实验7基于snort的IDS配置实验.docx

1、实验7基于snort的IDS配置实验实验7 基于snort的IDS配置实验1实验目的通过配置和利用Snort，了解入侵检测的大体概念和方式，掌握入侵检测工具的利用方式，能够对其进行配置。2实验原理 入侵检测大体概念入侵检测系统（Intrusion Detection System简称为IDS）工作在运算机网络系统中的关键节点上，通过实时地搜集和分析运算机网络或系统中的信息，来检查是不是出现违背安全策略的行为和是不是存在入侵的迹象，进而达到提示入侵、预防解决的目的。入侵检测系统作为一种主动防护的网络安全技术，有效扩展了系统保护人员的安全管理能力，例如安全审计、监视、解决识别和响应的能力。通过利用

2、入侵检测系统，能够有效地避免或减轻来自网络的要挟，它已经成为防火墙以后的又一道安全屏障，并在各类不同的环境中发挥关键作用。1入侵检测系统分类按照收集数据源的不同，IDS可分为基于网络的入侵检测系统（Network-based IDS，简称NIDS）和基于主机的入侵检测系统（Host-based IDS，简称HIDS）。NIDS利用监听的方式，在网络通信的原始数据包中寻觅符合网络入侵模版的数据包。NIDS的网络分析引擎放置在需要保护的网段内，独立于被保护的机械之外，不会影响这些机械的CPU、I/O与磁盘等资源的利用，也不会影响业务系统的性能。NIDS一般保护的是整个网段。HIDS安装在被保护的机

3、械上，在主机系统的审计日记或系统操作中查找信息源进行智能分析和判断，例如操作系统日记、系统进程、文件访问和注册表访问等信息。由于HIDS安装在需要保护的主机系统上，这将影响应用系统的运行效率。HIDS对主机系统固有的日记与监视能力有很高的依赖性，它一般保护的是其所在的系统。NIDS和HIDS各有优缺点，联合利用这两种方式能够实现更好的检测效果。2入侵检测系统的实现技术入侵检测系统的实现技术能够简单的分为两大类：基于特征的检测（Signature-based）和基于异样的检测（Anomaly-based）。基于特征的检测技术主要包括模式匹配和协议分析两种检测方式：模式匹配就是将搜集到的信息与已知

4、的网络入侵和系统误用模式知识库进行比较，以发觉入侵行为。这种检测方式只需搜集相关的数据集合和保护一个知识库就可以进行判断，检测准确率和效率也相当高。可是，该技术需要不断进行升级以对付不断出现的解决手法，而且不能检测未知解决手腕。协议分析相对于模式匹配技术是一种更新的入侵检测技术。它第一捕捉数据包，然后对数据包进行解析，包括网络协议分析和命令解析，在解析的代码中快速检测某个解决特征是不是存在。协议分析技术大大减少了计算量，即便在高负载的高速网络上，也能逐个分析所有的数据包。基于异样的检测技术有很多，例如采用统计模型、专家系统等技术来实现。它第一要对系统的行为进行统计，取得系统正常使历时的统计性能

5、，如访问次数、操作失败次数和延时等。统计性能被用来与网络、系统的行为进行比较，当观察值在正常值范围之外时，IDS就会判断有入侵发生。异样检测的长处是能够检测到未知入侵和复杂的入侵，缺点是误报、漏报率高。3入侵检测系统的部署原则基于主机的入侵检测系统其安装部署简单，主要安装在检测的主机系统中，而基于网络的入侵检测系统复杂很多，需要考虑部署原则，以优化性能。NIDS总的来讲包括探测器和控制台两个部份:探测器（Sensor）是专用的硬件设备，负责网络数据流的捕捉、分析检测和报警等功能。控制台（Console）是管理探测器的工具，它负责接收探测器的检测日记数据，并提供数据查询和报告生成等功能，一个控制

6、台能够管理多个探测器。NIDS探测器的大体部署原则是保证每一个网络数据包都能够被探测器侦听和捕捉。共享式局域网是最简单的网络，它由共享式HUB连接各个主机。在这种网络环境下，一般来讲，只需要配置一个网络探测器就可以够达到监控全网的目的。对于简单的互换式网络，即互换机中存在一个能够监听所有端口的SPAN端口（即监听端口）。在这种环境下，只要将SPAN端口设置为监听所有端口的模式，并在此端口配置一个网络探测器，就可以够实现对内部网络安全的控制。而对于复杂的互换式局域网，存在多个不同的互换机，且没有SPAN端口的网络，这时要想让一个探测器监听所有的互换机上的内容是不现实的，因此必需有多个探测器进行监

7、听。从另外一种角度分析，咱们能够将一个复杂的互换式局域网分成多个简单的互换式网络或共享式网络组成，只要保证所有子网的流量能被探测器捕捉就可以够实现对整个网络安全的控制。 Snort简介Snort最初只是一个简单的网络管理工具，后来进展成一个遍及世界的企业散布式入侵检测系统。自从1998年Snort诞生以来，现在有几十万个探测器散布活着界各地，已经成为应用最普遍的NIDS。它的开创者Marty Roesch最初将Snort设计为一个辅助分析网络流量的个人工具。那时的Snort只是将二进制tcpdump数据转换成用户可读的形式，“Snort”那个名字只是随意起的。 Snort作为一个免费的、跨平台

8、的软件包，能够用作监视小型TCP/IP网的嗅探器、日记记录、入侵探测器。它能够运行在Linux/UNIX和Win32系统上， Snort的功能很多，如实时通信分析和信息包记录、包装有效载荷检查、协议分析和内容查询匹配、探测缓冲溢出、秘密端口扫描、CGI解决、SMB探测、操作系统侵入尝试、对系统日记、指定文件、Unix socket或通过Samba的WinPopus进行实时报警。Snort有三种主要模式：数据包嗅探器、信息包记录器或成熟的侵入探测系统。遵循开发/自由软件最重要的老例，Snort支持各类形式的插件、扩充和定制，包括数据库或是XML记录、小帧探测和统计的异样探测等。信息包有效载荷探测

9、是Snort最有效的一个特点，这就意味着很多额外种类的入侵行为能够被探测到。对于Snort的分析主要集中在对于其规则（rule）的分析，由于Snort采用模式匹配的方式进行检测，所以这些规则就是入侵检测的核心部份。各类网络解决，病毒的特征代码，都被编制成相应Snort的规则，通过检测误用，实现对外来入侵的识别。在分析规则的基础上，通过在网上找最新的解决方式的特征代码，尝试编制新的规则。此刻网络解决手腕很多，如DDOS解决，网络扫描，木马解决等。本实验主要以PING解决和网络扫描为例介绍Snort的检测能力。3实验环境硬件：一台安装Windows 2000/XP系统的联外网的主机。软件： (1)

10、. ACID（Analysis Console for Intrusion Databases）基于PHP的入侵检测数据库分析控制台0.9.6 Adodb（Active Data Objects Data Base）PHP库 Windows 版本的Apache Web 服务器2.0.46 PHP图形库1.12.2 Windows 版本的Mysql 数据库服务器4.0.13 Windows版本的PHP脚本环境支持4.3.2 Windows 版本的Snort 安装包 网络数据包截取驱动程序 基于PHP的Mysql数据库管理程序2.5.1实验步骤(1) 手动安装Snort。（可选择自动安装包，见步骤

11、2）安装Apache选择定制安装，安装路径修改成c:apache 安装程序会自动成立c:apache2 目录，继续以完成安装。安装的时候注意，若是安装了IIS 而且启动了Web Server，因为IIS Web Server 默许在TCP 80 端口监听，所以会和Apache Web Server 冲突，能够修改Apache Web Server为其他端口。安装PHP解紧缩4.3.2 至c:php；拷贝 至WINDOWSsystem32；拷贝 至WINDOWS；修改extension=拷贝c:phpextension 至WINDOWS（注：以上添加gd 图形库支持）在 中添加 LoadModu

12、le php4_module c:/php/sapi/ AddType application/x-httpd-php .php启动Apache 服务 net start apache2在c:apache2htdocs 目录下新建文件， 文件的内容为： 利用测试php是不是安装成功，应出现如图1所示。图1 PHP安装成功安装snort默许安装到c:snort安装配置Mysql数据库默许安装到c:mysql新建复制到C:WINDOWS内容为：mysqldbasedir=c:mysqlbind-address= 配置root口令c:cd mysqlbinc:mysqlbinmysqlmysqlse

13、t password for = password(newPWD );(这里newPWD为此处为用户自己设置的密码)以root身份登岸命令为Mysql u root p 设置数据库，删除默许的账号只允许root 从localhost 连接（利用Phpmyadmin） 成立snort 运行必需的snort 库和snort_archive 库 mysqlcreate database snort; mysqlcreate database snort_archive; 利用c:snortcontrib 目录下的create_mysql 脚本成立Snort 运行必需的数据表 c:mysqlbinmy

14、sql -D snort -u root -p c:snortcontribcreate_mysql c:mysqlbinmysql -D snort_archive -u root -p grant usage on *.* to identified by acidpassword; mysql grant usage on *.* to snortlocalhost identified by snortpassword; 或采用phpmyadmin进行操作。 为acid 用户和snort 用户分派相关权限 mysql grant select,insert,update,delete,

15、create,alter on snort .* to ; mysql grant select,insert on snort .* to ; mysql grant select,insert,update,delete,create,alteronsnort_archive.*to ; 或采用phpmyadmin进行操作。安装adodb解紧缩 至c:phpadodb 目录下。安装acid 解紧缩0.9.6 至c:apache2htdocsacid 目录下 修改 文件 $DBlib_path = c:phpadodb; $alert_dbname = snort; $alert_host

16、= localhost; $alert_port = ; $alert_user = acid; $alert_password = acidpassword; /* Archive DB connection parameters */ $archive_dbname = snort_archive; $archive_host = localhost; $archive_port = ; $archive_user = acid; $archive_password = acidpassword ; $ChartLib_path = c:phpjpgraphsrc; 成立acid 运行必需

17、的数据库： 依照系统提示成立。安装jpgrapg 库解紧缩1.12.2 至c:php jpgraph；修改DEFINE(“CACHE_DIR”,”/tmp/jpgraph_cache/”) (取消原来的注释)安装winpcap配置Snort 编辑c:snortetc，需要修改的地方包括： include include 改成绝对路径 include c:snortetc include c:snortetc 设置snort 输出alert 到mysql server output database: alert, mysql, host=localhost user=snort passwor

18、d=snort dbname=snort 测试Snort 是不是正常工作： c:snortbinsnort -c c:snortetc -l c:snortlog -vdeX -X 参数用于在数据链接层记录raw packet 数据 -d 参数记录应用层的数据 -e 参数显示记录第二层报文头数据 -c 参数用以指定snort 的配置文件的路径 -v 参数用于在屏幕上显示被抓到的包测试Snort 启动Apache和mysql服务。 net start apache2; net start mysql运行ACID：打开阅读器，地址为。若是有图2所示，则表示ACID安装成功。图2 ACID设置成功运

19、行Snort：在运行中输入命令c:snortbinsnort -c c:snortetc -l c:snortlog-de ，若是有图3所示，说明Snort能够正常运行。图3 Snort正常运行(2) 利用安装包快速安装配置Snort。（推荐采用）。以上手动安装，进程比较灵活，但花费时刻校长。也能够采用自动安装包的形式进行安装。自动安装包是一个利用WINRAR制作的自解压程序。将手动安装的文件直接解压到相应位置，这种方式快捷高效，可是要求路径的一致。安装进程如下：执行，弹出自解压界面，必需利用默许安装路径。如图4所示：图 4 默许解压到c:snort解压安装图 5 解压安装解压完毕后，弹出注意

20、事项，看完后关闭，继续安装。提示安装MYSQL，选取默许路径c:mysql。如图6所示：图6 默许安装mysql到c:mysql提示安装，若是已经安装了新版本winpcap，安装进程中会提示有新版本文件，是不是要覆盖。这里要用版的覆盖新版文件，不然会出现问题。提示安装Apache。第一填写服务器信息，选择“for all Users”的推荐设置。图 7 安装apache选择“for All Users，on Port 80” 选择“Custom”安装方式，不采用默许安装路径，设置Apache安装路径为c:apache。图.8 安装apache选择自概念方式图.9 安装apache到c:apac

21、he以后程序会自动解压文件，并最后开启apache和mysql服务。测试进程同手动安装测试步骤。(3) 完善配置文件1) 打开c:/snort/etc/文件，查看现有配置。2)设置snort的内、外网检测范围。将文件中var HOME_NET any语句中的any改成自己所在的子网地址，即将snort监测的内网设置为本机所在局域网。如本地IP为，则将any改成。并将var EXTERNAL_NET any语句中的any改成!，即将snort监测的外网改本钱机所在局域网之外的网络。3) 设置监测包括的规则。找到文件中描述规则的部份，如图10所示：图10 文件中包括的检测规则文件前面加表示该规则没

22、有启用，将之前的号去掉，其余规则维持不变。(4) 利用控制台查看检测结果1) 启动snort并打开acid检测控制台主界面，如图11所示：图11 ACID检测控制台主界面2) 点击右边图示中TCP后的数字“80%”，将显示所有检测到的TCP协议日记详细情形，如图12所示：图12 TCP协议日记网页TCP协议日记网页中的选项依次为：流量类型、时刻戳、源地址、目标地址和协议。由于snort主机所在的内网为，能够看出，日记中只记录了外网IP对内网的连接（即目标地址均为内网）。3) 选择控制条中的“home”返回控制台主界面，在主界面的下部有流量分析及归类选项，如图13所示：图13 acid检测控制台

23、主界面4) 选择“last 24 hours:alerts unique”，能够看到24小时内特殊流量的分类记录和分析，如图14所示：图14 24小时内特殊流量的分类记录和分析能够看到，表中详细记录了各类型流量的种类、在总日记中所占的比例、出现该类流量的起始和终止时刻等详细分析。在控制台主界面中还有其他功能选项，请读者自己练习利用。(5) 配置snort规则下面咱们练习添加一条规则，以对符合此规则的数据包进行检测。1) 打开c:snortrules文件，如图15 所示：图15 文件2) 在规则中添加一条语句，实现对内网的UDP协议相关流量进行检测，并报警：udp ids/dns-version

24、-query。语句如下：alert udp any any $HOME_NET any (msg:udp ids/dns-version-query;content:version;) 保留文件后，退出。3) 重启Snort和acid检测控制台，使规则生效。(6) 利用Snort检测ping解决。Snort主如果利用模式匹配的方式检测解决。其特征值保留在Rules文件夹中。其中文件中的规则alert icmp $EXTERNAL_NET any - $HOME_NET any (msg:ICMP Large ICMP Packet; dsize:800; reference:arachnids

25、,246; classtype:bad-unknown; sid:499; rev:4;)用于检测大的ping包，长度超过800的包即被以为是大包。运行Snort，而且用长度超过800的大包去ping靶机。Ping -l 801 -t (IP地址为靶机地址)同时打开ACID，看是不是有ICMP类报警产生。如图16所示：图.16 利用ACID查看检测结果(7) 利用Snort检测Superscan扫描。Superscan是一款功能壮大的扫描器，能够对搜集各网段主机信息。Snort对Superscan设计了专门的规则，能够实现对Superscan的过滤。运行Snort，打开Superscan对目标网段进行扫描。如图17所示：图 17 利用Superscan扫描网段打开ACID，看是不是有Superscan报警产生。如图18所示：图 18 利用ACID检查Superscan报警5实验要求：1掌握自动安装方式，能够熟练安装Snort。尝试采用手的方式安装。2通过安装和配置Snort，针对步骤（1）（5）写一份完整的实验报告或实验分析。3尝试修改规则，使得Snort小的ping包也会产生报警。尝试添加新的规则，实现对阅读某些网站进行报警。