网络安全之网络监控实验.docx

网络安全之网络监控实验.docx

《网络安全之网络监控实验.docx》由会员分享，可在线阅读，更多相关《网络安全之网络监控实验.docx（18页珍藏版）》请在冰豆网上搜索。

网络安全之网络监控实验

附录D网络安全之网络监控实验

Snort构建入侵检测

实验目的：

熟悉Snort构建网络入侵系统方法，掌握Snort基本配置方法；

实验环境：

Linux8.0windows

实验工具：

snort-2.3.3.tar.gz

MySQL-server-4.1.11-0.i386.rpm

hsc.v2.0

实验步骤：

1．在Windows2000中安装hsc.v2.0文件；

2．在Liunx的/root建立rpm和tar目录：

#mkdirrpm

#mkdirtar

3．将Mysql文件拷贝到Linux系统中的/root下

4．为了使Snort工作，libpcap是必需安装到你的系统中。

用locate来检查：

$locatelibpcap

屏幕将输出以下一些内容：

/usr/lib/libpcap.so.0

/usr/lib/libpcap.a

/usr/lib/libpcap.so

/usr/lib/libpcap.so.0.6.2

注：

如果没有这些，到tcpdump.org或者你的Linux安装盘中去找。

5．安装Mysql：

#rpm–zxvfMySQL-server-4.1.11-0.i386.rpm

#rpm–zxvfMySQL-client-4.1.11-0.i386.rpm

#rpm–zxvfMySQL-devel-4.1.11-0.i386.rpm

6．验证Snort软件，检验你下载的checksum：

#md5snort-2.3.3tar.gz

7．$tar-xvzfsnort-2.3.3.tar.gz

以root身份安装

#./configure–with-mysql

#make

#makeinstall

8．拷贝create_mysql文件；

#cp/root/snort-2.2.0/contrib/craete_mysql/root

9．将windows2000下的hsc程序中的hsc.v104.sql文件拷到linux的root目录中

10．进入root目录，如下执行命令：

#mysqladmin-uroot-pcreatesnort

#mysqladmin-uroot-pcreatesnort_archive

#mysql-uroot-Dsnort-p

#mysql-uroot-Dsnort_archive-p

#mysqladmin-uroot-pcreateaw_hsc

#mysql-uroot-Daw_hsc-p

#mysql-uroot-Dmysql-p

#mysqladmin-urootpasswordadmin

#/etc/rc.d/init.d/mysqlrestart

11．编辑snort.conf文件；

varRULE_PATH/etc/prelude/snort/etc

ruletype

{

typealert

outputalert_syslog:

LOG_AUTHLOG_ALERT

outputdatabase:

log,mysql,user=snortdbname=snorthost=localhost

}

outputdatabase:

log,mysql,user=snortpassword=admindbname=snorthost=localhost

12．拷贝snort.conf*.rules文件

#cd/etc

#mkdir/prelude/snort/etc

#cd/prelude/snort/etc

#cp/root/tar/snort-2.3.3/etc/snort.conf.

#cp/root/tar/snort-2.3.3/rules/*.

13．运行Snort：

#./usr/local/bin/snort–csnort.conf-dev

14．在windwos下运行HoneynetSecurityConsole软件，启动时输入Liunx机器下的Mysql数据库的创建的用户明为Snort、密码为空；IP地址为Mysql数据库的IP地址；数据库名为aw_hsc，点击确定。

15．HoneynetSecurityConsole软件连接成功后，点击Resouse按钮增加事件库：

16．添加事件库的名称、IP地址、数据库名称；

17．点击测试，测试通过后，点击ok左侧窗口出现IDS图标；

18．在其它机器上安装Snifferpro软件；

19．运行Snifferpro，点击文件－>open，选择攻击包目录下的Unicode.cap文件点击打开；

20．选择Uncode.cap窗口中Decode标签，将鼠标移至数据区点击鼠标右键选择SendCurrentBuffer；选择Continuous项，点击确定发送模拟Unicode攻击包；

21．进入HoneynetSecurityConsole点击EventOverview查看报警信息；

22．停止发送攻击包，请在模拟攻击机器上在Sinfferpro的菜单中点击Tools－>PacketGenerator，点击停止按钮就可停止发包。

1.配置商业入侵检测产品（天阗入侵检测与管理系统）

实验目的：

熟悉天阗入侵系统与管理系统的基本配置方法；

实验环境：

windows2000+MSDE、100共享网

实验工具：

天阗入侵检测与管理系统6.0、SnifferPro

实验步骤：

1.将天阗入侵检测与管理系统引擎的抓包口、管理口、超级终端线缆连接好，加电；

2.点击开始－>程序－>附件－>超级终端，启动超级终端；

3.设置超级终端端口参数；（使用默认值即可）

4.超级终端进行基本设置，配置好超级终端以后，回车进入探测引擎启动画面；

5.输入用户名：

venus，回车后再输入正确的密码（出厂密码设置为1234567）后进入；

6.设定好IP地址、网关后，清空密钥后，确认物理连接正常；

7.从Server上下载天阗入侵检测与管理系统6.0（网络型）、snifferpro、攻击包

8.点击安装程序setup.exe进行本地安装；点击“MSDE数据库”进行数据库安装；数据库安装成功后在点击“网络入侵检测”进行安装；

9.安装完成后单击开始－>程序－>启明星辰－>用户管理审计

10.输入用户名和密码（用户ID：

Admin；密码：

venus60）点击确定，进入用户管理与审计界面，添加一个test用户后点击确定；

11.单击开始→程序→启明星辰→管理控制中心，以test登录；

12.点击

增加新的组件，需要添加网络引擎、综合信息显示中心；

13.选择网络引擎，点击

进行连接；

14.点击菜单中的策略任务→入侵检测→策略编辑；

15.选择热点事件集，点击衍生策略，编辑后推出；

16.点击菜单中的策略任务→入侵检测→策略下发，选择热点事件集衍生策略，点击确定；

17.在其它机器上安装Snifferpro软件；

18.运行Snifferpro，点击文件－>open，选择攻击包目录下的Unicode.cap文件点击打开；

19.选择Uncode.cap窗口中Decode标签，将鼠标移至数据区点击鼠标右键选择SendCurrentBuffer；选择Continuous项，点击确定发送模拟Unicode攻击包；

20.在入侵检测管理控制中心机器上点击

进入综合信息显示界面，查看报警信息；

21.如果想查看详细信息可点击日志管理－>入侵检测－>详细报表进行查看；

22.停止发送攻击包，请在模拟攻击机器上在Sinfferpro的菜单中点击Tools－>PacketGenerator，点击停止按钮就可停止发包。