网络安全之网络监控实验.docx

1、网络安全之网络监控实验附录D网络安全之网络监控实验Snort构建入侵检测实验目的：熟悉Snort构建网络入侵系统方法，掌握Snort基本配置方法；实验环境：Linux8.0 windows实验工具：snort-2.3.3.tar.gzMySQL-server-4.1.11-0.i386.rpmhsc.v2.0实验步骤：1 在Windows2000中安装hsc.v2.0文件；2 在Liunx的/root建立rpm和tar目录：# mkdir rpm# mkdir tar3 将Mysql文件拷贝到Linux系统中的/root下4 为了使Snort工作，libpcap是必需安装到你的系统中。用loc

2、ate来检查：$ locate libpcap 屏幕将输出以下一些内容：/usr/lib/libpcap.so.0 /usr/lib/libpcap.a/usr/lib/libpcap.so/usr/lib/libpcap.so.0.6.2注：如果没有这些，到tcpdump.org或者你的Linux安装盘中去找。5 安装Mysql：# rpm zxvf MySQL-server-4.1.11-0.i386.rpm# rpm zxvf MySQL-client-4.1.11-0.i386.rpm# rpm zxvf MySQL-devel-4.1.11-0.i386.rpm6 验证Snort软件

3、，检验你下载的checksum：# md5 snort-2.3.3tar.gz7 $ tar -xvzf snort-2.3.3.tar.gz以root身份安装# ./configure with-mysql# make# make install 8 拷贝create_mysql文件； # cp /root/snort-2.2.0/contrib/craete_mysql /root9 将windows2000下的hsc程序中的hsc.v104.sql文件拷到linux的root目录中10 进入root目录，如下执行命令：# mysqladmin -u root -p create snor

4、t# mysqladmin -u root -p create snort_archive# mysql -u root -D snort -p create_mysql# mysql -u root -D snort_archive -p create_mysql# mysqladmin -u root -p create aw_hsc# mysql -u root -D aw_hsc -p hsc.v104.sql# mysql -u root -D mysql -p open，选择攻击包目录下的Unicode.cap文件点击打开；20 选择Uncode.cap 窗口中Decode标签，将

5、鼠标移至数据区点击鼠标右键选择Send Current Buffer；选择Continuous项，点击确定发送模拟Unicode攻击包；21 进入Honeynet Security Console点击Event Overview查看报警信息；22 停止发送攻击包，请在模拟攻击机器上在Sinfferpro的菜单中点击ToolsPacket Generator，点击停止按钮就可停止发包。1. 配置商业入侵检测产品（天阗入侵检测与管理系统）实验目的：熟悉天阗入侵系统与管理系统的基本配置方法；实验环境：windows2000+MSDE、100共享网实验工具：天阗入侵检测与管理系统6.0、Sniffer

6、Pro实验步骤：1. 将天阗入侵检测与管理系统引擎的抓包口、管理口、超级终端线缆连接好，加电；2. 点击开始程序附件超级终端，启动超级终端；3. 设置超级终端端口参数；（使用默认值即可）4. 超级终端进行基本设置，配置好超级终端以后，回车进入探测引擎启动画面；5. 输入用户名：venus，回车后再输入正确的密码(出厂密码设置为1234567)后进入；6. 设定好IP地址、网关后，清空密钥后，确认物理连接正常；7. 从Server上下载天阗入侵检测与管理系统6.0（网络型）、snifferpro、攻击包8. 点击安装程序setup.exe进行本地安装；点击“MSDE数据库”进行数据库安装；数据库

7、安装成功后在点击“网络入侵检测”进行安装；9. 安装完成后单击开始程序启明星辰用户管理审计10. 输入用户名和密码（用户ID：Admin；密码：venus60）点击确定，进入用户管理与审计界面，添加一个test用户后点击确定；11. 单击开始程序启明星辰管理控制中心，以test登录；12. 点击增加新的组件，需要添加网络引擎、综合信息显示中心；13. 选择网络引擎，点击进行连接；14. 点击菜单中的策略任务入侵检测策略编辑；15. 选择热点事件集，点击衍生策略，编辑后推出；16. 点击菜单中的策略任务入侵检测策略下发，选择热点事件集衍生策略，点击确定；17. 在其它机器上安装Snifferpr

8、o软件；18. 运行Snifferpro，点击文件open，选择攻击包目录下的Unicode.cap文件点击打开；19. 选择Uncode.cap 窗口中Decode标签，将鼠标移至数据区点击鼠标右键选择Send Current Buffer；选择Continuous项，点击确定发送模拟Unicode攻击包；20. 在入侵检测管理控制中心机器上点击 进入综合信息显示界面，查看报警信息；21. 如果想查看详细信息可点击日志管理入侵检测详细报表进行查看；22. 停止发送攻击包，请在模拟攻击机器上在Sinfferpro的菜单中点击ToolsPacket Generator，点击停止按钮就可停止发包。