实验八 入侵检测系统snort的使用

【实验目的】

1) 理解入侵检测的作用和检测原理。

2) 掌握Snort的安装、配置和使用等实用技术。

【实验环境】

Windows系统、snort软件、nmap软件

【实验重点及难点】

重点：入侵检测的工作原理。

难点：snort的配置文件的修改及规则的书写。

【Snort简介】

Snort是一套开放源代码的网络入侵预防软件与网络入侵检测软件。Snort使用了以侦测签章（signature-based）与通讯协定的侦测方法。截至目前为止，Snort的被下载次数已达到数百万次。Snort被认为是全世界最广泛使用的入侵预防与侦测软件。

【实验步骤】

1、从ftp上下载所需要的软包，winpcap，snort，nmap。安装软件前请阅读readme文件。

2、注意安装提示的每一项，在选择日志文件存放方式时，请选择“不需要数据库支持或者snort默认的MySQL和ODBC数据库支持的方式”选项。

3、将snort.exe加入path变量中（该步骤可选，否则要切换到安装路径下执行命令）。

4、执行snort.exe，看能否成功执行，并利用“-W”选项查看可用网卡。如下：

上例有两个网卡，其中第二个是可用网卡，注意识别你自己机器上的网卡！

注：snort的运行模式主要有3种：嗅探器模式（同sniffer）、数据包记录器模式和网络入侵检测模式。

5、嗅探器模式

嗅探器模式就是snort从网络上读出数据包然后显示在你的控制台上。可用如下命令启动该模式：

snort –v –i2     //-i2 指明使用第二个网卡，该命令将IP和TCP/UDP/ICMP的包头信息显示在屏幕上。如果需要看到应用层的数据，使用以下命名：

snort –v –d –i2

更多详细内容请参考http://man.chinaunix.net/network/snort/Snortman.htm。

6、数据包记录器模式

该模式将在屏幕上的输出记录在LOG文件中（需要事先建立一个log目录）。

命令格式如下：

snort –vd –i2 –l d:\\log    //将数据记录在d盘下的log目录下，-l选项指定记录的目录

运行该模式后，到log目录下查看记录的日志的内容。

snort –vd –i2 –h IP –l d:\\log  //IP：本机IP，-h 指定目标主机

运行上述命令后，去ping另一台主机，查看日志，这个ping是否被记录下来？

7、网络IDS模式，该模式是snort的最重要的实现形式。相对于数据包记录器模式，该模式只是增加了一个选项“-c”，用于指明所使用的规则集snort.conf（在IDS模式下必须指定规则集文件）。打开\\etc\\snort.conf，对snort的配置文件进行修改，包括检测的内范围，以及文件路径的格式修改为Windows下的格式，注释掉没有使用的选项。

8、下载规则集，放入ruler下面（默认已经安装），并对检查snort.conf中的指定的规则集(在文件末尾)与你下载的规则集一致，注释掉没有的规则。（请查看下载的snort.conf文件进行修改）。

9、在任意盘下建立日志记录文件夹log，比如F盘，f:\\log。

10、启动snort的入侵检测模式，如：snort.exe –i4 –dev –l f:\\log –c c:\\snort\\etc\\snort.conf，检查snort能否正常启动，如有错误根据错误提示进行排错。

注意：上面命令使用的是第4个网卡接口；记录应用层，数据链层的信息；日志记录在f:\\log下；配置文件路径是c:\\snort\\etc\\snort.conf。

11、snort安装成功后，使用nmap扫描器，对安装snort的主机进行扫描，完成后查看log日志下的alert.ids文件内容，并分析记录的内容。

12、编辑自己的规则，如通过捕捉关键字“search”记录打开Google网页的动作，并将符合规则的数据包记录到alert.ids文件。步骤如下：首先打开ruler目录下的experimental.rules文件，添加如下内容：

alert tcp $HOME_NET any -> any 80 (content:"search";nocase;sid:100000;msg:"google search query";),保存修改，启动snort进行测试规则的有效性，并分析结果。

13、学习http://man.chinaunix.net/network/snort/Snortman.htm网页内容，书写更多自己的规则。