实验八 入侵检测系统snort的使用

实验八入侵检测系统snort的使用
【实验目的】
1) 理解入侵检测的作用和检测原理。

2) 掌握Snort的安装、配置和使用等实用技术。

【实验环境】
Windows系统、snort软件、nmap软件
【实验重点及难点】
重点：入侵检测的工作原理。

难点：snort的配置文件的修改及规则的书写。

【Snort简介】
Snort是一套开放源代码的网络入侵预防软件与网络入侵检测软件。

Snort使用了以侦测签章（signature-based）与通讯协定的侦测方法。

截至目前为止，Snort的被下载次数已达到数百万次。

Snort被认为是全世界最广泛使用的入侵预防与侦测软件。

【实验步骤】
1、从ftp上下载所需要的软包，winpcap，snort，nmap。

安装软件前请阅读readme文件。

2、注意安装提示的每一项，在选择日志文件存放方式时，请选择“不需要数据库支持或者
snort默认的MySQL和ODBC数据库支持的方式”选项。

3、将snort.exe加入path变量中（该步骤可选，否则要切换到安装路径下执行命令）。

4、执行snort.exe，看能否成功执行，并利用“-W”选项查看可用网卡。

如下：
上例中共有两个网卡，其中第二个是可用网卡，注意识别你自己机器上的网卡！
注：snort的运行模式主要有3种：嗅探器模式（同sniffer）、数据包记录器模式和网络入侵检测模式。

5、嗅探器模式
嗅探器模式就是snort从网络上读出数据包然后显示在你的控制台上。

可用如下命令启动该模式：
snort –v –i2 //-i2 指明使用第二个网卡，该命令将IP和TCP/UDP/ICMP的包头信息显示在屏幕上。

如果需要看到应用层的数据，使用以下命名：
snort –v –d –i2
更多详细内容请参考/network/snort/Snortman.htm。

6、数据包记录器模式
该模式将在屏幕上的输出记录在LOG文件中（需要事先建立一个log目录）。

命令格式如下：
snort –vd –i2 –l d:\log //将数据记录在d盘下的log目录下，-l选项指定记录的目录
运行该模式后，到log目录下查看记录的日志的内容。

snort –vd –i2 –h IP –l d:\log //IP：本机IP，-h 指定目标主机
运行上述命令后，去ping另一台主机，查看日志，这个ping是否被记录下来？
7、网络IDS模式，该模式是snort的最重要的实现形式。

相对于数据包记录器模式，该模式只是增加了一个选项“-c”，用于指明所使用的规则集snort.conf（在IDS模式下必须指定规则集文件）。

打开\etc\snort.conf，对snort的配置文件进行修改，包括检测的内外网范围，以及文件路径的格式修改为Windows下的格式，注释掉没有使用的选项。

8、下载规则集，放入ruler下面（默认已经安装），并对检查snort.conf中的指定的规则集(在文件末尾)与你下载的规则集一致，注释掉没有的规则。

（请查看下载的snort.conf文件进行修改）。

9、在任意盘下建立日志记录文件夹log，比如F盘，f:\log。

10、启动snort的入侵检测模式，如：snort.exe –i4 –dev –l f:\log –c c:\snort\etc\snort.conf，检查snort能否正常启动，如有错误根据错误提示进行排错。

注意：上面命令使用的是第4个网卡接口；记录应用层，数据链层的信息；日志记录在f:\log 下；配置文件路径是c:\snort\etc\snort.conf。

11、snort安装成功后，使用nmap扫描器，对安装snort的主机进行扫描，完成后查看log 日志下的alert.ids文件内容，并分析记录的内容。

12、编辑自己的规则，如通过捕捉关键字“search”记录打开Google网页的动作，并将符合规则的数据包记录到alert.ids文件。

步骤如下：首先打开ruler目录下的experimental.rules 文件，添加如下内容：
alert tcp $HOME_NET any -> any 80 (content:"search";nocase;sid:100000;msg:"google search query";),保存修改，启动snort进行测试规则的有效性，并分析结果。

13、学习/network/snort/Snortman.htm网页内容，书写更多自己的规则。