版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
網(wǎng)絡(luò)安全實驗Snort網(wǎng)絡(luò)入
侵檢測實驗(總6頁)-CAL-FENGHAI.-(YICAI)-CompanyOnel-CAL-本頁僅作為文檔封面,使用請直接刪除
遵義師范學(xué)院計算機與信息科學(xué)學(xué)院實驗名稱Snort網(wǎng)絡(luò)入侵檢測;實驗類型操作實驗學(xué)時實驗指導(dǎo)教師4實驗名稱Snort網(wǎng)絡(luò)入侵檢測;實驗類型操作實驗學(xué)時實驗指導(dǎo)教師4實驗時間(2013—2014學(xué)年第1學(xué)期)課程名稱:網(wǎng)絡(luò)安全實驗班級:學(xué)號:姓名:任課教師:計算機與信息科學(xué)學(xué)院實驗報告-、實驗?zāi)康呐c要求(1)進一步學(xué)習(xí)網(wǎng)絡(luò)入侵檢測原理與技術(shù)。(2)理解Snort網(wǎng)絡(luò)入侵檢測基本原理。(3)學(xué)習(xí)和掌握Snort網(wǎng)絡(luò)入侵檢測系統(tǒng)的安裝、配置與操作。(4)學(xué)習(xí)和掌握如何利用Snort進行網(wǎng)絡(luò)入侵檢測應(yīng)用。二、實驗儀器和器材惠普pavilion-G4,corel-i3-2310,內(nèi)存:4G,虛擬機軟件vmware9.0,windowsserver2003,Snort_2_9_2_2_Installer,。Acid,Adodb,Jpgraph,Mysql,PHP,WINPCAP,SNORTRULESo三、實驗原理、內(nèi)容及步驟(一)、實驗原理:入侵檢測基本原理:入侵檢測(IntrusionDetection)是對入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息,檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測。入侵檢測通過執(zhí)行以下任務(wù)來實現(xiàn):監(jiān)視、分析用戶及系統(tǒng)活動;系統(tǒng)構(gòu)造和弱點的審計;識別反映已知進攻的活動模式并向相關(guān)人士報警;異常行為模式的統(tǒng)計分析;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;操作系統(tǒng)的審計跟蹤管理,并識別用戶違反安全策略的行為。入侵檢測是防火墻的合理補充,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執(zhí)行以下任務(wù)來實現(xiàn):-監(jiān)視、分析用戶及系統(tǒng)活動-系統(tǒng)構(gòu)造和弱點的審計-識別反映已知進攻的活動模式并向相關(guān)人士報警-異常行為模式的統(tǒng)計分析-評估重要系統(tǒng)和數(shù)據(jù)文件的完整性?操作系統(tǒng)的審計跟蹤管理,并識別用戶違反安全策略的行為。對一個成功的入侵檢測系統(tǒng)來講,它不但可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬件設(shè)備等)的任何變更,還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點是,它應(yīng)該管理、配置簡單,從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。而且,入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后,會及時作出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。入侵檢測系統(tǒng)所采用的技術(shù)可分為特征檢測與異常檢測兩種:特征檢測(Signature-baseddetection)又稱Misusedetection,這一檢測假設(shè)入侵者活動可以用一種模式來表示,系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在于如何設(shè)計模式既能夠表達“入侵”現(xiàn)象又不會將正常的活動包含進來。異常檢測(Anomalydetection)的假設(shè)是入侵者活動異常于正常主體的活動。根據(jù)這一理念建立主體正?;顒拥摹盎顒雍啓n”,將當(dāng)前主體的活動狀況與“活動簡檔”相比較,當(dāng)違反其統(tǒng)計規(guī)律時,認為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設(shè)計統(tǒng)計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為Snort入侵檢測系統(tǒng):Snort簡介:在1998年,MartinRoesch先生用C語言開發(fā)了開放源代碼(OpenSource)的入侵檢測系統(tǒng)Snort.直至今天,Snort已發(fā)展成為一個多平臺(Multi-Platform),實時(Real-Time)流量分析,網(wǎng)絡(luò)IP數(shù)據(jù)包(Pocket)記錄等特性的強大的網(wǎng)絡(luò)入侵檢測/防御系統(tǒng)(NetworkIntrusionDetection/PreventionSystem),即NIDS/NIPS.Snort符合通用公共許可(GPL——GUNGeneralPubicLicense),在網(wǎng)上可以通過免費下載獲得Snort,并且只需要幾分鐘就可以安裝并開始使用它。snort基于libpcap。Snort有三種工作模式:嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測系統(tǒng)。嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。網(wǎng)絡(luò)入侵檢測模式是最復(fù)雜的,而且是可配置的。我們可以讓snort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則,并根據(jù)檢測結(jié)果采取一定的動作。Snort原理:Snort能夠?qū)W(wǎng)絡(luò)上的數(shù)據(jù)包進行抓包分析,但區(qū)別于其它嗅探器的是,它能根據(jù)所定義的規(guī)則進行響應(yīng)及處理。Snort通過對獲取的數(shù)據(jù)包,進行各規(guī)則的分析后,根據(jù)規(guī)則鏈,可采取Activation(報警并啟動另外一個動態(tài)規(guī)則鏈)、Dynamic(由其它的規(guī)則包調(diào)用)、Alert(報警),Pass(忽略),Log(不報警但記錄網(wǎng)絡(luò)流量)五種響應(yīng)的機制。Snort有數(shù)據(jù)包嗅探,數(shù)據(jù)包分析,數(shù)據(jù)包檢測,響應(yīng)處理等多種功能,每個模塊實現(xiàn)不同的功能,各模塊都是用插件的方式和Snort相結(jié)合,功能擴展方便。例如,預(yù)處理插件的功能就是在規(guī)則匹配誤用檢測之前運行,完成TIP碎片重組,http解碼,telnet解碼等功能,處理插件完成檢查協(xié)議各字段,關(guān)閉連接,攻擊響應(yīng)等功能,輸出插件將得理后的各種情況以日志或警告的方式輸出。Snort工作過程:Snort部署與運行:Snort的部署非常靈活,很多操作系統(tǒng)上都可以運行,可以運行在windowxp,windows2003,linux等操作系統(tǒng)上。用戶在操作系統(tǒng)平臺選擇上應(yīng)考慮其安全性,穩(wěn)定性,同時還要考慮與其它應(yīng)用程序的協(xié)同工作的要求。如果入侵檢測系統(tǒng)本身都不穩(wěn)定容易受到攻擊,就不能很好的去檢測其它安全攻擊漏洞了。在Linux與Windows操作系統(tǒng)相比較之下,Linux更加健壯,安全和穩(wěn)定。Snort的運行,主要是通過各插件協(xié)同工作才使其功能強大,所以在部署時選擇合適的數(shù)據(jù)庫,Web服務(wù)器,圖形處理程序軟件及版本也非常重要。Snort部署時一般是由傳感器層、服務(wù)器層、管理員控制臺層三層結(jié)構(gòu)組成。傳感器層層就是一個網(wǎng)絡(luò)數(shù)據(jù)包的嗅探器層,收集網(wǎng)絡(luò)數(shù)據(jù)包交給服務(wù)器層進行處理,管理員控制臺層則主要是顯示檢測分析結(jié)果。部署Snort時可根據(jù)企業(yè)網(wǎng)絡(luò)規(guī)模的大小,采用三層結(jié)構(gòu)分別部署或采用三層結(jié)構(gòu)集成在一臺機器上進行部署,也可采用服務(wù)器層與控制臺集成的兩層結(jié)構(gòu)。Snort的有三種模式的運行方式:嗅探器模式,包記錄器模式,和網(wǎng)絡(luò)入侵檢測系統(tǒng)模式。嗅探器模式僅僅是從捕獲網(wǎng)絡(luò)數(shù)據(jù)包顯示在終端上,包記錄器模式則是把捕獲的數(shù)據(jù)包存儲到磁盤,入侵檢測模式則是最復(fù)雜的能對數(shù)據(jù)包進行分析、按規(guī)則進行檢測、做出響應(yīng)。(二)、實驗內(nèi)容:(1)在Windows下安裝Sort工具。(2)Snort入侵檢測系統(tǒng)配置。(3)Snort入侵檢測系統(tǒng)檢測ICMPPING掃描。(4)Snort入侵檢測系統(tǒng)來自外網(wǎng)的ICMPPING掃描。(5)Snort入侵檢測系統(tǒng)與防火墻聯(lián)動。(三)、實驗步驟(因為此次實驗在windows系統(tǒng)下進行,所以軟件安裝步驟較多,具體如下):Windows下安裝Snort以及其他工具安裝1)首先在windows下先安裝apachewindows服務(wù)器,并安裝至C:\IDS\APACHE文件夾內(nèi),在彈出來的因為此版本是集成了PHP,MYSQL的,所以直接點擊安裝。安裝過程中會提示輸入SQL密碼以及apache的root名和管理員郵箱,輸入即可。,帳戶名為Tokyo,密碼設(shè)置為123456.2)將C:\ids\php5\Php5ts.dll復(fù)制到WINDOWS和WINDOWS\system32目錄3)添加GD圖形庫的支持,將C:\WINDOWST的PhP.ini中把“;extension=php_gd2.dll”和“;extension=php_mysql.dll”這兩條語句前面的分號去掉。4)將C:\ids\php5\ext下的文件php_gd2.dll,php_mysql.dll復(fù)制至C:\windows下;將php_mysql.dll復(fù)制至C:\windows\system32下;5)添加APACHE對PHP的支持。在C:\ids\apache\conf\httpd.conf的末尾添加以下語句:LoadModulephp5_modulec:/ids/php5/php5apache2_2.dllAddTypeapplication/x-httpd-php.php6)重啟APACHEO7)在C:\ids\APACHE\htdocs目錄下新建TEST.PHP,內(nèi)容:<phpinfo();>。在IE中測試PHP是否成功安裝。8)安裝WINPCAPO此處安裝了一個帶有winpcap的軟件,由于前次實驗已經(jīng)安裝在電腦上就不再安裝。
9)安裝SNORT至C:\ids\snort。安裝時會提示選擇組件以及是否用數(shù)據(jù)庫,這里我們先不選擇數(shù)據(jù)庫,組件默認四個全部安裝,安裝完成后運行一次MYSQL,安裝目錄如下圖:10)在命令行方式下,進入c:\ids\snort\bin,執(zhí)行命令:snort-W,測試SNORT是否成功安裝。出現(xiàn)以下提示則安裝成功。11)將C:\IDS\Snort\schemas里面的create_mysql復(fù)制到C:\根目錄下,如圖:12)安裝adodb,將實驗實現(xiàn)準(zhǔn)備好的額adodb文件夾復(fù)制至c:\php5\adodb目錄下:13)安裝jpgraph,將實驗實現(xiàn)準(zhǔn)備好的jpgraph文件夾復(fù)制至c:\php5\jpgraph。修改C:\php5\jpgraph\src\jpgraph.php:DEFINE(“CACHE_DIR”,”/tmp/jpgraph_cache”);14)創(chuàng)建數(shù)據(jù)庫,創(chuàng)建表,進入cmd界面,執(zhí)行以下命令:cd\,mysql-uroot-p,輸入密碼后,登錄mysql建兩個數(shù)據(jù)庫:createdatabasesnort;createdatabasesnort_archive;驗證一下showdatabases;運行Snort:1)進入Mysql控制臺,建立SNORT運行必須的SNORT數(shù)據(jù)庫和SNORT_ARCHIVE數(shù)據(jù)庫。輸入mysql-hlocalhost-uroot-p123456<c:\snort_mysql.sql:2)復(fù)制C:\ids\snort\schames下的create_mysql文件到C:\ids\snort\bin下。3)在命令行方式下分別輸入和執(zhí)行以下兩條命令。mysql-Dsnort-uroot-p<C:\create_mysqlmysql-Dsnort_archive-uroot-p<c:\create_mysql4)查看數(shù)據(jù)庫:showdatabases5)修改該目錄下的ACID_CONF.PHP文件,修改內(nèi)容如下:$DBlib_path="c:\ids\php5\adodb";$DBtype="mysql";snort;"localhost";"3306";acid;“123456";$alert_dbname$alert_host$alert_port$alert_user$alert_password/*ArchiveDBconnectionparameters*/〃snort_archive〃;"localhost";"3306";snort;"localhost";"3306";acid;“123456";〃snort_archive〃;"localhost";"3306";acid;“123456";"c:\ids\php5\jpgraph\src";6)重啟APACHE服務(wù)。在IE中輸入:,打開頁面后,單擊CreateACIDAG按鈕,建立數(shù)據(jù)庫。7)解壓縮SNORT規(guī)則包。將事先準(zhǔn)備的SNORT規(guī)則包的所有文件解壓縮至:C:\ids\snort下,替換其中的文件和文件夾。8)配置SNORT,打開snort配置文件c:\snort\etc\snort.conf將includeclassification.configincludereference.config改為絕對路徑includec:\snort\etc\classification.configincludec:\snort\etc\reference.config9)啟動SNORT入侵檢測。以命令行下輸入以下命令,啟動SNORT程序。(如果希望看到SNOR抓取的數(shù)據(jù)包,可以-X之后加-V。10)執(zhí)行以下命令加速SNORT并保存配置查看統(tǒng)計數(shù)據(jù):1)從安裝有SNORT的主機上打開/acid/acid_main.php,進入ACID分析控制臺主界面,從中便可以查看到統(tǒng)計數(shù)據(jù)。至此,基于SNORT的入侵檢測系統(tǒng)配置結(jié)束。后續(xù)工作則是完善SNORT規(guī)則配置文件。可以在
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024-2030年新版中國石振動沉拔樁機項目可行性研究報告
- 2024-2030年新版中國冶金耐火材料項目可行性研究報告
- 2024-2030年撰寫:中國銀合金項目風(fēng)險評估報告
- 2024-2030年撰寫:中國網(wǎng)絡(luò)工具軟件行業(yè)發(fā)展趨勢及競爭調(diào)研分析報告
- 2024-2030年撰寫:中國點播機項目風(fēng)險評估報告
- 2024-2030年撰寫:中國帶手柄PET瓶項目風(fēng)險評估報告
- 親密關(guān)系溝通的課程設(shè)計
- 2024-2030年撰寫:中國L谷氨酸甲酯行業(yè)發(fā)展趨勢及競爭調(diào)研分析報告
- 2024-2030年心臟標(biāo)志物分析儀行業(yè)市場現(xiàn)狀供需分析及重點企業(yè)投資評估規(guī)劃分析研究報告
- 2024-2030年小型三相異步電動機搬遷改造項目可行性研究報告
- 風(fēng)電工程施工合同
- 招標(biāo)法律法規(guī)匯總
- 湖北省黃岡市2022-2023學(xué)年高一上學(xué)期元月期末數(shù)學(xué)試題(原卷版)
- 2023配電網(wǎng)線損理論計算導(dǎo)則
- 審計人員保密守則
- GB/T 713.3-2023承壓設(shè)備用鋼板和鋼帶第3部分:規(guī)定低溫性能的低合金鋼
- 林西森騰礦業(yè)有限責(zé)任公司林西縣銀洞子溝鉛鋅礦2022年度礦山地質(zhì)環(huán)境治理計劃書
- 招聘服務(wù)協(xié)議
- 免費下載裝修合同范本
- 《高職體育與健康》課程標(biāo)準(zhǔn)
- 汽油運輸計劃方案
評論
0/150
提交評論