1、入侵检测入侵检测技术实验目的(1)理解入侵检测的作用和检测原理。(2)理解误用检测和异常检测的区别。(3)掌握Snort的安装、配置和使用等实用技术。打开Windows 2000和XP,通过局域网互联,在Windows 2000或XP中执行以下操作(其中一台入侵检测,另外一台攻击)1安装WinpCap4.1.1。由于需要对网络底层进行操作,安装Snort前需要预先安装WinpCap4.1.1以上版本(WIN32平台上网络分析和捕获数据包的链接库)。2安装和配置IDS软件Snort,选择安装目录为C:Snort。3单击“开始”菜单,选择“运行”命令,输入cmd并按回车键,在命令行方式下输入如下命
2、令:C:Documents and SettingsAdministrator cd c:C:cd SnortbinC:Snortbin 即可将目录转到bin文件夹下。snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。4嗅探器模式:snort从网络上读出数据包然后显示在你的控制台上。如果要把TCP/IP包头信息打印在屏幕上,只要输入命令:/snort v如果要看到应用层的数据,可以使用: /snort vd如果要显示数据链路层的信息
3、,则使用下面的命令:/snort vde或者/snort -d -v -e5数据包记录器如果要把所有的包记录到硬盘上,需要指定一个日志目录,snort就会自动记录数据包:要预先建立一个Log目录。输入下面的命令数据包记录器模式: snort -dve -l c:Snortlog -h 172.16.15.111/24 -K ascii其中,-l选项指定了存放日志的文件夹:-h指定目标主机,这里检测对象是局域网段内的所有主机,如不指定-h,则默认检测本机;-K指定了记录的格式,默认是Tcpdump格式,此处使用ASCII码。在命令行窗口运行了该指令后,将打开保存日志的目录。7在Log目录下自动生
4、成了许多文件夹和文件,文件夹是以数据包主机的IP地址命名的,每个文件夹下记录的日志就是和该外部主机相关的网络流量。8打开其中任一个,使用记事本查看日志文件,会发现文件的内容和嗅探器模式下的屏幕输出类似。9为了查看Snort的运行情况,可以人为制造一些网络攻击流量(使用以前试验中的流量攻击软件)。在局域网的另一台主机上使用软件或命令,探测Snort的主机。回到运行Snort的主机,查看Snort是否已经记录了这次探测的数据包。10在snort规则集目录/rules下新建snort规则集文件new.rules,对来自外部主机的、目标为当前主机90/tcp端口的请求数据包进行报警,报警消息自定义。s
5、nort规则: alter tcp any any - 本机 IP 90 (msg:Telnet Login)11.编辑snort.conf配置文件,使其包含new.rules规则集文件:打开snort.conf,在最后添加新行包含规则集文件new.rules。添加包含new.rules规则集文件语句为 include &RULE PATH/new.rules(3)以入侵检测方式启动snort,进行监听。启动snort的命令为:snort c snort.conf另一台主机以90号端口访问当前主机的telnet服务(opentelnet),检测入侵注:规则和攻击可由自己来指定,只要能实现入侵和检测即可。