實(shí)驗(yàn)16 Snort入侵檢測(cè)
《實(shí)驗(yàn)16 Snort入侵檢測(cè)》由會(huì)員分享,可在線閱讀,更多相關(guān)《實(shí)驗(yàn)16 Snort入侵檢測(cè)(65頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1、Computer network security technology首都經(jīng)濟(jì)貿(mào)易大學(xué) 信息學(xué)院 計(jì)算機(jī)科學(xué)與應(yīng)用系 鄭小玲信息學(xué)院Information CollageSnortSnort的使用的使用第1章 程序設(shè)計(jì)基礎(chǔ)QuitMenuSnort的使用的使用實(shí)驗(yàn)?zāi)康膶?shí)驗(yàn)?zāi)康耐ㄟ^(guò)實(shí)驗(yàn)深入理解通過(guò)實(shí)驗(yàn)深入理解IDS的原理和工作方式的原理和工作方式,熟悉入侵檢測(cè)工具,熟悉入侵檢測(cè)工具snort在在Windows操操作系統(tǒng)中的安裝和配置方法作系統(tǒng)中的安裝和配置方法QuitMenuSnort的使用的使用Snort的使用的使用Snort介紹介紹安裝配置安裝配置SnortSnort的使用的使用QuitS
2、nort介紹介紹Menu1.Snort簡(jiǎn)介簡(jiǎn)介snortsnort是是Martin RoeschMartin Roesch等人開(kāi)發(fā)的一種開(kāi)放源等人開(kāi)發(fā)的一種開(kāi)放源碼的入侵檢測(cè)系統(tǒng)。碼的入侵檢測(cè)系統(tǒng)。Martin RoeschMartin Roesch把把snortsnort定定位為一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng)。它具有實(shí)時(shí)位為一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng)。它具有實(shí)時(shí)數(shù)據(jù)流量分析和數(shù)據(jù)流量分析和IPIP數(shù)據(jù)包日志分析的能力,具數(shù)據(jù)包日志分析的能力,具有跨平臺(tái)特征,能夠進(jìn)行協(xié)議分析和對(duì)內(nèi)容的有跨平臺(tái)特征,能夠進(jìn)行協(xié)議分析和對(duì)內(nèi)容的搜索搜索/匹配。它能夠檢測(cè)不同的攻擊行為,如緩匹配。它能夠檢測(cè)不同的攻擊行為,
3、如緩沖區(qū)溢出、端口掃描、沖區(qū)溢出、端口掃描、DoSDoS攻擊等,并進(jìn)行實(shí)時(shí)攻擊等,并進(jìn)行實(shí)時(shí)報(bào)警報(bào)警QuitSnort介紹介紹Menu1.Snort簡(jiǎn)介簡(jiǎn)介snort有三種工作模式:有三種工作模式:嗅探器、數(shù)據(jù)包記錄器嗅探器、數(shù)據(jù)包記錄器、入侵檢測(cè)系統(tǒng)、入侵檢測(cè)系統(tǒng)。做嗅探器時(shí),它只讀取網(wǎng)絡(luò)。做嗅探器時(shí),它只讀取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包,然后顯示在控制臺(tái)上。作數(shù)中傳輸?shù)臄?shù)據(jù)包,然后顯示在控制臺(tái)上。作數(shù)據(jù)包記錄器時(shí),它可以將數(shù)據(jù)包記錄到硬盤上據(jù)包記錄器時(shí),它可以將數(shù)據(jù)包記錄到硬盤上,已備分析之用。入侵檢測(cè)模式功能強(qiáng)大,可,已備分析之用。入侵檢測(cè)模式功能強(qiáng)大,可通過(guò)配置實(shí)現(xiàn),但稍顯復(fù)雜,通過(guò)配置實(shí)現(xiàn),但
4、稍顯復(fù)雜,snort可以根據(jù)用可以根據(jù)用戶事先定義的一些規(guī)則分析網(wǎng)絡(luò)數(shù)據(jù)流,并根戶事先定義的一些規(guī)則分析網(wǎng)絡(luò)數(shù)據(jù)流,并根據(jù)檢測(cè)結(jié)果采取一定的動(dòng)作據(jù)檢測(cè)結(jié)果采取一定的動(dòng)作QuitSnort介紹介紹Menu1.Snort簡(jiǎn)介簡(jiǎn)介 Snort具有良好的擴(kuò)展性和可移植性,可支持具有良好的擴(kuò)展性和可移植性,可支持Linux、windows等多種操作系統(tǒng)平臺(tái),在本實(shí)驗(yàn)中,主要介紹等多種操作系統(tǒng)平臺(tái),在本實(shí)驗(yàn)中,主要介紹snort在在windows操作系統(tǒng)中的安裝和使用方法,以有操作系統(tǒng)中的安裝和使用方法,以有助于同學(xué)們對(duì)入侵檢測(cè)系統(tǒng)的深入理解助于同學(xué)們對(duì)入侵檢測(cè)系統(tǒng)的深入理解在下面的實(shí)驗(yàn)內(nèi)容中涉及到較多在
5、下面的實(shí)驗(yàn)內(nèi)容中涉及到較多mysql數(shù)據(jù)庫(kù)服務(wù)器以數(shù)據(jù)庫(kù)服務(wù)器以及及snort規(guī)則的配置命令,為了有助于對(duì)實(shí)驗(yàn)內(nèi)容的深規(guī)則的配置命令,為了有助于對(duì)實(shí)驗(yàn)內(nèi)容的深入了解,首先對(duì)入了解,首先對(duì)mysql和和snort的使用方法進(jìn)行簡(jiǎn)單介紹,的使用方法進(jìn)行簡(jiǎn)單介紹,下面主要介紹基于下面主要介紹基于windows操作系統(tǒng)的操作方法操作系統(tǒng)的操作方法QuitSnort介紹介紹Menu2.mysql的使用的使用 mysqlmysql默認(rèn)安裝在默認(rèn)安裝在C:mysqlC:mysql文件夾下,其運(yùn)行文件為文件夾下,其運(yùn)行文件為C:mysqlbinmysqlC:mysqlbinmysql.exe.exe,故在使用
6、時(shí)需先在,故在使用時(shí)需先在windowswindows命命令行方式下進(jìn)入令行方式下進(jìn)入C:mysqlC:mysqlbinbin文件夾,即單擊文件夾,即單擊“開(kāi)始開(kāi)始”按鈕,選擇按鈕,選擇“運(yùn)行運(yùn)行”,輸入,輸入cmdcmd后,輸入下面的命令:后,輸入下面的命令:C:cd mysqlC:cd mysqlbinbin 出現(xiàn)下面的提示符:出現(xiàn)下面的提示符:C:mysqlC:mysqlbinbin 在此目錄下可連接在此目錄下可連接mysql數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)QuitSnort介紹介紹Menu(1)連接連接mysql數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù) 連接連接mysqlmysql:mysqlmysql-h-h主機(jī)地址主機(jī)地址 -u
7、-u用戶名用戶名 -p-p用戶密碼用戶密碼 如果只連接本地的如果只連接本地的mysqlmysql,則可以省去主機(jī)地址一項(xiàng),默認(rèn)用戶的,則可以省去主機(jī)地址一項(xiàng),默認(rèn)用戶的用戶名為用戶名為rootroot,沒(méi)有密碼。故可以用下面的語(yǔ)句登錄:,沒(méi)有密碼。故可以用下面的語(yǔ)句登錄:mysql mysql -u root p-u root p 屏幕上會(huì)出現(xiàn)密碼輸入提示符屏幕上會(huì)出現(xiàn)密碼輸入提示符 Enter passwordEnter password:由于根用戶沒(méi)有密碼,直接回車,出現(xiàn)下面的提示符:由于根用戶沒(méi)有密碼,直接回車,出現(xiàn)下面的提示符:mysqlmysql 這表示已經(jīng)進(jìn)入這表示已經(jīng)進(jìn)入mysq
8、lmysql數(shù)據(jù)庫(kù)的管理模式,可在此模式下對(duì)數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)的管理模式,可在此模式下對(duì)數(shù)據(jù)庫(kù)、表、用戶進(jìn)行管理表、用戶進(jìn)行管理QuitSnort介紹介紹Menu(2)數(shù)據(jù)庫(kù)和表的管理數(shù)據(jù)庫(kù)和表的管理創(chuàng)建新的數(shù)據(jù)庫(kù):創(chuàng)建新的數(shù)據(jù)庫(kù):create database create database 數(shù)據(jù)庫(kù)名數(shù)據(jù)庫(kù)名;注意一定要在命令末尾加上注意一定要在命令末尾加上“;”為語(yǔ)句的終止符,否則為語(yǔ)句的終止符,否則mysqlmysql不會(huì)編譯該條命令不會(huì)編譯該條命令使用某數(shù)據(jù)庫(kù):使用某數(shù)據(jù)庫(kù):use use 數(shù)據(jù)庫(kù)名數(shù)據(jù)庫(kù)名在某庫(kù)中建立表:在某庫(kù)中建立表:create table create table
9、表名表名(字段設(shè)定列表)(字段設(shè)定列表)也可以從事先導(dǎo)出的表文件導(dǎo)入數(shù)據(jù)庫(kù)中:也可以從事先導(dǎo)出的表文件導(dǎo)入數(shù)據(jù)庫(kù)中:c:mysqlbinmysqlc:mysqlbinmysql-D -D 數(shù)據(jù)庫(kù)名數(shù)據(jù)庫(kù)名 -u-u 用戶名用戶名 -p-p密碼密碼 snort-c 配置文件及路徑配置文件及路徑-l 日志日志文件的路徑文件的路徑-d-e X其中:其中:-X 參數(shù)用于在數(shù)據(jù)鏈接層記錄參數(shù)用于在數(shù)據(jù)鏈接層記錄raw packet 數(shù)據(jù)數(shù)據(jù)-d 參數(shù)記錄應(yīng)用層的數(shù)據(jù)參數(shù)記錄應(yīng)用層的數(shù)據(jù)-e 參數(shù)顯示記錄第二層報(bào)文頭數(shù)據(jù)參數(shù)顯示記錄第二層報(bào)文頭數(shù)據(jù)-c 參數(shù)用以指定參數(shù)用以指定snort 的配置文件的路徑
10、的配置文件的路徑QuitSnort介紹介紹Menu3.snort的啟動(dòng)的啟動(dòng)如:如:c:snortbinsnort-c c:snortetcsnort.conf c:snortbinsnort-c c:snortetcsnort.conf-l c:snortlog-d-e-X-l c:snortlog-d-e-X也可以控制也可以控制snortsnort將記錄寫入固定的安全記錄文將記錄寫入固定的安全記錄文件中:件中:c:snortbinsnort A fast c c:snortbinsnort A fast c 配置文件及路配置文件及路徑徑 l l 日志文件及路徑日志文件及路徑Quit安裝配置
11、安裝配置SnortMenu1.實(shí)驗(yàn)環(huán)境實(shí)驗(yàn)環(huán)境一臺(tái)安裝一臺(tái)安裝windows2000/XPwindows2000/XP操作系統(tǒng)的計(jì)算操作系統(tǒng)的計(jì)算機(jī),連接到本地局域網(wǎng)中機(jī),連接到本地局域網(wǎng)中 注意注意:在打開(kāi)在打開(kāi)PHPPHP文件的時(shí)候用的是寫字板,文件的時(shí)候用的是寫字板,而不是記事本而不是記事本Quit安裝配置安裝配置SnortMenu2.需要下載安裝的軟件需要下載安裝的軟件Quit安裝配置安裝配置SnortMenu3.安裝安裝(1)安裝安裝Apache_2.0.46 雙擊雙擊apache_2.0.46-win32-x86-no_src.msi,安,安裝在默認(rèn)文件夾裝在默認(rèn)文件夾c:apac
12、he下。安裝程序會(huì)在下。安裝程序會(huì)在該文件夾下自動(dòng)產(chǎn)生一個(gè)子文件夾該文件夾下自動(dòng)產(chǎn)生一個(gè)子文件夾apache2 打開(kāi)配置文件打開(kāi)配置文件c:apacheapache2confhttpd.conf,將其中的,將其中的Listen 8080,更改為,更改為 Listen 50080Quit安裝配置安裝配置SnortMenu(1)安裝安裝Apache_2.0.46Quit安裝配置安裝配置SnortMenu(1)安裝安裝Apache_2.0.46 注意:注意:這是由于這是由于windows IIS中的中的Web服務(wù)器服務(wù)器默認(rèn)情況下在默認(rèn)情況下在TCP 80端口監(jiān)聽(tīng)連接請(qǐng)求,而端口監(jiān)聽(tīng)連接請(qǐng)求,而80
13、80端口一般留給代理服務(wù)器使用,所以為了避免端口一般留給代理服務(wù)器使用,所以為了避免Apache web 服務(wù)器的監(jiān)聽(tīng)端口與其發(fā)生沖突,將服務(wù)器的監(jiān)聽(tīng)端口與其發(fā)生沖突,將Apache Web服務(wù)器的監(jiān)聽(tīng)端口修改為不常用的高服務(wù)器的監(jiān)聽(tīng)端口修改為不常用的高端端口端端口50080Quit安裝配置安裝配置SnortMenu(1)安裝安裝Apache_2.0.46 單擊單擊“開(kāi)始開(kāi)始”,選擇,選擇“運(yùn)行運(yùn)行”,輸入,輸入“cmd”,進(jìn)入命令行方式。輸入下面的命令:進(jìn)入命令行方式。輸入下面的命令:c:cd apacheapache2bin c:apacheapache2binapache k insta
14、ll這是將這是將apache設(shè)置為設(shè)置為windows中的服務(wù)方式運(yùn)行中的服務(wù)方式運(yùn)行Quit安裝配置安裝配置SnortMenu(2)安裝安裝PHP解壓縮解壓縮php-4.3.2-Win32.zip 至至c:php拷貝拷貝c:php下下php4ts.dll 至至%systemroot%system32,php.ini-dist至至%systemroot%php.ini。注意:這里的第二步應(yīng)該是:注意:這里的第二步應(yīng)該是:php.iniphp.ini-dist-dist至至%systemrootsystemroot%目錄下,然后改名為目錄下,然后改名為php.iniphp.iniQuit安裝配置
15、安裝配置SnortMenu(2)安裝安裝PHP添加添加gd圖形庫(kù)支持,在圖形庫(kù)支持,在php.ini中添加中添加extension=php_gd2.dll。如果。如果php.ini有該句,將有該句,將此語(yǔ)句前面的此語(yǔ)句前面的“;”注釋符去掉注釋符去掉Quit安裝配置安裝配置SnortMenu(2)安裝安裝PHP注意:這里需要將文件注意:這里需要將文件c:phpextensionsphp_gd2.dllc:phpextensionsphp_gd2.dll拷貝到目錄拷貝到目錄c:phpc:php 下下Quit安裝配置安裝配置SnortMenu(2)安裝安裝PHP添加添加Apache對(duì)對(duì)PHP的支持
16、。在的支持。在c:apacheapache2confhttpd.conf中添加:中添加:LoadModule php4_module c:/php/sapi/php4apache2.dllAddType application/x-httpd-php .phpQuit安裝配置安裝配置SnortMenu(2)安裝安裝PHP單擊單擊“開(kāi)始開(kāi)始”按鈕,選擇按鈕,選擇“運(yùn)行運(yùn)行”,在彈出的,在彈出的窗口中輸入窗口中輸入cmd進(jìn)入命令行方式,輸入下面命令:進(jìn)入命令行方式,輸入下面命令:net start apache2 在在windows中啟動(dòng)中啟動(dòng)Apache web服務(wù)服務(wù)Quit安裝配置安裝配置S
17、nortMenu(2)安裝安裝PHP 在在c:apacheapache2htdocs 目錄下新建目錄下新建test.php測(cè)試文件,測(cè)試文件,test.php 文件內(nèi)容為文件內(nèi)容為 使用使用http:/127.0.0.1:50080/test.php,測(cè)試,測(cè)試PHP是否成功安裝,如成功安裝,則在瀏覽器中出是否成功安裝,如成功安裝,則在瀏覽器中出現(xiàn)下面的網(wǎng)頁(yè)現(xiàn)下面的網(wǎng)頁(yè):Quit安裝配置安裝配置SnortMenu(2)安裝安裝PHPQuit安裝配置安裝配置SnortMenu(3)安裝安裝Snort安裝安裝snort-2_0_0.exe,snort的默認(rèn)安裝路徑的默認(rèn)安裝路徑在在c:snortQ
18、uit安裝配置安裝配置SnortMenu(4)安裝配置安裝配置MYSQL數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)安裝安裝Mysql到默認(rèn)文件夾到默認(rèn)文件夾c:mysql,并在命令行,并在命令行方式下進(jìn)入方式下進(jìn)入c:mysqlbin,輸入下面的命令:,輸入下面的命令:c:mysqlbinmysqld -nt install在命令行方式下輸入在命令行方式下輸入net start mysql,啟動(dòng),啟動(dòng)mysql 服務(wù)服務(wù)Quit安裝配置安裝配置SnortMenu(4)安裝配置安裝配置MYSQL數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)單擊單擊“開(kāi)始開(kāi)始”按鈕,選擇按鈕,選擇“運(yùn)行運(yùn)行”,輸入,輸入“cmd”,在出現(xiàn)的命令行窗口中輸入下面的命,在出現(xiàn)的命
19、令行窗口中輸入下面的命令:令:c:cd mysqlbin c:mysqlbinmysql u root pQuit安裝配置安裝配置SnortMenu(4)安裝配置安裝配置MYSQL數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù) 出現(xiàn)出現(xiàn)Enter password提示符后直接回車,這就以默認(rèn)的提示符后直接回車,這就以默認(rèn)的沒(méi)有密碼的沒(méi)有密碼的root用戶登錄用戶登錄Mysql數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)Quit安裝配置安裝配置SnortMenu(4)安裝配置安裝配置MYSQL數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)在在mysql提示符后輸入下面的命令:提示符后輸入下面的命令:mysql create database snort;(注意:在輸入分號(hào)后(注意:在輸入分號(hào)后
20、mysql才會(huì)編譯執(zhí)行語(yǔ)句)才會(huì)編譯執(zhí)行語(yǔ)句)mysqlcreate database snort_archive;(上上 面的面的create語(yǔ)句建立了語(yǔ)句建立了snort運(yùn)行必須的運(yùn)行必須的snort數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)和snort_archive數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù))Quit安裝配置安裝配置SnortMenu(4)安裝配置安裝配置MYSQL數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)輸入輸入“quit”命令退出命令退出mysql后,在出現(xiàn)的提示符后,在出現(xiàn)的提示符之后輸入:之后輸入:mysql-D snort-u root-p mysql-D snort_archive-u root-p grant usage on*.*to ac
21、idlocalhost identified by acidtest;mysqlgrant usage on*.*to snortlocalhost identified by snorttest;(上面兩個(gè)語(yǔ)句表示在本地?cái)?shù)據(jù)庫(kù)中建立了上面兩個(gè)語(yǔ)句表示在本地?cái)?shù)據(jù)庫(kù)中建立了acid(密碼為(密碼為acidtest)和)和snort(密碼為(密碼為snorttest)兩個(gè)用戶,以備后)兩個(gè)用戶,以備后面使用面使用)Quit安裝配置安裝配置SnortMenu(4)安裝配置安裝配置MYSQL數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù) 在在mysql提示符后面輸入下面的語(yǔ)句提示符后面輸入下面的語(yǔ)句mysql grant select
22、,insert,update,delete,create,alter on snort.*to“acid”“l(fā)ocalhost”;mysql grant select,insert on snort.*to“snort”“l(fā)ocalhost”;mysql grant select,insert,update,delete,create,alter on snort_archive.*to“acid”“l(fā)ocalhost”;(這是為新建的用戶在這是為新建的用戶在snort和和snort_archive數(shù)據(jù)庫(kù)中分配數(shù)據(jù)庫(kù)中分配權(quán)限權(quán)限)Quit安裝配置安裝配置SnortMenu(5)安裝安裝ado
23、db 將將adodb360.zip解壓縮至解壓縮至c:phpadodb 目目錄下,即完成了錄下,即完成了adodb的安裝的安裝Quit安裝配置安裝配置SnortMenu(6)安裝配置數(shù)據(jù)控制臺(tái)安裝配置數(shù)據(jù)控制臺(tái)acid解壓縮解壓縮acid-0.9.6b23.tar.gz 至至c:apacheapache2htdocsacid 目錄下目錄下修改修改c:apacheapache2htdocsacid下的下的acid_conf.php 文件:文件:Quit安裝配置安裝配置SnortMenu(6)安裝配置數(shù)據(jù)控制臺(tái)安裝配置數(shù)據(jù)控制臺(tái)acid$DBlib_path=c:phpadodb;$DBtype=
24、mysql;$alert_dbname =snort;$alert_host =localhost;$alert_port =3306;$alert_user =acid;$alert_password=acidtest;/*Archive DB connection parameters*/$archive_dbname =snort_archive;$archive_host =localhost;$archive_port =3306;$archive_user =acid;$archive_password=acidtest;$ChartLib_path=c:phpjpgraphsrc
25、;注意:修改時(shí)要將文件注意:修改時(shí)要將文件中原來(lái)的對(duì)應(yīng)內(nèi)容注釋中原來(lái)的對(duì)應(yīng)內(nèi)容注釋掉,或者直接覆蓋掉,或者直接覆蓋Quit安裝配置安裝配置SnortMenu(6)安裝配置數(shù)據(jù)控制臺(tái)安裝配置數(shù)據(jù)控制臺(tái)acid查看查看http:/127.0.0.1:50080/acid/acid_db_setup.php網(wǎng)頁(yè)網(wǎng)頁(yè)點(diǎn)擊點(diǎn)擊create ACID AG建立建立數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)Quit安裝配置安裝配置SnortMenu(6)安裝配置數(shù)據(jù)控制臺(tái)安裝配置數(shù)據(jù)控制臺(tái)acid按照系統(tǒng)提示建立數(shù)據(jù)庫(kù),正常建立后出現(xiàn)下按照系統(tǒng)提示建立數(shù)據(jù)庫(kù),正常建立后出現(xiàn)下面的網(wǎng)頁(yè)面的網(wǎng)頁(yè)Quit安裝配置安裝配置SnortMenu(7
26、)安裝安裝jpgrapg 庫(kù)庫(kù)解壓縮解壓縮jpgraph-1.12.2.tar.gz 至至c:phpjpgraph修改修改c:phpjpgraghsrc下下jpgragh.php文件,文件,去掉下面語(yǔ)句的注釋:去掉下面語(yǔ)句的注釋:DEFINE(CACHE_DIR,/tmp/jpgraph_cache/);Quit安裝配置安裝配置SnortMenu(8)安裝安裝winpcap 安裝默認(rèn)選項(xiàng)和默認(rèn)路徑安裝安裝默認(rèn)選項(xiàng)和默認(rèn)路徑安裝winpcapQuit安裝配置安裝配置SnortMenu(9)配置并啟動(dòng)配置并啟動(dòng)snort打開(kāi)打開(kāi)c:snortetcsnort.conf文件,將文件中文件,將文件中的
27、下列語(yǔ)句:的下列語(yǔ)句:include classification.config include reference.config修改為絕對(duì)路徑:修改為絕對(duì)路徑:include c:snortetcclassification.config include c:snortetcreference.configQuit安裝配置安裝配置SnortMenu(9)配置并啟動(dòng)配置并啟動(dòng)snort在該文件的最后加入下面語(yǔ)句:在該文件的最后加入下面語(yǔ)句:output database:alert,mysql,host=localhost user=snort password=snorttest dbnam
28、e=snort encoding=hex detail=fullQuit安裝配置安裝配置SnortMenu(9)配置并啟動(dòng)配置并啟動(dòng)snort單擊單擊“開(kāi)始開(kāi)始”,選擇,選擇“運(yùn)行運(yùn)行”,輸入,輸入cmd,在命令行方式下輸入下面的命令:在命令行方式下輸入下面的命令:c:cd snortbin;c:snortbinsnort-c c:snortetcsnort.conf-l c:snortlog-d-e-XQuit安裝配置安裝配置SnortMenu(9)配置并啟動(dòng)配置并啟動(dòng)snort上面的命令將啟動(dòng)上面的命令將啟動(dòng)Snort,如果,如果snort正常運(yùn)行,正常運(yùn)行,系統(tǒng)最后將顯示出下面的信息:系
29、統(tǒng)最后將顯示出下面的信息:Quit安裝配置安裝配置SnortMenu(9)配置并啟動(dòng)配置并啟動(dòng)snort 打開(kāi)打開(kāi)http:/127.0.0.1:50080/acid/acid_main.php網(wǎng)頁(yè),進(jìn)入網(wǎng)頁(yè),進(jìn)入acid分析控制臺(tái)主界面。如上述配分析控制臺(tái)主界面。如上述配置均正確,將出現(xiàn)下面的頁(yè)面:置均正確,將出現(xiàn)下面的頁(yè)面:Quit安裝配置安裝配置SnortMenu(9)配置并啟動(dòng)配置并啟動(dòng)snort至此至此Snort安裝、安裝、配置配置完成完成Quit安裝配置安裝配置SnortMenu安裝配置安裝配置Snort安裝安裝Snort時(shí)注意關(guān)閉防火墻時(shí)注意關(guān)閉防火墻QuitSnort的使用的使
30、用Menu1.完善配置文件完善配置文件 打開(kāi)打開(kāi)c:/snort/etc/snort.conf文件,查看現(xiàn)有配置文件,查看現(xiàn)有配置 設(shè)置設(shè)置snort的內(nèi)、外網(wǎng)檢測(cè)范圍。將的內(nèi)、外網(wǎng)檢測(cè)范圍。將snort.conf文件中文件中var HOME_NET any語(yǔ)句中的語(yǔ)句中的any改為自己所在的改為自己所在的子網(wǎng)地址,即將子網(wǎng)地址,即將snort監(jiān)測(cè)的內(nèi)網(wǎng)設(shè)置為本機(jī)所在局監(jiān)測(cè)的內(nèi)網(wǎng)設(shè)置為本機(jī)所在局域網(wǎng)。如本地域網(wǎng)。如本地IP為為192.168.1.10,則將,則將any改為改為192.168.1.0/24。并將。并將var EXTERNAL_NET any語(yǔ)句語(yǔ)句中的中的any改為改為!192.
31、168.1.0/24,即將,即將snort監(jiān)測(cè)的外網(wǎng)監(jiān)測(cè)的外網(wǎng)改為本機(jī)所在局域網(wǎng)以外的網(wǎng)絡(luò)改為本機(jī)所在局域網(wǎng)以外的網(wǎng)絡(luò)QuitSnort的使用的使用Menu1.完善配置文件完善配置文件設(shè)置監(jiān)測(cè)包含的規(guī)則。設(shè)置監(jiān)測(cè)包含的規(guī)則。找到找到snort.conf文件中描文件中描述規(guī)則的部分,如下圖:述規(guī)則的部分,如下圖:snort.conf文件中包含文件中包含的檢測(cè)規(guī)則文件的檢測(cè)規(guī)則文件:前面加表示該規(guī)則沒(méi)有啟用,前面加表示該規(guī)則沒(méi)有啟用,將將local.rules之前的之前的#號(hào)去掉,其余規(guī)則保持不變號(hào)去掉,其余規(guī)則保持不變QuitSnort的使用的使用Menu1.完善配置文件完善配置文件QuitSn
32、ort的使用的使用Menu2.使用控制臺(tái)查看檢測(cè)結(jié)果使用控制臺(tái)查看檢測(cè)結(jié)果打開(kāi)打開(kāi)http:/127.0.0.1:50080/acid/acid_main.php網(wǎng)頁(yè),啟動(dòng)網(wǎng)頁(yè),啟動(dòng)snort并打開(kāi)并打開(kāi)acid檢測(cè)控制臺(tái)主檢測(cè)控制臺(tái)主界面界面QuitSnort的使用的使用Menu2.使用控制臺(tái)查看檢測(cè)結(jié)果使用控制臺(tái)查看檢測(cè)結(jié)果QuitSnort的使用的使用Menu2.使用控制臺(tái)查看檢測(cè)結(jié)果使用控制臺(tái)查看檢測(cè)結(jié)果點(diǎn)擊右側(cè)圖示中點(diǎn)擊右側(cè)圖示中TCP后的數(shù)字后的數(shù)字“80%”,將顯示,將顯示所有檢測(cè)到的所有檢測(cè)到的TCP協(xié)議日志詳細(xì)情況,如下圖協(xié)議日志詳細(xì)情況,如下圖所示。所示。TCP協(xié)議日志網(wǎng)頁(yè)
33、中的選項(xiàng)依次為:流協(xié)議日志網(wǎng)頁(yè)中的選項(xiàng)依次為:流量類型、時(shí)間戳、源地址、目標(biāo)地址以及協(xié)議。量類型、時(shí)間戳、源地址、目標(biāo)地址以及協(xié)議。由于由于snort主機(jī)所在的內(nèi)網(wǎng)為主機(jī)所在的內(nèi)網(wǎng)為202.112.108.0,可以,可以看出,日志中只記錄了外網(wǎng)看出,日志中只記錄了外網(wǎng)IP對(duì)內(nèi)網(wǎng)的連接對(duì)內(nèi)網(wǎng)的連接(即目標(biāo)地址均為內(nèi)網(wǎng))(即目標(biāo)地址均為內(nèi)網(wǎng))QuitSnort的使用的使用Menu2.使用控制臺(tái)查看檢測(cè)結(jié)果使用控制臺(tái)查看檢測(cè)結(jié)果QuitSnort的使用的使用Menu2.使用控制臺(tái)查看檢測(cè)結(jié)果使用控制臺(tái)查看檢測(cè)結(jié)果選擇控制條中的選擇控制條中的“home”返回控制臺(tái)主界返回控制臺(tái)主界面,在主界面的下部有
34、流量分析及歸類選面,在主界面的下部有流量分析及歸類選項(xiàng),如下圖。項(xiàng),如下圖。acid檢測(cè)控制臺(tái)主界面檢測(cè)控制臺(tái)主界面:QuitSnort的使用的使用Menu2.使用控制臺(tái)查看檢測(cè)結(jié)果使用控制臺(tái)查看檢測(cè)結(jié)果QuitSnort的使用的使用Menu2.使用控制臺(tái)查看檢測(cè)結(jié)果使用控制臺(tái)查看檢測(cè)結(jié)果選擇選擇“l(fā)ast 24 hours:alerts unique”,可以,可以看到看到24小時(shí)內(nèi)特殊流量的分類記錄和分析,小時(shí)內(nèi)特殊流量的分類記錄和分析,如下圖所示??梢钥吹剑碇性敿?xì)記錄了如下圖所示。可以看到,表中詳細(xì)記錄了各類型流量的種類、在總?cè)罩局兴嫉谋雀黝愋土髁康姆N類、在總?cè)罩局兴嫉谋壤⒊霈F(xiàn)該類
35、流量的起始和終止時(shí)間等詳例、出現(xiàn)該類流量的起始和終止時(shí)間等詳細(xì)分析(在控制臺(tái)主界面中還有其他功能細(xì)分析(在控制臺(tái)主界面中還有其他功能選項(xiàng),請(qǐng)自己練習(xí)使用)選項(xiàng),請(qǐng)自己練習(xí)使用)QuitSnort的使用的使用Menu2.使用控制臺(tái)查看檢測(cè)結(jié)果使用控制臺(tái)查看檢測(cè)結(jié)果QuitSnort的使用的使用Menu2.使用控制臺(tái)查看檢測(cè)結(jié)果使用控制臺(tái)查看檢測(cè)結(jié)果選擇選擇“l(fā)ast 24 hours:alerts unique”,可以,可以看到看到24小時(shí)內(nèi)特殊流量的分類記錄和分析,小時(shí)內(nèi)特殊流量的分類記錄和分析,QuitSnort的使用的使用Menu3.配置配置snort規(guī)則規(guī)則練習(xí)添加一條規(guī)則,以對(duì)符合此規(guī)
36、則的數(shù)據(jù)包練習(xí)添加一條規(guī)則,以對(duì)符合此規(guī)則的數(shù)據(jù)包進(jìn)行檢測(cè)進(jìn)行檢測(cè)打開(kāi)打開(kāi)c:snortruleslocal.rules文件,如圖所示文件,如圖所示QuitSnort的使用的使用Menu3.配置配置snort規(guī)則規(guī)則QuitSnort的使用的使用Menu3.配置配置snort規(guī)則規(guī)則在規(guī)則中添加一條語(yǔ)句,實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)的在規(guī)則中添加一條語(yǔ)句,實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)的UDP協(xié)協(xié)議相關(guān)流量進(jìn)行檢測(cè),并報(bào)警:議相關(guān)流量進(jìn)行檢測(cè),并報(bào)警:udp ids/dns-version-query。語(yǔ)句如下:。語(yǔ)句如下:alert udp any any$HOME_NET any(msg:udp ids/dns-version-query;content:version;)保存文件后,退出保存文件后,退出重啟重啟Snort和和acid檢測(cè)控制臺(tái),使規(guī)則生效檢測(cè)控制臺(tái),使規(guī)則生效Quit安裝配置安裝配置SnortMenu結(jié)束放映結(jié)束放映信息學(xué)院信息學(xué)院 鄭小玲鄭小玲
- 溫馨提示:
1: 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 教育學(xué)第七章教學(xué)
- 1.古詩(shī)詞三首
- 周期問(wèn)題PPT(精品)
- 合作使生活之路更寬暢(精品)
- 向量數(shù)乘運(yùn)算及其幾何意義
- 硬筆書(shū)法-第四課時(shí)-基本筆畫(huà)——捺
- 廉潔文化進(jìn)校園課件
- 招投標(biāo)法律制度解析
- 2011備戰(zhàn)高考第三部分 第1節(jié) 識(shí)記文學(xué)常識(shí)1
- 采購(gòu)計(jì)劃與預(yù)算
- 果園機(jī)器人第二次
- 某數(shù)據(jù)庫(kù)公司品牌戰(zhàn)略規(guī)劃課件
- 家電物流培訓(xùn)課件
- 房顫血栓危險(xiǎn)度評(píng)分與出血風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)
- 糖皮質(zhì)激素的常見(jiàn)副作用(1)