网络安全实验Snort网络入侵检测实验.

遵义师范学院计算机与信息科学学院

实验报告

（2013—2014学年第1 学期）

课程名称：网络安全实验

班级：

学号：

姓名：

任课教师：

计算机与信息科学学院

实验报告

闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：

·监视、分析用户及系统活动

· 系统构造和弱点的审计

· 识别反映已知进攻的活动模式并向相关人士报警

· 异常行为模式的统计分析

· 评估重要系统和数据文件的完整性

·操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

入侵检测系统所采用的技术可分为特征检测与异常检测两种:

特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为

Snort入侵检测系统：

Snort简介：在1998年，Martin Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天，Snort已发展成为一个多平台

(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共许可(GPL——GUN General Pubic License),在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它。snort基于libpcap。

Snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网络入侵检测模式是最复杂的，而且是可配置的。我们可以让snort 分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。

Snort原理：Snort能够对网络上的数据包进行抓包分析，但区别于其它嗅探器的是，它能根据所定义的规则进行响应及处理。Snort 通过对获取的数据包，进行各规则

（二）、实验内容：

(1)在Windows下安装Sort工具。

(2)Snort入侵检测系统配置。

(3)Snort入侵检测系统检测ICMP PING扫描。

(4)Snort入侵检测系统来自外网的ICMP PING扫描。

(5)Snort入侵检测系统与防火墙联动。

（三）、实验步骤(因为此次实验在windows系统下进行，所以软件安装步骤较多，具体如下)：

1.Windows 下安装Snort以及其他工具安装

1）首先在windows下先安装apache windows服务器，并安装至C:\IDS\APACHE 文件夹内，在弹出来的因为此版本是集成了PHP,MY SQL的,所以直接点击安装。安装过程中会提示输入SQL密码以及apache的root名和管理员邮箱，输入即可。

在此处我们输入的邮箱为********************，帐户名为Tokyo，密码设置为123456.

2）将C:\ids\php5\ Php5ts.dll复制到WINDOWS和WINDOWS\system32目录

3）添加GD图形库的支持，将C:\WINDOWS下的PhP.ini中把

“;extension=php_gd2.dll”和“;extension=php_mysql.dll”这两条语句前面的分

号去掉。

4）将C:\ids\php5\ext下的文件php_gd2.dll,php_mysql.dll复制至C:\windows 下；将php_mysql.dll复制至C:\windows\system32下；

5）添加APACHE对PHP的支持。在C:\ids\apache\conf\httpd.conf的末尾添加以下语句：

LoadModule php5_module c:/ids/php5/php5apache2_2.dll

AddType application/x-httpd-php .php

6）重启APACHE。

7）在C:\ids\APACHE\htdocs目录下新建TEST.PHP，内容：。

在IE中测试PHP是否成功安装。

8）安装WINPCAP。

此处安装了一个带有winpcap的软件，由于前次实验已经安装在电脑上就不再安装。

9）安装SNORT至C:\ids\snort。安装时会提示选择组件以及是否用数据库，这里我们先不选择数据库，组件默认四个全部安装，安装完成后运行一次MYSQL，，安装目录如下图：

10）在命令行方式下，进入c:\ids\snort\bin，执行命令：snort –W，测试SNORT 是否成功安装。出现以下提示则安装成功。