕捉到網(wǎng)絡(luò)中傳輸?shù)目诹?、機(jī)密信息、專用信息以及通過它獲得更高基本權(quán)限等等。5.3.2嗅探器的工作原理

從上面的描述可以了解到，Sniffer只能捕獲本機(jī)網(wǎng)絡(luò)接口上所能接收到的報(bào)文。因此，捕獲該網(wǎng)段上所有的包的前提是：

●?網(wǎng)絡(luò)中使用的是共享式的HUB。

●?本機(jī)的網(wǎng)卡需要設(shè)為混雜模式。

●?本機(jī)上安裝有處理接收來的數(shù)據(jù)的嗅探軟件。可見，Sniffer工作在網(wǎng)絡(luò)環(huán)境的底層，它會(huì)捕獲所有的正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過相應(yīng)的軟件處理，可以實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，通過對這些數(shù)據(jù)的分析獲得所處的網(wǎng)絡(luò)狀態(tài)和整體布局。

嗅探器在功能和設(shè)計(jì)方面有很多不同。有些只能分析一種協(xié)議，而另一些能夠分析幾百種協(xié)議。一般情況下，大多數(shù)嗅探器至少能夠分析下面的協(xié)議：

●?標(biāo)準(zhǔn)以太網(wǎng)。

●?TCP/IP。

●?IPX。

●?DECNet。5.3.3嗅探器造成的危害

Sniffer作用在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的底層。通常情況下，用戶并不直接和該層打交道，有些用戶甚至不知道有這一層存在，如在UNIX系統(tǒng)中，一般用戶不能把網(wǎng)卡設(shè)為混雜模式，只有超級用戶才有這個(gè)權(quán)限。由于能夠捕捉網(wǎng)絡(luò)上的數(shù)據(jù)包，因此Sniffer的危害是相當(dāng)大的，通常，非法使用Sniffer是在網(wǎng)絡(luò)中進(jìn)行欺騙或者攻擊行為的開始。

(1)嗅探器能夠捕捉口令。如果網(wǎng)絡(luò)上使用的是非加密協(xié)議來傳輸數(shù)據(jù)，即明文傳輸，Sniffer就可以記錄明文傳送的數(shù)據(jù)，包括用戶名和密碼，很大一部分入侵者使用Sniffer就是為了達(dá)到這一目的。

(2)能夠捕獲專用的或者機(jī)密的信息。通過在網(wǎng)絡(luò)上安裝Sniffer，可以竊取到一些敏感的數(shù)據(jù)，如金融帳號。許多用戶很放心地在網(wǎng)絡(luò)上使用自己的信用卡或現(xiàn)金帳號，然而，Sniffer可以很輕松地截獲在網(wǎng)絡(luò)上傳送的用戶姓名、口令、信用卡號碼、截止日期等資料。通過攔截?cái)?shù)據(jù)包，入侵者可以很方便記錄他人之間敏感的信息傳送，或者干脆攔截整個(gè)的會(huì)話過程。

(3)可以用來危害網(wǎng)絡(luò)鄰居的安全，或者用來截獲更高級別的訪問權(quán)限。

(4)獲得進(jìn)一步進(jìn)行攻擊需要的信息。通過對底層的協(xié)議記錄，比如記錄兩臺(tái)主機(jī)之間的網(wǎng)絡(luò)接口地址、遠(yuǎn)程網(wǎng)絡(luò)接口IP地址、IP路由信息和TCP連接的序列號等。這些信息由非法入侵的人掌握后將對網(wǎng)絡(luò)造成極大的危害。例如入侵者正要進(jìn)行一次IP欺騙(獲得TCP連接的序列號就是進(jìn)行IP欺騙的關(guān)鍵)，事實(shí)上，如果用戶所在的網(wǎng)絡(luò)上存在非授權(quán)的嗅探器就意味著該用戶的系統(tǒng)已經(jīng)暴露在別人面前了。5.3.4嗅探器的檢測和預(yù)防

為達(dá)到良好的效果，入侵者一般將嗅探器放置于被攻擊機(jī)器或被攻擊機(jī)器所在的網(wǎng)絡(luò)附近，這樣才能捕獲到很多口令，還有一個(gè)比較常見的方法就是放在網(wǎng)關(guān)上。Sniffer通常運(yùn)行在路由器，或有路由器功能的主機(jī)上，這樣才能捕獲到更多的口令信息。Sniffer屬第二層次的攻擊。通常是入侵者已經(jīng)進(jìn)入了目標(biāo)系統(tǒng)，然后使用這種攻擊手段，以便得到更多的信息。因此，對嗅探器的檢測要優(yōu)先考慮這些位置。

1．規(guī)劃

從Sniffer的工作原理可以了解到，除非使用電子欺騙，否則Sniffer只能工作在傳統(tǒng)的以太網(wǎng)中，并且Sniffer也無法進(jìn)行跨網(wǎng)段的工作。因此，將網(wǎng)絡(luò)分段工作做得越細(xì)，嗅探器能夠收集到的信息就越少。合理的利用交換機(jī)、路由器、網(wǎng)橋等設(shè)備來對網(wǎng)絡(luò)進(jìn)行分段，可以有效減少嗅探器的危害。

2．采用加密會(huì)話

另一種對抗嗅探器的方式是對會(huì)話進(jìn)行加密。對會(huì)話進(jìn)行加密處理后，所有在網(wǎng)絡(luò)上進(jìn)行傳輸?shù)臄?shù)據(jù)都是被加密的，這些機(jī)密的數(shù)據(jù)即使被嗅探器捕獲，入侵者也很難從加密的數(shù)據(jù)中還原數(shù)據(jù)的原文。

使用加密的會(huì)話是從根本上解決Sniffer攻擊的措施。通常的做法是對安全性高的數(shù)據(jù)通信進(jìn)行加密傳輸，例如采用目前比較流行的SSL這樣的安全產(chǎn)品。盡管這些協(xié)議或者安全工具本身也可能存在問題，但是無可否認(rèn)使用這些協(xié)議和安全產(chǎn)品能極大地增強(qiáng)系統(tǒng)的安全性。

3．使用檢測工具

(1)?TripWare。要發(fā)現(xiàn)安裝在單機(jī)上的嗅探器，最有效的方法是使用MD5校驗(yàn)工具，如TripWare。使用MD5的前提是需要有一個(gè)比較適合的有原安裝文件的數(shù)據(jù)庫。因此，熟練使用MD5校驗(yàn)和搜索工具對一個(gè)優(yōu)秀的管理員來說是必不可少的。

(2)?Anti-Sniffer。從一個(gè)大型網(wǎng)絡(luò)中查找嗅探器非常困難，特別是大型網(wǎng)絡(luò)中存在這種同體系結(jié)構(gòu)的主機(jī)，更加大了檢測嗅探器的難度。目前有一些工具對查找網(wǎng)絡(luò)上的嗅探器能起一定的作用。例如，Anti-Sniffer、promise、cmp等，其中由L0pth小組開發(fā)的Anti-Sniffer提供多種版本，但對其使用者要求較高，需要自己分析網(wǎng)絡(luò)中的異常來得出是否存在Sniffer的可能。

4．異常情況觀察

嗅探器非常難以被發(fā)現(xiàn)，主要因?yàn)樾崽狡魇且环N被動(dòng)的程序，一般不會(huì)留下使別人查核的線索。但是嗅探器工作需要占用大量的網(wǎng)絡(luò)資源，特別是當(dāng)嗅探器對網(wǎng)絡(luò)流量同時(shí)進(jìn)行嗅探時(shí)。雖然很多的嗅探器都做了改進(jìn)，只對每個(gè)連接的前面的若干字節(jié)進(jìn)行嗅探，不過仍然不可避免地需要消耗大量的網(wǎng)絡(luò)資源，如果管理員能夠經(jīng)常對網(wǎng)絡(luò)異常情況進(jìn)行監(jiān)控，就很有可能發(fā)現(xiàn)網(wǎng)絡(luò)中存在的嗅探器。5.3.5Sniffer簡介

SnifferPro是由NAI公司開發(fā)的一個(gè)功能強(qiáng)大的圖形界面嗅探器。它是目前唯一能夠?yàn)槿科邔覱SI網(wǎng)絡(luò)模型提供全面性能管理的工具。它的功能包括：

●?實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)活動(dòng)。

●?采集單個(gè)工作站、對話或者網(wǎng)絡(luò)任何部分詳細(xì)的利用率和錯(cuò)誤統(tǒng)計(jì)數(shù)據(jù)。

●?保存歷史利用率和錯(cuò)誤信息，以進(jìn)行原始分析。

●?生成實(shí)時(shí)的聲光警報(bào)。

●?檢測到故障時(shí)通知網(wǎng)絡(luò)管理員?！?捕獲網(wǎng)絡(luò)通信量，以進(jìn)行詳細(xì)的數(shù)據(jù)包分析。

●?接收專家系統(tǒng)對網(wǎng)絡(luò)通信量的分析。

●?用有效的工具探索網(wǎng)絡(luò)，以模擬通信量測量響應(yīng)時(shí)間、統(tǒng)計(jì)躍點(diǎn)數(shù)和排除故障。

在進(jìn)行流量捕獲之前，首先要選擇網(wǎng)絡(luò)適配器，確定從計(jì)算機(jī)的哪個(gè)網(wǎng)絡(luò)適配器上接收數(shù)據(jù)。運(yùn)行SnifferPro，執(zhí)行“File”→“SelectSettings”菜單命令，在打開的對話框中選擇需要監(jiān)視的網(wǎng)絡(luò)適配器，如圖5-6所示。圖5-6“設(shè)置”對話框5.3.6使用Sniffer捕獲報(bào)文

1．捕獲面板

報(bào)文捕獲功能可以在報(bào)文捕獲面板中完成，圖5-7是捕獲面板的功能圖，圖中顯示的是處于開始狀態(tài)的面板。

圖5-7報(bào)文捕獲面板

2．統(tǒng)計(jì)捕獲報(bào)文

在捕獲過程中可以通過圖5-8所示的面板查看捕獲報(bào)文的數(shù)量和緩沖區(qū)的利用率。圖5-8捕獲報(bào)文信息統(tǒng)計(jì)

3．查看捕獲報(bào)文

SnifferPro軟件提供了強(qiáng)大的分析能力和解碼功能，如圖5-9所示，對于捕獲的報(bào)文提供了一個(gè)Expert專家分析系統(tǒng)進(jìn)行分析，還有解碼選項(xiàng)及圖形和表格的統(tǒng)計(jì)信息。

圖5-9捕獲報(bào)文查看按鍵

(1)專家分析。專家分析系統(tǒng)提供了一個(gè)分析平臺(tái)，對網(wǎng)絡(luò)上的流量進(jìn)行了一些分析，對于分析出的診斷結(jié)果可以查看在線幫助獲得。圖5-10顯示出在網(wǎng)絡(luò)中WINS查詢失敗的次數(shù)及TCP重傳的次數(shù)統(tǒng)計(jì)等內(nèi)容，可以方便了解網(wǎng)絡(luò)中高層協(xié)議出現(xiàn)故障的可能點(diǎn)。對于某項(xiàng)的統(tǒng)計(jì)分析可以通過用鼠標(biāo)雙擊此條記錄來查看詳細(xì)統(tǒng)計(jì)信息，并且對于每一項(xiàng)都可以通過查看幫助來了解產(chǎn)生的原因。圖5-10專家分析

(2)解碼分析。圖5-11是對捕獲報(bào)文進(jìn)行解碼的顯示，通常分為三部分，目前大部分此類軟件結(jié)構(gòu)都采用這種結(jié)構(gòu)顯示。對于解碼主要要求分析人員對協(xié)議比較熟悉，這樣才能看懂解析出來的報(bào)文。使用該軟件是很簡單的事情，但要能夠利用軟件解碼分析來解決問題就需要對各種層次的協(xié)議了解得比較透徹。工具軟件只是提供一個(gè)輔助的手段。因涉及的內(nèi)容太多，這里不對協(xié)議進(jìn)行過多講解。

對于MAC地址，Sniffer軟件進(jìn)行了頭部的替換，如以00e0fc開頭的就替換成Huawei，這樣有利于了解網(wǎng)絡(luò)上各種相關(guān)設(shè)備的制造廠商信息。圖5-11解碼分析

(3)統(tǒng)計(jì)分析。對于Matrix、HostTable、PortocolDist.Statistics等，提供了Sniffer按照地址、協(xié)議等內(nèi)容所做的組合統(tǒng)計(jì)，比較簡單，可以通過操作很快掌握，這里就不再詳細(xì)介紹了。5.3.7Sniffer捕獲條件的配置

執(zhí)行Capture→DefineFilter和Display→DefineFilter可以設(shè)置和顯示捕獲規(guī)則。

1．基本捕獲條件

基本捕獲條件有兩種，如圖5-12所示。

(1)鏈路層捕獲，按源MAC和目的MAC地址進(jìn)行捕獲，輸入方式為十六進(jìn)制連續(xù)輸入，如：00E0FC123456。

(2)?IP層捕獲，按源IP和目的IP進(jìn)行捕獲，輸入方式為點(diǎn)間隔方式，如：。如果選擇IP層捕獲條件則ARP等報(bào)文將被過濾掉。圖5-12基本捕獲條件

2．高級捕獲條件

在“Advancad”頁面下，可以編輯協(xié)議捕獲條件，如圖5-13所示。

在協(xié)議選擇樹中可以選擇需要捕獲的協(xié)議條件，如果什么都不選，則表示忽略該條件，捕獲所有協(xié)議；在捕獲幀長度條件下，可以捕獲等于、小于、大于某個(gè)值的報(bào)文；在錯(cuò)誤幀是否捕獲欄，可以選擇當(dāng)網(wǎng)絡(luò)上有如下錯(cuò)誤時(shí)是否捕獲；選擇保存過濾規(guī)則條件按鈕“Profiles”，可以將當(dāng)前設(shè)置的過濾規(guī)則進(jìn)行保存，在捕獲主面板中，可以選擇保存的捕獲條件。圖5-13高級捕獲條件編輯圖

3．任意捕獲條件

在DataPattern下，可以編輯任意捕獲條件，如圖5-14所示。

用這種方法可以實(shí)現(xiàn)復(fù)雜的報(bào)文過濾，但很多時(shí)候是得不償失的，有時(shí)截獲的報(bào)文本就不多，還不如自己看看來得快。圖5-14任意捕獲條件編輯圖5.3.8使用Sniffer發(fā)送報(bào)文

1．編輯報(bào)文發(fā)送

Sniffer軟件報(bào)文發(fā)送功能比較弱，圖5-15是發(fā)送的主面

板圖。

發(fā)送前，需要先編輯報(bào)文發(fā)送的內(nèi)容。點(diǎn)擊發(fā)送報(bào)文編輯按鈕，可得到如圖5-16所示的報(bào)文編輯窗口。

首先要指定數(shù)據(jù)幀發(fā)送的長度，然后從鏈路層開始，一個(gè)一個(gè)將報(bào)文填充完成。如果是NetXray支持可以解析的協(xié)議，從“Decode”頁面中，可看見解析后的直觀表示。圖5-15發(fā)送的主面板圖圖5-16報(bào)文編輯窗口

2．捕獲編輯報(bào)文發(fā)送

將捕獲到的報(bào)文直接轉(zhuǎn)換成發(fā)送報(bào)文，然后修改一下即可。圖5-17是一個(gè)捕獲報(bào)文后的報(bào)文查看窗口。

右擊選中的某個(gè)報(bào)文，在彈出的菜單中選擇“SendCurrentPacket”，這時(shí)就會(huì)發(fā)現(xiàn)，該報(bào)文的內(nèi)容已經(jīng)被原封不動(dòng)地送到“發(fā)送編輯窗口”中了。這時(shí)再進(jìn)行修改，就比全部填充報(bào)文省事得多。

發(fā)送模式有兩種：連續(xù)發(fā)送和定量發(fā)送?？梢栽O(shè)置發(fā)送間隔，如果為0，則以最快的速度進(jìn)行發(fā)送。圖5-17報(bào)文查看窗口

5.4Snort及IDS的使用

5.4.1Snort介紹

Snort的名稱來源于snifferandmore，意思是嗅探和其他作用。它包含數(shù)據(jù)包嗅探器、數(shù)據(jù)包記錄器和IDS。

Snort最初的開發(fā)目的是做一個(gè)數(shù)據(jù)包嗅探器——Sniffer。1998年1月，MartyRoech寫了一個(gè)Linux平臺(tái)下的數(shù)據(jù)包嗅探軟件，名為APE。MartyRoech的目的是要寫一個(gè)比APE更好的包嗅探器，他在Snort中使用libpcap函數(shù)庫實(shí)現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)包過濾和嗅探功能。

1998年12月22日，Snort放到了網(wǎng)站上供下載。此時(shí)Snort共有兩個(gè)文件，1600多行。1999年Snort加入了基于特征分析的功能，即基于規(guī)則匹配的功能。這時(shí)Snort具有入侵檢測的功能，被用作初步IDS。1999年10月，Snort1.5發(fā)布，1.5版本的體系結(jié)構(gòu)一直沿用下來，直到2.0才做了大的變革。目前Snort的最新版本為Snort2.8。

對于大多數(shù)系統(tǒng)和網(wǎng)絡(luò)管理員來說，Snort是一種常見的、熟悉的工具。然而Snort絕不僅僅是一種管理員的工具，它是一種入侵檢測系統(tǒng)。盡管主要通過命令行使用，但Web程序員以及管理員也可輕松訪問它。它是開源的，即免費(fèi)的，與大多數(shù)開源工具不同，它得到了非常完善的維護(hù)，有全面的文檔。5.4.2Snort的工作模式

Snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測系統(tǒng)。

1．嗅探器模式

所謂的嗅探器模式就是Snort從網(wǎng)絡(luò)上讀出數(shù)據(jù)包，然后顯示在控制臺(tái)上。首先，我們從最基本的用法入手。如果只要把TCP/IP包頭信息打印在屏幕上，只需要輸入下面的命令：

./snort-v

使用這個(gè)命令將使Snort只輸出IP和TCP/UDP/ICMP的包頭信息，如圖5-18所示。如果要看到應(yīng)用層的數(shù)據(jù)，可以使用：

./snort-vd這條命令使Snort在輸出包頭信息的同時(shí)顯示包的數(shù)據(jù)信息。如果還要顯示數(shù)據(jù)鏈路層的信息，就使用下面的命令：

./snort-vde

注意這些選項(xiàng)開關(guān)還可以分開寫或者任意結(jié)合在一塊。例如，下面的命令就和命令“./snort-rde”等價(jià)：

./snort-d-v–e

注意：如果計(jì)算機(jī)里有兩個(gè)以上的網(wǎng)卡，必須要指定具體的網(wǎng)卡端口，通過snort-W可以查看網(wǎng)卡端口列表。例如，要使用第2號網(wǎng)卡查看TCP/IP包頭信息，需要輸入“snort-i2-v”。圖5-18查看TCP/IP包頭信息

2．?dāng)?shù)據(jù)包記錄器模式

如果要把所有的包記錄到硬盤上，需要指定一個(gè)日志目錄，Snort就會(huì)自動(dòng)記錄數(shù)據(jù)包：

./snort-dev-l./log

當(dāng)然，./log目錄必須存在，否則Snort就會(huì)報(bào)告錯(cuò)誤信息并退出。當(dāng)Snort在這種模式下運(yùn)行時(shí)，它會(huì)記錄所有看到的包將其放到一個(gè)目錄中，這個(gè)目錄以數(shù)據(jù)包目的主機(jī)的IP地址命名，例如：。如果只指定了-l命令開關(guān)，而沒有設(shè)置目錄名，Snort有時(shí)會(huì)使用遠(yuǎn)程主機(jī)的IP地址作為目錄，有時(shí)會(huì)使用本地主機(jī)IP地址作為目錄名。為了只對本地網(wǎng)絡(luò)進(jìn)行日志記錄，需要給出本地網(wǎng)絡(luò)：

./snort-dev-l./log-h/24

這個(gè)命令告訴Snort把進(jìn)入C類網(wǎng)絡(luò)192.168.1的所有包的數(shù)據(jù)鏈路、TCP/IP以及應(yīng)用層的數(shù)據(jù)記錄到目錄./log中。如果網(wǎng)絡(luò)速度很快，或者想使日志更加緊湊以便以后的分析，那么應(yīng)該使用二進(jìn)制的日志文件格式。所謂的二進(jìn)制日志文件格式就是tcpdump程序使用的格式。使用下面的命令可以把所有的包記錄到一個(gè)單一的二進(jìn)制文件中：

./snort-l./log-b

注意：此處的命令行和上面的有很大的不同。我們無需指定本地網(wǎng)絡(luò)，因?yàn)樗械臇|西都被記錄到一個(gè)單一的文件中。也不必使用冗余模式或者使用-d、-e功能選項(xiàng)，因?yàn)閿?shù)據(jù)包中的所有內(nèi)容都會(huì)被記錄到日志文件中。用戶可以使用任何支持tcpdump二進(jìn)制格式的嗅探器程序從這個(gè)文件中讀出數(shù)據(jù)包，例如tcpdump或者Ethereal。使用-r功能開關(guān)也能使Snort讀出包的數(shù)據(jù)。Snort在所有運(yùn)行模式下都能夠處理tcpdump格式的文件。例如：如果想在嗅探器模式下把一個(gè)tcpdump格式的二進(jìn)制文件中的包打印到屏幕上，可以輸入下面的命令：

./snort-dv-rpacket.log

在日志包和入侵檢測模式下，通過BPF(BSDPacketFilter)接口可以使用許多方式維護(hù)日志文件中的數(shù)據(jù)。例如，只想從日志文件中提取ICMP包，只需要輸入下面的命令行：

./snort-dvrpacket.logicmp

3．網(wǎng)絡(luò)入侵檢測系統(tǒng)模式

Snort最重要的用途還是作為網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)，使用下面的命令行可以啟動(dòng)這種模式：

./snort-dev-l./log-h/24-csnort.conf

snort.conf是規(guī)則集文件。Snort會(huì)對每個(gè)包和規(guī)則集進(jìn)行匹配，發(fā)現(xiàn)這樣的包就采取相應(yīng)的行動(dòng)。如果你不指定輸出目錄，Snort就輸出到\var\log\snort目錄。

注意：如果想長期使用Snort作為自己的入侵檢測系統(tǒng)，最好不要使用-v選項(xiàng)。因?yàn)槭褂眠@個(gè)選項(xiàng)使Snort向屏幕上輸出一些信息，會(huì)大大降低Snort的處理速度，從而在向顯示器輸出的過程中丟棄一些包。此外，在絕大多數(shù)情況下，也沒有必要記錄數(shù)據(jù)鏈路層的包頭，所以-e選項(xiàng)也可以不用，即

./snort-d-h/24-l./log-csnort.conf

這是使用snort作為網(wǎng)絡(luò)入侵檢測系統(tǒng)最基本的形式，日志符合規(guī)則的包，以ASCII形式保存在有層次的目錄結(jié)構(gòu)中。5.4.3Snort的工作原理

Snort能運(yùn)行在多種操作系統(tǒng)的硬件平臺(tái)上，包括很多不同版本的UNIX系統(tǒng)和Windows系統(tǒng)，硬件平臺(tái)包括Intel、PA-RISC、PowerPC和Sparc。Snort必須有足夠的磁盤空間記錄數(shù)據(jù)。運(yùn)行Snort的機(jī)器最好有兩塊網(wǎng)卡，一塊設(shè)置為混雜模式用來監(jiān)聽網(wǎng)絡(luò)流量，另一塊用做網(wǎng)絡(luò)通信。Snort由Sniffer、預(yù)處理器、檢測引擎和報(bào)警輸出模塊等組成，如圖5-19所示。圖5-19Snort的體系結(jié)構(gòu)

(1)?Sniffer既可以是硬件，也可以是軟件，其功能是嗅探IP網(wǎng)絡(luò)的流量，并作協(xié)議分析，還可以顯示分析結(jié)果。

(2)預(yù)處理器主要負(fù)責(zé)包重組、協(xié)議解碼和異常檢測等。

(3)檢測引擎是Snort的核心模塊。當(dāng)數(shù)據(jù)包從預(yù)處理器送過來后，檢測引擎根據(jù)預(yù)先設(shè)置的規(guī)則檢查數(shù)據(jù)包，一旦發(fā)現(xiàn)數(shù)據(jù)包中的內(nèi)容和某條規(guī)則相匹配，就通知報(bào)警模塊。

(4)規(guī)則本身由規(guī)則頭和規(guī)則體組成，規(guī)則體描述了規(guī)則想要檢測的數(shù)據(jù)包中的內(nèi)容。在網(wǎng)絡(luò)攻擊方式多樣的復(fù)雜環(huán)境下，規(guī)則集的內(nèi)容直接決定了Snort的性能。

(5)報(bào)警/日志是根據(jù)入侵檢測結(jié)果產(chǎn)生的。5.4.4基于Snort的網(wǎng)絡(luò)安全體系結(jié)構(gòu)

可以把Snort作為數(shù)據(jù)包嗅探器、數(shù)據(jù)包記錄器或網(wǎng)絡(luò)IDS來使用。Snort能以文本和二進(jìn)制兩種格式記錄數(shù)據(jù)包，也能把二進(jìn)制文件轉(zhuǎn)換成人們能讀懂的格式。當(dāng)Snort作為NIDS時(shí)，需要部署在被監(jiān)視的網(wǎng)絡(luò)子網(wǎng)中，最好放在路由器的網(wǎng)絡(luò)接入口后面。

基于Snort的網(wǎng)絡(luò)安全體系結(jié)構(gòu)可分為以下三類：

(1)?Snort監(jiān)視路由器結(jié)構(gòu)，如圖5-20所示。在該結(jié)構(gòu)里，Snort作為IDS來使用，主要檢測進(jìn)出路由器的數(shù)據(jù)包，從而進(jìn)行特征分類。圖5-20Snort監(jiān)視路由器結(jié)構(gòu)

(2)使用防火墻和IDS結(jié)構(gòu)，如圖5-21所示。在該結(jié)構(gòu)中防火墻位于兩個(gè)IDS之間，Snort不僅檢測路由器，同時(shí)也對出入防火墻的數(shù)據(jù)進(jìn)行檢測，彌補(bǔ)了防火墻“防外不防內(nèi)”的安全隱患。

(3)防火墻的DMZ區(qū)使用Snort的網(wǎng)絡(luò)結(jié)構(gòu)圖，如圖5-22所示。該結(jié)構(gòu)是在前兩個(gè)結(jié)構(gòu)基礎(chǔ)之上增加了1個(gè)DMZ區(qū)，DMZ區(qū)放置FTP服務(wù)器、Web服務(wù)器以及應(yīng)用服務(wù)器。該體系結(jié)構(gòu)在加固內(nèi)網(wǎng)安全的同時(shí)維護(hù)服務(wù)器的安全。圖5-21使用防火墻和IDS結(jié)構(gòu)圖5-22防火墻的DMZ區(qū)使用Snort的網(wǎng)絡(luò)結(jié)構(gòu)圖5.4.5基于Snort的IDS安裝

前面介紹了Snort的工作原理以及基于它的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，下面詳細(xì)介紹如何在一臺(tái)主機(jī)上安裝Snort，即安裝一個(gè)主機(jī)IDS(HIDS)的過程，在本例中使用Snort2.0。

1．安裝需要的軟件包

(1)?Snort2.0.exe。

(2)?WinPcap_3_2_alpha1.exe(Windows版本的PCAP)。

(3)?idscenter11rc4.zip(Windows版本的基于Snort的圖形控制臺(tái))。

(4)?sam_20050206_bin.zip(UINX、Windows版本下的與Snort配合使用的實(shí)時(shí)分析軟件<使用java編寫>)。

(5)?mysql-5.0.16-win32.zip(Windows版本的Mysql數(shù)據(jù)庫服務(wù)器)。

(6)?ACID-0.9.6b23.tar.gz(基于PHP的入侵檢測數(shù)據(jù)庫分析控制臺(tái))。

(7)?adodb465.tgz(ADODB(ActiveDataObjectsDataBase)庫forPHP)。

(8)?apache_2055-win32.msi(Windows版本的apacheWeb服務(wù)器)。

(9)?php-5.1.1-Win32.zip(Windows版本的PHP腳本環(huán)境支持)。

(10)?jpgraph-2.0.tar.gz(PHP下面的圖形庫)。

(11)?phpMyAdmin-2.2.7-pl1-php3.zip(基于PHP的Mysql數(shù)據(jù)庫管理程序)。

2．開始環(huán)境安裝

1)安裝Mysql

(1)采用默認(rèn)安裝，Mysql的位置為c:\mysql5，之后設(shè)置Mysql為服務(wù)方式運(yùn)行，在命令提示符里面輸入：

c:\mysql5\bin>mysqld-nt-install

(2)啟動(dòng)Mysql服務(wù)。

方法1：在命令提示符里輸入：“netstartmysql”。

方法2：開始→設(shè)置→控制面板→管理工具→服務(wù)→啟動(dòng)“Mysql”服務(wù)。注意：

●?如果用戶的Windows版本不能啟動(dòng)Mysql，則新建my.ini文件，其內(nèi)容為：

[mysqld]

basedir=c:\mysql5

bind-address=

datadir=c:\mysql5\data

●?其中的basedir和datadir目錄是否指向了正確的目錄。

●?把my.ini拷貝至%systemroot%目錄下就可以了。

2)安裝Apache

安裝Apache時(shí)要注意，如果安裝了IIS并起用了webserver，由于IISwebserver的默認(rèn)監(jiān)聽端口是80，會(huì)和apachewebserver沖突，為避免沖突我們將Apache的監(jiān)聽端口配置成其他不常用端口，本例使用8027。

默認(rèn)安裝后在c:\apache\Apache2\conf文件夾下面找到httpd.conf文件修改Listen80為Listen8027。

安裝Apache后將它作為服務(wù)方式運(yùn)行，在命令提示符下輸入：

c:\apache\apache2\bin>apahce-kinstall

3)安裝php5

安裝php5并添加Apache對PHP的支持與PHP對Mysql的支持。

解壓文件php-5.1.1-Win32.zip到c:\php5。

拷貝php5ts.dll文件到%systemroot%\system32。

拷貝php.ini-dist至%systemroot%\php.ini。

修改php.ini

extension=php_gd2.dll

extension=php_mysql.dll同時(shí)拷貝c:\php\extension下的php_gd2.dll與php_mysql.dll至%systemroot%\，添加gd庫的支持，在c:\apache\Apache2

\conf\httpd.conf中添加

LoadModulephp5_module“c:\php5\php5apache2.dll”

AddTypeapplication/x-httpd-php.php

4)啟動(dòng)Apache服務(wù)

方法1：使用ApacheServiceMonitor(Apache自帶的啟動(dòng)工具)，如圖5-23所示。

方法2：開始→設(shè)置→控制面板→管理工具→服務(wù)→啟動(dòng)“Apache2”服務(wù)。

在c:\apache\Apache2\htdocs目錄下新建webinf.php，文件內(nèi)容為：

<?phpinfo();?>

使用http://localhost:8027/webinf.php

或是:8027

/webinf.php。圖5-23ApacheMoniter用戶將看到服務(wù)器的PHP、Mysql、Aapche等配置信息，細(xì)細(xì)閱讀，并根據(jù)該信息配置服務(wù)器。至于如何詳細(xì)配置PHP、Mysql、Apache請參考其他資料。

5)安裝Snort2.0.exe與winPCAP

兩者都采用默認(rèn)安裝。

6)數(shù)據(jù)庫配置

(1)配置Mysql帳號。為默認(rèn)root帳號添加口令：

c:\>cdmysql\bin

c:\>mysqlmysql

mysql>setpasswordfor“root”@“l(fā)ocalhost”=password(‘yourpassword’);

在安裝Mysql5時(shí)，程序會(huì)提示用戶是否設(shè)置root帳號和密碼，若經(jīng)默認(rèn)存在root帳號，就不用配置這步。刪除默認(rèn)的any@%帳號：

mysql>deletefromuserwhereuser=''andhost='%';

mysql>deletefromdbwhereuser=''andhost='%';

mysql>deletefromtables_privwhereuser=''andhost='%';

mysql>deletefromcolumns_privwhereuser=''andhost='%';刪除默認(rèn)的any@localhost帳號：

mysql>deletefromuserwhereuser=‘’andhost=‘localhost’;

mysql>deletefromdbwhereuser=‘’andhost=‘localhost’;

mysql>deletefromtables_privwhereuser=‘’andhost=‘localhost’;

mysql>deletefromcolumns_privwhereuser=''andhost='localhost';刪除默認(rèn)的root@%帳號：

mysql>deletefromuserwhereuser=‘root’andhost=‘%’;

mysql>deletefromdbwhereuser=‘root’and‘host’=‘%’;

mysql>deletefromtables_privwhereuser=‘root’andhost=‘%’;

mysql>deletefromcolumns_privwhereuser='root'andhost='%';這樣只允許root從localhost連接。更多的Mysql配置請參考其他資料。

建立snort運(yùn)行必須的snort庫和snort_archive庫：

mysql>createdatabasesnort;

mysql>createdatabasesnort_archive;

將c:\snort\contrib下的create_mysql文件拷貝到c:\mysql5\bin目錄下：

mysql>sourcecreate_mysql注意：Snort2.0.exe安裝后的c:\Snort\contrib\create_mysql文件不能正確的創(chuàng)建到Mysql的服務(wù)器中，使用上面的方法報(bào)告語法錯(cuò)誤。解決這個(gè)問題的辦法就是在/

上下載Linux版本的Snort2.4.3.tar.gz安裝軟件包，利用winRAR解壓后，找到./contrib/create_mysql文件，使用這個(gè)新版本的的create_mysql才能成功的創(chuàng)建數(shù)據(jù)文件到Mysql中。

(2)為Mysql建立Snort和acid帳號，使IDSCenter或acid能正常訪問Mysql中與Snort相關(guān)的數(shù)據(jù)文件。

mysql>grantusageon*.*to“acid”@“l(fā)ocalhost”identifiedby“acidtest”;

mysql>grantusageon*.*to"snort"@"localhost"identifiedby"snorttest";

(3)為acid用戶和Snort用戶分配相關(guān)權(quán)限：

mysql>grantselect,insert,update,delete,create,alteronsnort.*to“acid”@“l(fā)ocalhost”;

mysql>grantselect,insertonsnort.*to“snort”@“l(fā)ocalhost”;

mysql>grantselect,insert,update,delete,create,alteronsnort_archive.*to“acid”@“l(fā)ocalhost”;

(4)為acid用戶和Snort用戶設(shè)置密碼：

mysql>setpasswordfor“snort”@“l(fā)ocalhost”=password(‘yourpassword’);

mysql>setpasswordfor"acid"@"localhost"=password('yourpassword');

7)安裝adodb

解壓縮adodb456.zip至c:\php5\adodb目錄下。

8)安裝安裝jpgrapg庫

解壓縮jpgraph-2.0.tar.gz至c:\php5\jpgraph，修改jpgraph.php：

DEFINE("CACHE_DIR","/tmp/jpgraph_cache/");

9)安裝acid

解壓縮acid-0.9.6b23.tar.gz至c:\apache\apache2\htdocs\acid目錄下。

修改acid_conf.php文件：

$DBlib_path=“c:\php5\adodb”;

$alert_dbname=“snort”;

$alert_host=“l(fā)ocalhost”;

$alert_port=“3306”;

$alert_user=“acid”;

$alert_password=“yourpassword”;

/*ArchiveDBconnectionparameters*/$archive_dbname="snort_archive";

$archive_host="localhost";

$archive_port="3306";

$archive_user="acid";

$archive_password="yourpassword";

$ChartLib_path="c:\php5\jpgraph\src";

10)建立acid運(yùn)行必須的數(shù)據(jù)庫

http://localhost:8027/acid/acid_db_setup.php

或

:8027/acid/acid_db_setup.php

啟動(dòng)后按照提示操作即可。

11)簡單的Snort配置

(1)打開c:\snort\etc下的snort.conf文件(可以使用記事本或是寫字板打開)。

(2)配置：

varRULE_PATHc:\snort\rules(配置rules的絕對路徑)。

includec:\snort\etc\classification.config(classification.config的絕對路徑)。

includec:\snort\etc\reference.config(classification.config的絕對路徑)。

(3)配置Snort的輸出插件。

outputdatabase:alert,Mysql,host=localhostport=3306

dbname=snortuser=rootpassword=your_passwordsensor_name=nen