遵义师范学院计算机与信息科学学院实验报告(2013—2014学年第1 学期)课程名称:网络安全实验班级:学号:姓名:任课教师:计算机与信息科学学院实验报告闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
这些都通过它执行以下任务来实现:·监视、分析用户及系统活动· 系统构造和弱点的审计· 识别反映已知进攻的活动模式并向相关人士报警· 异常行为模式的统计分析· 评估重要系统和数据文件的完整性·操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。
更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。
而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。
入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。
入侵检测系统所采用的技术可分为特征检测与异常检测两种:特征检测(Signature-based detection) 又称Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。
其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。
根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。
异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为Snort入侵检测系统:Snort简介:在1998年,Martin Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共许可(GPL——GUN General Pubic License),在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它。
snort基于libpcap。
Snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。
嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。
数据包记录器模式把数据包记录到硬盘上。
网络入侵检测模式是最复杂的,而且是可配置的。
我们可以让snort 分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。
Snort原理:Snort能够对网络上的数据包进行抓包分析,但区别于其它嗅探器的是,它能根据所定义的规则进行响应及处理。
Snort 通过对获取的数据包,进行各规则(二)、实验内容:(1)在Windows下安装Sort工具。
(2)Snort入侵检测系统配置。
(3)Snort入侵检测系统检测ICMP PING扫描。
(4)Snort入侵检测系统来自外网的ICMP PING扫描。
(5)Snort入侵检测系统与防火墙联动。
(三)、实验步骤(因为此次实验在windows系统下进行,所以软件安装步骤较多,具体如下):1.Windows 下安装Snort以及其他工具安装1)首先在windows下先安装apache windows服务器,并安装至C:\IDS\APACHE 文件夹内,在弹出来的因为此版本是集成了PHP,MY SQL的,所以直接点击安装。
安装过程中会提示输入SQL密码以及apache的root名和管理员邮箱,输入即可。
在此处我们输入的邮箱为********************,帐户名为Tokyo,密码设置为123456.2)将C:\ids\php5\ Php5ts.dll复制到WINDOWS和WINDOWS\system32目录3)添加GD图形库的支持,将C:\WINDOWS下的PhP.ini中把“;extension=php_gd2.dll”和“;extension=php_mysql.dll”这两条语句前面的分号去掉。
4)将C:\ids\php5\ext下的文件php_gd2.dll,php_mysql.dll复制至C:\windows 下;将php_mysql.dll复制至C:\windows\system32下;5)添加APACHE对PHP的支持。
在C:\ids\apache\conf\httpd.conf的末尾添加以下语句:LoadModule php5_module c:/ids/php5/php5apache2_2.dllAddType application/x-httpd-php .php6)重启APACHE。
7)在C:\ids\APACHE\htdocs目录下新建TEST.PHP,内容:<?phpinfo();?>。
在IE中测试PHP是否成功安装。
8)安装WINPCAP。
此处安装了一个带有winpcap的软件,由于前次实验已经安装在电脑上就不再安装。
9)安装SNORT至C:\ids\snort。
安装时会提示选择组件以及是否用数据库,这里我们先不选择数据库,组件默认四个全部安装,安装完成后运行一次MYSQL,,安装目录如下图:10)在命令行方式下,进入c:\ids\snort\bin,执行命令:snort –W,测试SNORT 是否成功安装。
出现以下提示则安装成功。
11)将C:\IDS\Snort\schemas里面的create_mysql复制到C:\根目录下,如图:12)安装adodb,将实验实现准备好的额adodb文件夹复制至c:\php5\adodb 目录下:13)安装jpgraph,将实验实现准备好的 jpgraph文件夹复制至c:\php5\jpgraph。
修改C:\php5\jpgraph\src\jpgraph.php:DEFINE(“CACHE_DIR”,”/tmp/jpgraph_cache”);14)创建数据库,创建表,进入cmd界面,执行以下命令:cd\,mysql -u root –p,输入密码后,登录mysql建两个数据库:create database snort;create database snort_archive;验证一下show databases;2.运行Snort:1)进入Mysql控制台,建立SNORT运行必须的SNORT数据库和SNORT_ARCHIVE数据库。
输入mysql -h localhost -u root -p123456 < c:\snort_mysql.sql :2)复制C:\ids\snort\schames下的create_mysql文件到C:\ids\snort\bin下。
3)在命令行方式下分别输入和执行以下两条命令。
mysql -D snort -u root -p < C:\create_mysqlmysql -D snort_archive -u root -p < c:\create_mysql4)查看数据库:show databases5)修改该目录下的ACID_CONF.PHP文件,修改内容如下:$DBlib_path = "c:\ids\php5\adodb";$DBtype = "mysql";$alert_dbname = "snort";$alert_host = "localhost";$alert_port = "3306";$alert_user = "acid";$alert_password = “123456";/* Archive DB connection parameters */$archive_dbname = "snort_archive";$archive_host = "localhost";$archive_port = "3306";$archive_user = "acid";$archive_password = “123456";$ChartLib_path = "c:\ids\php5\jpgraph\src";6)重启APACHE服务。
在IE中输入:http://localhost/acid/acid_db_setup.php,打开页面后,单击Create ACID AG按钮,建立数据库。
7) 解压缩SNORT规则包。
将事先准备的SNORT规则包的所有文件解压缩至:C:\ids\snort下,替换其中的文件和文件夹。
8)配置SNORT,打开snort配置文件c:\snort\etc\snort.conf将include classification.configinclude reference.config改为绝对路径include c:\snort\etc\classification.configinclude c:\snort\etc\reference.config9)启动SNORT入侵检测。
以命令行下输入以下命令,启动SNORT程序。
(如果希望看到SNOR抓取的数据包,可以-X之后加-V。
10)执行以下命令加速SNORT并保存配置3.查看统计数据:1)从安装有SNORT的主机上打开http://192.168.1.60/acid/acid_main.php,进入ACID分析控制台主界面,从中便可以查看到统计数据。
至此,基于SNORT的入侵检测系统配置结束。
后续工作则是完善SNORT规则配置文件。
可以在命令行中看见snort监测数据。
重新做了一边实验以后,显示以下内容,算是成功吧。
到此,实验结束。
总结:。