網(wǎng)絡(luò)安全與技術(shù)實(shí)驗(yàn)報(bào)告

1、網(wǎng)絡(luò)安全技術(shù)與應(yīng)用課程實(shí)驗(yàn) 專業(yè)班級： 計(jì)算機(jī)11-3班 學(xué) 號： 2011101592 學(xué)生姓名： 孟益 指導(dǎo)教師： 張輝 實(shí)驗(yàn)一 常用網(wǎng)絡(luò)安全命令一、命令幫助與窗口文本復(fù)制1. 顯示 MS-DOS 命令幫助（1）打開命令提示符窗口；（2）在命令提示符下，鍵入想獲得幫助的命令名，后接 /?，例如，鍵入ping/?可獲得ping命令的幫助信息。2. 從命令提示符窗口中復(fù)制文本（1）右鍵單擊命令提示符窗口的標(biāo)題欄，指向“編輯”，然后單擊“標(biāo)記”； （2）單擊要復(fù)制文本的起點(diǎn)；（3）按住 SHIFT 鍵，然后單擊要復(fù)制文本的結(jié)尾（或者通過單擊并拖動(dòng)光標(biāo)來選擇文本）；（4）右鍵單擊標(biāo)題欄，指向“編輯

2、”，然后單擊“復(fù)制”；（5）將光標(biāo)放在要插入文本的位置，在基于 Windows 的程序中，單擊“編輯”菜單，然后單擊“粘貼”。二、實(shí)驗(yàn)內(nèi)容1. ipconfig命令主要功能：顯示本地主機(jī)IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、MAC地址等。例1：C: ipconfig/all2. ping命令主要功能：目標(biāo)主機(jī)的可達(dá)性、名稱、IP地址、路由跳數(shù)、往返時(shí)間等。例2：C:ping or target_name3. tracert命令主要功能：路由跟蹤、節(jié)點(diǎn)IP地址、節(jié)點(diǎn)時(shí)延、域名信息等。例3：C:tracert or 4. netstat命令主要功能：顯示協(xié)議統(tǒng)

3、計(jì)信息和當(dāng)前TCP/IP網(wǎng)絡(luò)連接。例4：C:netstat a；C:netstat n；5. nbtstat命令主要功能：顯示使用NBT （NetBIOS over TCP/IP）的協(xié)議統(tǒng)計(jì)和當(dāng)前TCP/IP網(wǎng)絡(luò)連接信息，可獲得遠(yuǎn)程或本機(jī)的組名和機(jī)器名。例5：C:nbtstat a ；C:nbtstat n6. net命令主要功能：網(wǎng)絡(luò)查詢、在線主機(jī)、共享資源、磁盤映射、開啟服務(wù)、關(guān)閉服務(wù)、發(fā)送消息、建立用戶等。net命令功能十分強(qiáng)大，輸入net help command可獲得command的具體功能及使用方法。例5：C: net view；C: net view tar

4、get_name；net send /domain: 計(jì)算機(jī)名（*為域內(nèi)廣播）消息三、實(shí)驗(yàn)要求由于常用網(wǎng)絡(luò)安全命令功能強(qiáng)大、參數(shù)眾多，在有限時(shí)間內(nèi)不可能對所有命令參數(shù)進(jìn)行實(shí)驗(yàn)。但要求每個(gè)命令至少選擇兩個(gè)參數(shù)進(jìn)行實(shí)驗(yàn)，命令參數(shù)可以任意選擇。命令執(zhí)行后將執(zhí)行結(jié)果復(fù)制到實(shí)驗(yàn)報(bào)告表格中，并對命令執(zhí)行結(jié)果進(jìn)行解釋。四、實(shí)驗(yàn)報(bào)告文檔要求常用網(wǎng)絡(luò)安全命令實(shí)驗(yàn)報(bào)告要求提交紙質(zhì)打印文檔，實(shí)驗(yàn)報(bào)告以班為單位提交給實(shí)驗(yàn)指導(dǎo)教師。實(shí)驗(yàn)二 端口掃描與安全審計(jì)一、Nmap簡介1. 基本功能與目標(biāo)端口狀態(tài)說明Nmap（Network Mapper）是開放源碼的網(wǎng)絡(luò)探測和端口掃描工具，具有主機(jī)發(fā)現(xiàn)、端口掃描、操作系統(tǒng)檢測、服

5、務(wù)和版本檢測、逃避放火墻及入侵檢測系統(tǒng)等功能?？蓮木W(wǎng)站下載不同操作系統(tǒng)版本的源代碼和可執(zhí)行程序，而且提供了詳細(xì)的中文使用手冊（）。Nmap以表格形式輸出掃描目標(biāo)的端口號、協(xié)議、服務(wù)名稱和狀態(tài)，端口狀態(tài)分別用開放（open）、關(guān)閉（closed）、已過濾（filtered）和未過濾（unfiltered）表示。其中“開放”表示應(yīng)用程序正在該端口監(jiān)聽連接或分組；“關(guān)閉”表示沒有應(yīng)用程序在該端口監(jiān)聽；“已過濾”表示防火墻或其他過濾器封鎖了該端口，Nmap無法知道該端口的狀態(tài)；“未過濾”表示端口對Nmap探測有響應(yīng)，但Nmap不能確定端口是開放還是關(guān)閉。Nmap有時(shí)也可能輸出open|filtered

6、或closed|filtered的狀態(tài)組合，表示不能正確識(shí)別端口處于其中那一個(gè)狀態(tài)。2. 命令格式與幫助Nmap命令格式：nmap Scan Type . Options target specification Nmap命令幫助：C:nmap（不帶命令參數(shù)運(yùn)行nmap）3. 常用掃描類型（1）-sT (TCP connect() 端口掃描)；（2）-sS (TCP SYN 同步掃描)；（3）-sU (UDP端口掃描)；（4）-sN (Null掃描 ) ；（5）-sF 掃描 (FIN)（6）-sP（Ping掃描）；（7）-sX (Xmas掃描 )；（8）-sA (TCP ACK掃描，探測端口是

7、否被過濾，open和closed端口返回RST報(bào)文，表示unfiltered，否則為filtered） （9）-sM (TCP Maimon掃描， Maimon發(fā)現(xiàn)BSD系統(tǒng)探測報(bào)文FIN-ACK，響應(yīng)RST ) ；（10）-scanflags (定制TCP標(biāo)志位URG， ACK，PSH， RST，SYN，和FIN的任何組合設(shè)計(jì)掃描探測報(bào)文 ) （11）-sW (TCP窗口掃描) ；-sI (Idlescan盲掃描) ；-sO (IP協(xié)議掃描) 等，詳細(xì)內(nèi)容參考Nmap手冊；（12）未指定掃描類型，默認(rèn)掃描類型為TCP SYN 同步掃描。4. 命令參數(shù)選項(xiàng)（1）主機(jī)發(fā)現(xiàn)參數(shù)（也稱ping掃描，

8、但與ping 命令發(fā)送ICMP不同）-sL (列表掃描) 、-sP (Ping掃描) 、-P0 (無ping) 、-PS portlist (TCP SYN Ping) 、-PA portlist (TCP ACK Ping) 、-PU portlist (UDP Ping) 、-PR (ARP Ping)等。（2）端口說明參數(shù)-p僅掃描指定端口。例如，-p22;-p1-65535;-pU:53,111,137,T:21-25,80,139,8080（其中U、T分別指定UDP和TCP端口）（3）服務(wù)和版本探測參數(shù)-sV (版本探測) 、-sR (RPC掃描) （4）操作系統(tǒng)探測參數(shù)nmap-o

9、s-fingerprints文件包含了 1500多個(gè)已知操作系統(tǒng)的指紋信息。-O (操作系統(tǒng)檢測) 、-A（同時(shí)啟用操作系統(tǒng)和服務(wù)版本檢測）（5）輸出格式參數(shù)Nmap具有交互、標(biāo)準(zhǔn)、XML等5種不同輸出格式，默認(rèn)為交互式輸出。-v (詳細(xì)輸出) 5. 目標(biāo)地址規(guī)范Nmap支持多種目標(biāo)地址規(guī)范，包括單個(gè)目標(biāo)IP地址、主機(jī)名稱和網(wǎng)絡(luò)地址。例如：（1）nmap -sP ，對目標(biāo)主機(jī) ping掃描；（2）nmap -sT ，對目標(biāo)主機(jī)進(jìn)行TCP connect()掃描；（3）nmap -v 192.

10、168.10.0/24，掃描至55之間的256臺(tái)目標(biāo)主機(jī)，其中輸出參數(shù)-v表示顯示詳細(xì)信息verbose；（4）nmap -v 10.0.0-255.1-254，掃描至54之間的所有IP地址；（5）nmap -v 0-255.0-255.13.37，掃描Internet所有以13.37結(jié)束的IP地址；（6）nmap -v -iR 1000 -P0 -p 80，隨機(jī)選擇1000個(gè)目標(biāo)主機(jī)掃描，其中-P0 表示無ping掃描。隨機(jī)地址掃描格式為-iR ，其中-iR表示隨機(jī)地址掃描，num hosts表示隨機(jī)地址數(shù)。

11、二、實(shí)驗(yàn)內(nèi)容1. 安裝nmap-4.01-setup.exe軟件注意事項(xiàng)：采用nmap-4.01-setup.exe時(shí)將自動(dòng)安裝WinPcap分組捕獲庫，采用解壓縮nmap-4.01-win32.zip時(shí)需事先安裝WinPcap 分組捕獲庫。2. 局域網(wǎng)主機(jī)發(fā)現(xiàn)列表掃描：nmap -sL 局域網(wǎng)地址3. 掃描目標(biāo)主機(jī)端口連續(xù)掃描目標(biāo)主機(jī)端口：nmap r目標(biāo)主機(jī)IP地址或名稱4. 服務(wù)和版本檢測目標(biāo)主機(jī)服務(wù)和版本檢測：nmap -sV目標(biāo)主機(jī)IP地址或名稱5. 操作系統(tǒng)檢測目標(biāo)主機(jī)操作系統(tǒng)檢測：nmap -O目標(biāo)主機(jī)IP地址或名稱6. 端口掃描組合應(yīng)用nmap -v -A scanme.nma

12、nmap -sP -v /24 4/33 nmap -v -iR 10000 -P0 -p 80圖2.1：nmap sV 30圖2.2：nmap v -iR10 P0 p80 實(shí)驗(yàn)三 網(wǎng)絡(luò)入侵跟蹤與分析一、Ethereal網(wǎng)絡(luò)協(xié)議分析軟件1. 簡介Ethereal是開放源碼的網(wǎng)絡(luò)分組捕獲與協(xié)議分析軟件，具有網(wǎng)絡(luò)分組捕獲及分組細(xì)節(jié)顯示功能。Ethereal不僅可協(xié)助網(wǎng)絡(luò)管理員、安全工程師、軟件開發(fā)人員解決各自所關(guān)心的網(wǎng)絡(luò)管理、安全威脅和協(xié)議調(diào)試等問題，也是深入學(xué)習(xí)網(wǎng)絡(luò)協(xié)議的優(yōu)秀工具?？梢詮木W(wǎng)站下載不同操作系統(tǒng)版本的源代

13、碼和可執(zhí)行程序，而且提供了不同文本格式的用戶使用手冊Ethereal Users Guide，Ethereal-0.10.14版本支持725種網(wǎng)絡(luò)協(xié)議。2. 主界面Ethereal主界面采用分組跟蹤列表框、協(xié)議層次框和原始分組框的形式，顯示捕獲分組的詳細(xì)協(xié)議信息。分組跟蹤列表框按照分組捕獲的先后時(shí)間順序顯示分組跟蹤記錄號、捕獲時(shí)間、源IP地址、目標(biāo)IP地址、協(xié)議等信息。選中分組跟蹤列表框中的一個(gè)分組后，協(xié)議層次框按照TCP/IP協(xié)議層次結(jié)構(gòu)顯示指定分組的物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層協(xié)議的詳細(xì)信息；原始分組框分別以十六進(jìn)制和ASCII碼形式顯示指定分組的字節(jié)數(shù)據(jù)。3. 捕獲菜單簡要

14、說明（Capture）啟動(dòng)Ethereal，用Capture Options菜單命令設(shè)定分組捕獲參數(shù)。（1）捕獲框Capture frame（a）Interfaces： 在下拉菜單中選擇捕獲分組的網(wǎng)絡(luò)接口；（b）IP address：顯示設(shè)定網(wǎng)絡(luò)接口的IP地址；（c）Link-layer header type：在下拉菜單中選擇解析鏈路層首部類型的標(biāo)準(zhǔn)，除非有特殊要求，保持默認(rèn)值Ethernet即可；（d）Buffer size：輸入捕獲分組時(shí)使用的操作系統(tǒng)緩沖區(qū)大小，Buffer size 只適用于Windows操作系統(tǒng)平臺(tái)；（e）Capture packets in promiscuous

15、 mode：混雜模式可以捕獲共享網(wǎng)絡(luò)上的所有分組；（f）Limit each packet to n bytes：將分組限制在n字節(jié)之內(nèi)，如果不打算捕獲分組封裝的數(shù)據(jù)，輸入分組首部字節(jié)數(shù)；（g）Capture Filter：分組捕獲過濾器，指定分組捕獲過濾規(guī)則，Ethereal只捕獲滿足過濾規(guī)則的分組。單擊Capture Filter按鈕，Ethereal將彈出捕獲規(guī)則對話框，方便用戶選擇或生成分組捕獲過濾規(guī)則。（2）捕獲文件框Capture File(s) frame（a）Capture Files：指定保存分組文件的名稱與路徑，單擊Browse按鈕可以選擇保存分組文件的路徑；（b）Use

16、multiple files：將捕獲分組保存到多個(gè)文件；（c）Next ：達(dá)到規(guī)定的byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s)后，切換到下一個(gè)文件，僅在Use multiple files下有效；（d）Next ：達(dá)到規(guī)定的second(s)/minutes(s)/hours(s)/days(s)后，切換到下一個(gè)文件，僅在Use multiple files下有效；（e）Ring buffer with：使用環(huán)型緩沖，將分組捕獲到多個(gè)文件；僅在Use multiple files下有效；（f）Stop capture after：達(dá)到規(guī)定的n個(gè)文件之

17、后停止捕獲，僅在Use multiple files下有效；（g）Stop capture after：n個(gè)文件之后停止捕獲，僅在Use multiple files下有效；（3）停止捕獲框Stop Capture frame（a）after n packet(s)：達(dá)到指定的分組數(shù)目后，停止捕獲；（b）after n megabytes(s)：達(dá)到指定的byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s)容量后，停止捕獲；（c）after n minute(s)：達(dá)到規(guī)定的second(s)/minutes(s)/hours(s)/days(s)時(shí)間后，停止

18、捕獲；（4）顯示選擇框Display Options frame（a）Update list of packets in real time：實(shí)時(shí)更新顯示分組列表，否則，在停止捕獲以前，Ethereal不顯示任何分組；（b）Automatic scrolling in live capture：自動(dòng)滾動(dòng)顯示新捕獲的分組；（c）Hide capture info dialog：隱藏捕獲信息對話框；（5）名稱解析對話框Name Resolution frame（a）Enable MAC name resolution：解析MAC地址廠商名稱；（b）Enable network name resol

19、ution：解析網(wǎng)絡(luò)地址的域名或主機(jī)名稱；（c）Enable transport name resolution：將應(yīng)用協(xié)議翻譯成端口號；（6）啟動(dòng)分組捕獲如果對捕獲選項(xiàng)（Capture Options）對話框中的捕獲參數(shù)設(shè)定不熟悉，在多數(shù)情況下可以使用Ethereal的默認(rèn)值。單擊OK按鈕啟動(dòng)分組捕獲，單擊Cancel 按鈕取消分組捕獲。4. 統(tǒng)計(jì)菜單簡要說明（Statistics）（1）匯總統(tǒng)計(jì)Summary匯總統(tǒng)計(jì)窗口顯示有關(guān)文件（File）、時(shí)間（Time）、捕獲（Capture）、流量（Traffic）方面的一般統(tǒng)計(jì)信息。（a）File：捕獲文件的一般信息；（b）Time：捕獲第一個(gè)

20、分組、最后一個(gè)分組以及兩者之間的時(shí)間；（c）Capture：捕獲分組時(shí)的接口、丟失分組和捕獲過濾器信息，僅在網(wǎng)絡(luò)捕獲分組時(shí)有效；（d）Traffic：網(wǎng)絡(luò)流量統(tǒng)計(jì)信息；（2）協(xié)議層次統(tǒng)計(jì)Protocol Hierarchy協(xié)議層次統(tǒng)計(jì)窗口以樹狀結(jié)構(gòu)顯示有關(guān)協(xié)議名稱（Protocol）、協(xié)議分組百分比（% Packets）、協(xié)議分組數(shù)（Packets）、字節(jié)數(shù)（Bytes）、帶寬（MBit/s）等方面的統(tǒng)計(jì)信息。（3）會(huì)話統(tǒng)計(jì)Conversations網(wǎng)絡(luò)會(huì)話泛指兩個(gè)特定端點(diǎn)（MAC address、IP address、TCP ports、UDP ports）之間的流量，例如，IP會(huì)話就是兩個(gè)

21、IP地址之間的網(wǎng)絡(luò)流量。會(huì)話統(tǒng)計(jì)窗口以協(xié)議選項(xiàng)卡方式顯示網(wǎng)絡(luò)會(huì)話統(tǒng)計(jì)信息。（4）端點(diǎn)統(tǒng)計(jì)Endpoints端點(diǎn)統(tǒng)計(jì)窗口以協(xié)議選項(xiàng)卡方式顯示捕獲端點(diǎn)的統(tǒng)計(jì)信息。例如，Ethernet:5表示捕獲了5個(gè)MAC 地址端點(diǎn)。（5）IO圖示統(tǒng)計(jì)IO GraphsIO圖示統(tǒng)計(jì)窗口按照用戶定義的色彩顯示捕獲分組的統(tǒng)計(jì)信息。二、實(shí)驗(yàn)內(nèi)容1. ethereal-setup-0.10.14.exe軟件安裝注意事項(xiàng)：ethereal-setup-0.10.14.exe將自動(dòng)安裝WinPcap分組捕獲庫，不必事先安裝WinPcap 分組捕獲庫。2. 沖擊波蠕蟲病毒攻擊分析（1）沖擊波蠕蟲病毒攻擊原理沖擊波蠕蟲病毒W(wǎng)3

22、2.Blaster.Worm利用Windows 2000/XP/2003等操作系統(tǒng)中分布式組件對象模型DCOM（Distributed Component Object Model）和遠(yuǎn)程過程調(diào)用 (RPC（Remote Procedure Call）通信協(xié)議漏洞進(jìn)行攻擊，感染沖擊波蠕蟲病毒的計(jì)算機(jī)隨機(jī)生成多個(gè)目標(biāo)IP地址掃描TCP/135（epmap）、UDP/135（epmap）、TCP/139、UDP/139、TCP/445、UDP/445、TCP/593、UDP/593端口尋找存在DCOM RPC漏洞的系統(tǒng)。感染沖擊波蠕蟲病毒的計(jì)算機(jī)具有系統(tǒng)無故重啟、網(wǎng)絡(luò)速度變慢、Office軟件異常

23、等癥狀，有時(shí)還對Windows自動(dòng)升級（）進(jìn)行拒絕服務(wù)攻擊，防止感染主機(jī)獲得DCOM RPC漏洞補(bǔ)丁。根據(jù)沖擊波蠕蟲病毒攻擊原理可知，計(jì)算機(jī)感染沖擊波蠕蟲病毒需要具備三個(gè)基本條件。一是存在隨機(jī)生成IP地址的主機(jī)；二是Windows 2000/XP/2003操作系統(tǒng)開放了RPC調(diào)用的端口服務(wù)；三是操作系統(tǒng)存在沖擊波蠕蟲病毒可以利用的DCOM RPC漏洞。（2）沖擊波蠕蟲病毒攻擊過程分析用Ethereal打開沖擊波蠕蟲病毒捕獲文件Win2000-blaster.cap，通過協(xié)議分析回答下列問題（僅限于所捕獲的沖擊波蠕蟲病毒）：（a）感染主機(jī)每次隨機(jī)生成多少個(gè)目標(biāo)IP地址？（b）掃描多個(gè)端口還是一個(gè)

24、端口？如果掃描一個(gè)端口，是那一個(gè)RPC調(diào)用端口？（c）分別計(jì)算第二組與第一組掃描、第三組與第二組掃描之間的間隔時(shí)間，掃描間隔時(shí)間有規(guī)律嗎？（d）共發(fā)送了多少個(gè)試探攻擊分組？（提示：端點(diǎn)統(tǒng)計(jì)或規(guī)則tcp.flags.syn=1顯示SYN=1的分組）（e）有試探攻擊分組攻擊成功嗎？如攻擊成功，請給出感染主機(jī)的IP地址。如沒有攻擊成功的實(shí)例，說明為什么沒有攻擊成功？（提示：TCP報(bào)文段SYN=1表示連接請求，SYN=1和ACK=1表示端口在監(jiān)聽，RST=1表示拒絕連接請求。使用顯示過濾規(guī)則tcp.flags.syn=1&tcp.flags.ack=1確定是否有端口監(jiān)聽。）三、實(shí)驗(yàn)要求由于Ethern

25、et分組捕獲與協(xié)議分析功能強(qiáng)大，在一個(gè)實(shí)驗(yàn)單元時(shí)間內(nèi)不可能熟練掌握Ethernet的使用。但至少應(yīng)掌握捕獲菜單和統(tǒng)計(jì)菜單的使用，也可以選擇其他菜單命令進(jìn)行實(shí)驗(yàn)。練習(xí)使用Ethernet分組捕獲與協(xié)議分析的顯示結(jié)果不要復(fù)制到實(shí)驗(yàn)報(bào)告，實(shí)驗(yàn)報(bào)告只回答沖擊波蠕蟲病毒攻擊過程分析中提出的問題及問題解答過程。四、實(shí)驗(yàn)記錄：通過Ethereal協(xié)議分析回答下列問題（僅限于所捕獲的Win2000-blaster.cap文件）：（a）感染主機(jī)每次隨機(jī)生成多少個(gè)目標(biāo)IP地址？20（b）掃描多個(gè)端口還是一個(gè)端口？如果掃描一個(gè)端口，是那一個(gè)RPC調(diào)用端口？Filter: ip.src = 9

26、1 and tcp.dstport = 135 （見（d）：135 2002（c）分別計(jì)算第二組與第一組掃描、第三組與第二組掃描之間的間隔時(shí)間，掃描間隔時(shí)間有規(guī)律嗎？第二組與第一組掃描間隔時(shí)間：678.168ms第三組與第二組掃描間隔時(shí)間：528.105ms掃描間隔時(shí)間有規(guī)律。（d）共發(fā)送了多少個(gè)試探攻擊分組？Filter: ip.src = 91 2006 Filter: ip.src = 91 and tcp.dstport = 135或tcp.flags.syn=1 2002Filter: ip.src = 91 a

27、nd tcp.dstport != 135 4 不是攻擊分組 6008（e）有試探攻擊分組攻擊成功嗎？如攻擊成功，請給出感染主機(jī)的IP地址。如沒有攻擊成功的實(shí)例，說明為什么沒有攻擊成功？ 無攻擊成功。因?yàn)椋篎ilter：tcp.flags.syn=1&tcp.flags.ack=1 Display: 0 被攻擊主機(jī)無正確響應(yīng)。實(shí)驗(yàn)四 網(wǎng)絡(luò)入侵檢測系統(tǒng)一、網(wǎng)絡(luò)入侵檢測系統(tǒng)Snort軟件1. 簡介Snort是當(dāng)前國際上非常著名的基于誤用檢測的網(wǎng)絡(luò)入侵檢測系統(tǒng)開放源碼軟件，采用規(guī)則匹配機(jī)制檢測網(wǎng)絡(luò)分組是否違反了事先配置的安全策略。安裝在一臺(tái)主機(jī)上就可以監(jiān)測整個(gè)共享網(wǎng)段，一旦發(fā)現(xiàn)入侵和探測行為，具有將

28、報(bào)警信息發(fā)送到系統(tǒng)日志、報(bào)警文件或控制臺(tái)屏幕等多種實(shí)時(shí)報(bào)警方式。Snort不僅能夠檢測各種網(wǎng)絡(luò)攻擊，還具有網(wǎng)絡(luò)分組采集、分析和日志記錄功能。相對于昂貴與龐大的商用產(chǎn)品而言，Snort具有系統(tǒng)規(guī)模小、容易安裝、容易配置、規(guī)則靈活和插件（plug-in）擴(kuò)展等諸多優(yōu)點(diǎn)。源代碼和不同操作系統(tǒng)版本的可執(zhí)行程序可從 網(wǎng)站免費(fèi)下載。2. Snort系統(tǒng)組成Snort主要由分組協(xié)議分析器、入侵檢測引擎、日志記錄和報(bào)警模塊組成。協(xié)議分析器的任務(wù)就是對協(xié)議棧上的分組進(jìn)行協(xié)議解析，以便提交給入侵檢測引擎進(jìn)行規(guī)則匹配。入侵檢測引擎根據(jù)規(guī)則文件匹配分組特征，當(dāng)分組特征滿足檢測規(guī)則時(shí)，觸發(fā)指定的響應(yīng)操作。日志記錄將解析

29、后的分組以文本或Tcpdump二進(jìn)制格式記錄到日志文件，文本格式便于分組分析，二進(jìn)制格式提高記錄速度。報(bào)警信息可以發(fā)送到系統(tǒng)日志；也可以采用文本或Tcpdump二進(jìn)制格式發(fā)送到報(bào)警文件；也容許選擇關(guān)閉報(bào)警操作。記錄到報(bào)警文件的報(bào)警信息有完全和快速兩種方式，完全報(bào)警記錄分組首部所有字段信息和報(bào)警信息，而快速報(bào)警只記錄分組首部部分字段信息。3. Win32 snort-2_0_0.exe安裝雙擊snort-2_0_0.exe在安裝目錄下將自動(dòng)生成snort文件夾，其中包含bin、etc、log、rules、doc、contrib文件夾和snort-2_0_0.exe卸載程序Uninstall.ex

30、e。bin文件夾保存snort.exe可執(zhí)行程序；snort配置文件snort.conf位于etc；日志文件和報(bào)警文件位于log；各種類型的規(guī)則檢測文件位于rules；snort使用手冊位于doc；contrib為snort支持者提供的各種輔助應(yīng)用文件。注意事項(xiàng)：在安裝snort-2_0_0.exe之前，應(yīng)事先安裝WinPcap 分組捕獲庫。4. Snort配置在使用snort之前，需要根據(jù)保護(hù)網(wǎng)絡(luò)環(huán)境和安全策略對snort進(jìn)行配置，主要包括網(wǎng)絡(luò)變量、預(yù)處理器、輸出插件及規(guī)則集的配置，位于etc的snort配置文件snort.conf可用任意文本編輯器打開。除內(nèi)部網(wǎng)絡(luò)環(huán)境變量HOME_NET之

31、外，在大多數(shù)情況下，可以使用snort.conf的默認(rèn)配置。用文本編輯器打開Snortetcsnort.conf文件，在設(shè)置網(wǎng)絡(luò)變量步驟（Step #1: Set the network variables:）注釋下找到“var HOME_NET any”，將any更換成自己機(jī)器所在子網(wǎng)的CIDR地址。例如，假設(shè)本機(jī)IP地址為23，將“var HOME_NET any” 更換成“var HOME_NET /24”或特定的本機(jī)地址“var HOME_NET 23/32”。假設(shè)在C盤根目錄下執(zhí)行Snort命令，找到規(guī)則文件路徑變量“

32、var RULE_PATH rules”，將其修改為var RULE_PATH C:snortrules；找到“include classification.config”，將classification.config文件的路徑修改為 include C:snortetcclassification.config；找到“include reference.config”，將reference.config文件的路徑修改為 include C:snortetcreference.config。5. Snort命令格式與幫助Snort命令格式：C:snortbinsnort -Options Sn

33、ort命令幫助：C: snortbinsnort -?特別注意：Snort在Windows操作系統(tǒng)下要求給出命令執(zhí)行的完整路徑。6. Snort主要命令參數(shù)選項(xiàng)（1）-A alert：設(shè)置snort快速（fast）、完全（full）、控制臺(tái)（console）或無（none）報(bào)警模式，alert取值full、fast、console或none其中之一。-A fast：快速報(bào)警模式僅記錄時(shí)間戳（timestamp）、報(bào)警信息（alert message）、源IP地址、目標(biāo)IP地址、源端口和目標(biāo)端口；-A full：完全報(bào)警是snort默認(rèn)的報(bào)警模式，記錄分組或報(bào)文首部所有字段信息和報(bào)警信息；-A

34、console：控制臺(tái)報(bào)警模式將分組或報(bào)文首部和報(bào)警信息發(fā)送到控制臺(tái)屏幕；-A none：關(guān)閉報(bào)警。（2）-c snort.conf：使用snort配置文件snort.conf；（3）-b：采用Tcpdump二進(jìn)制格式將分組記錄到日志文件；（4）-d：顯示應(yīng)用數(shù)據(jù)；（5）-e：顯示數(shù)據(jù)鏈路層的首部信息；（6）-h ：指定本地網(wǎng)絡(luò)（Home Network）IP地址；（7）-l ：將日志記錄到指定的目錄directory，默認(rèn)日志目錄是Snortlog；（8）-i ：在指定的網(wǎng)絡(luò)接口上監(jiān)聽；（9）-r ：從Tcpdump文件中讀取分組處理，而不監(jiān)測網(wǎng)絡(luò)分組；（10）-s：將報(bào)警信息發(fā)送到系統(tǒng)日志

35、；（11）-v：詳細(xì)輸出（Be verbose）；（12）-V：顯示Snort版本號；（13）-W：列出本機(jī)可用的網(wǎng)絡(luò)接口（僅在Windows下有效）；（14）-w：顯示IEEE802.11 WLAN的管理幀與控制幀；（15）-?：顯示snort 的簡要命令幫助。7. Snort入侵檢測規(guī)則位于rules目錄中的規(guī)則文件是Snort檢測系統(tǒng)的入侵模式庫，可以使用任意文本編輯器對規(guī)則文件進(jìn)行修改。檢測規(guī)則由規(guī)則頭（Rule Header）和規(guī)則選項(xiàng)（Rule Option）組成，規(guī)則頭定義了規(guī)則匹配行為、協(xié)議類型、源IP地址、源端口、目標(biāo)IP地址和目標(biāo)端口等信息，規(guī)則選項(xiàng)定義了入侵特征和報(bào)警信息

36、的內(nèi)容。Snort檢測規(guī)則的格式與語法參看計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與應(yīng)用教材第196頁。二、實(shí)驗(yàn)內(nèi)容1. snort-2_0_0.exe的安裝與配置本實(shí)驗(yàn)除安裝snort-2_0_0.exe之外，還要求安裝nmap-4.01-setup.exe網(wǎng)絡(luò)探測和端口掃描軟件。Nmap用于掃描實(shí)驗(yàn)合作伙伴的主機(jī)，Snort用于檢測實(shí)驗(yàn)合作伙伴對本機(jī)的攻擊。用寫字板打開Snortetcsnort.conf文件對Snort進(jìn)行配置。將var HOME_NET any中的any配置成本機(jī)所在子網(wǎng)的CIDR地址；將規(guī)則路徑變量RULE_PATH定義為C:snortrules；將分類配置文件路徑修改為 include

37、C:snortetcclassification.config；將引用配置文件路徑修改為include C:snortetcreference.config。其余使用Snort配置文件中的默認(rèn)設(shè)置，這里假設(shè)所有Snort命令都在C盤根目錄下執(zhí)行。2. Snort報(bào)警與日志功能測試用寫字板打開C:Snortruleslocal.rules規(guī)則文件，添加Snort報(bào)警與日志功能測試規(guī)則：alert tcp any any - any any (msg:TCP traffic;)。執(zhí)行命令：C:snortbinsnort -c snortetcsnort.conf -l snortlog -i 1如果在C:Snortlog目錄中生成alert.ids報(bào)警文件和IP地址命名的日志文件，表明Snort配置正確，能夠?qū)嵤┤肭謭?bào)警和日志記錄功能。特別提醒：測試Snort報(bào)警與日志功能以后，一定要?jiǎng)h除掉添加的測試規(guī)則或在該規(guī)則前加#號變?yōu)樽⑨?！否則，隨后的實(shí)驗(yàn)不能獲得正確結(jié)果。3. 分組協(xié)議分析（1）TCP/UDP/ICMP/IP首部信息輸出到屏幕上：C: snortbinsnort v -i n；n=1/2/3/4/5（2）TCP/UDP/ICMP/IP首部信息和應(yīng)用數(shù)據(jù)輸出到屏幕上：C: snortbinsnort -vd