#mysqladmin-urootpasswordadmin
#/etc/rc.d/init.d/mysqlrestart
11.编辑snort.conf文件;
varRULE_PATH/etc/prelude/snort/etc
ruletype
{
typealert
outputalert_syslog:
LOG_AUTHLOG_ALERT
outputdatabase:
log,mysql,user=snortdbname=snorthost=localhost
}
outputdatabase:
log,mysql,user=snortpassword=admindbname=snorthost=localhost
12.拷贝snort.conf*.rules文件
#cd/etc
#mkdir/prelude/snort/etc
#cd/prelude/snort/etc
#cp/root/tar/snort-2.3.3/etc/snort.conf.
#cp/root/tar/snort-2.3.3/rules/*.
13.运行Snort:
#./usr/local/bin/snort–csnort.conf-dev
14.在windwos下运行HoneynetSecurityConsole软件,启动时输入Liunx机器下的Mysql数据库的创建的用户明为Snort、密码为空;IP地址为Mysql数据库的IP地址;数据库名为aw_hsc,点击确定。
15.HoneynetSecurityConsole软件连接成功后,点击Resouse按钮增加事件库:
16.添加事件库的名称、IP地址、数据库名称;
17.点击测试,测试通过后,点击ok左侧窗口出现IDS图标;
18.在其它机器上安装Snifferpro软件;
19.运行Snifferpro,点击文件->open,选择攻击包目录下的Unicode.cap文件点击打开;
20.选择Uncode.cap窗口中Decode标签,将鼠标移至数据区点击鼠标右键选择SendCurrentBuffer;选择Continuous项,点击确定发送模拟Unicode攻击包;
21.进入HoneynetSecurityConsole点击EventOverview查看报警信息;
22.停止发送攻击包,请在模拟攻击机器上在Sinfferpro的菜单中点击Tools->PacketGenerator,点击停止按钮就可停止发包。
1.配置商业入侵检测产品(天阗入侵检测与管理系统)
实验目的:
熟悉天阗入侵系统与管理系统的基本配置方法;
实验环境:
windows2000+MSDE、100共享网
实验工具:
天阗入侵检测与管理系统6.0、SnifferPro
实验步骤:
1.将天阗入侵检测与管理系统引擎的抓包口、管理口、超级终端线缆连接好,加电;
2.点击开始->程序->附件->超级终端,启动超级终端;
3.设置超级终端端口参数;(使用默认值即可)
4.超级终端进行基本设置,配置好超级终端以后,回车进入探测引擎启动画面;
5.输入用户名:
venus,回车后再输入正确的密码(出厂密码设置为1234567)后进入;
6.设定好IP地址、网关后,清空密钥后,确认物理连接正常;
7.从Server上下载天阗入侵检测与管理系统6.0(网络型)、snifferpro、攻击包
8.点击安装程序setup.exe进行本地安装;点击“MSDE数据库”进行数据库安装;数据库安装成功后在点击“网络入侵检测”进行安装;
9.安装完成后单击开始->程序->启明星辰->用户管理审计
10.输入用户名和密码(用户ID:
Admin;密码:
venus60)点击确定,进入用户管理与审计界面,添加一个test用户后点击确定;
11.单击开始→程序→启明星辰→管理控制中心,以test登录;
12.点击
增加新的组件,需要添加网络引擎、综合信息显示中心;
13.选择网络引擎,点击
进行连接;
14.点击菜单中的策略任务→入侵检测→策略编辑;
15.选择热点事件集,点击衍生策略,编辑后推出;
16.点击菜单中的策略任务→入侵检测→策略下发,选择热点事件集衍生策略,点击确定;
17.在其它机器上安装Snifferpro软件;
18.运行Snifferpro,点击文件->open,选择攻击包目录下的Unicode.cap文件点击打开;
19.选择Uncode.cap窗口中Decode标签,将鼠标移至数据区点击鼠标右键选择SendCurrentBuffer;选择Continuous项,点击确定发送模拟Unicode攻击包;
20.在入侵检测管理控制中心机器上点击
进入综合信息显示界面,查看报警信息;
21.如果想查看详细信息可点击日志管理->入侵检测->详细报表进行查看;
22.停止发送攻击包,请在模拟攻击机器上在Sinfferpro的菜单中点击Tools->PacketGenerator,点击停止按钮就可停止发包。