Snort网络入侵检测五种病毒

入侵检测技术实验Snort网络入侵检测

学院：

班级：

姓名：

学号：

一、实验目的

1)掌握数据库的使用方法和MySQLfront的安装使用方法

2)掌握wireshark抓取数据包分析关键特征以及相关格式内容

3)掌握病毒的工作原理和通信过程，交互的信息

4)将这门课的内容结合实际进行分析和实践

二、实验原理

1)实验环境：

WinPcap_4_1_2.exe 网络数据包截取驱动程序

Snort_2_9_1_Installer.exe Windows 版本的Snort 安装包

mysql-5.5.18-win32.msi Windows 版本的mysql安装包

MySQL_Front_Setup.1765185107.exe mysql数据库可视化软件

snortrules-snapshot-CURRENT.tar.gz Snort规则库

Wireshark-win32-1.12.0.1410492379.exe抓包分析工具

2)实验环境的搭建

按照所给文档“Windows XP下安装配置Snort”的提示安装所需的软件，下面几个图片是成功安装的图片：

图（1）建立snort库

图（2）成功建立snort库

图（3）成功启动snort进行检测

至此，实验环境搭配成功。

三、实验内容

1)测试检测效果

测试虽然成功启动snort，但不能确定是否成功，故此测试任意IP端口

进行测试

配置此时的规则，修改local.rules文件，改规则为：alert ip any any -> any any (msg: "IP Packet detected";sid:1000000;)

此时结果如下图：

图（4）检测测试成功下面对选择的5款软件进行测试：

2)凤凰RemoteABC 2008

图（4）凤凰RemoteABC 2008抓取通信数据包分析特征：

此时知道关键字为“8b4ca58172880bb”，通信协议为tcp，用此关键字作为特征进行抓取

具体规则为：

alert tcp any any -> any any (msg: "fenghuang";content:

"8b4ca58172880bb"sid:104;)

3)iRaT_Client

抓取通信数据包进行分析：

此时知道关键字为”Tnhou3JjfA==”，通信协议为tcp

那么制作规则为：

alert tcp any any -> any any (msg: "IRAT";content: "Tnhou3JjfA=="sid:100;)

成功截取iRaT_Client的存在4)pcshare

截取通信数据包进行分析：

此时知道关键字为“Innnnnnnnnnnnnnnnnnnnnnnnn”，通信协议为tcp 则规则为：

alert tcp any any -> any any (msg: "pcshare";content:

"Innnnnnnnnnnnnnnnnnnnnnnnn "sid:1000;)

检测pcshare成功

5)任我行netsys

截取通信数据包进行分析知，关键字为“UELHRU9ODQONC”,通信协议为tcp

规则为：

alert tcp any any -> any any (msg: "renwoxing";content: "UELHRU9ODQONC "sid:2110;)

此时检测成功6)红黑远控

截取通信数据包进行分析知，关键字为“Msg0008”,通信协议为tcp

规则为：

alert tcp any any -> any any (msg: "honghei";content: "Msg0008 "sid:102;)

此时检测成功

至此，五个小软件都测试成功。

四、实验小结和收获

1)出现问题

（1）刚开始检测不到任何东西，不知是配置文件错了还是其他原因？

答：是因为配置文件里出现的一些问题，没有成功配置，

要细心每一个细节。

（2）病毒木马之间不能通信？

答：是因为IP没有一个局域网段内，而且防火墙没有关

闭，没有配置正确的IP进行通信。

（3）怎么分析关键字？

答：在一些特殊的流里一般会有一些重复出现的字符串，

关键字，最好是在操作木马的时候截取的。

（4）怎么制定规则？

答：根据协议，关键字，IP，协议等关键字段进行制定。

2)思考感悟

（1）这是一个实践课程，需要我们更多去探索，多去学习，而不能仅仅局限在课本里面

（2）多和教员交流，可以增加自己的效率和减少工作的时间，取得更多的进步

（3）以前学过的知识还会在将来使用到，学过wireshark使用，现在任然需要使用

（4）学会快速使用各种软件，学会尝试新的东西，快速掌握软的