实验16-Snort入侵检测

Computernetworksecuritytechnology首都经济贸易大学信息学院计算机科学与应用系郑小玲zxl@cueb.edu.cn信息学院InformationCollageSnort的使用第1章程序设计基础QuitMenuSnort的使用实验目的•通过实验深入理解IDS的原理和工作方式，熟悉入侵检测工具snort在Windows操作系统中的安装和配置方法QuitMenuSnort的使用Snort的使用Snort介绍安装配置SnortSnort的使用QuitSnort介绍Menu1.Snort简介•snort是MartinRoesch等人开发的一种开放源码的入侵检测系统。MartinRoesch把snort定位为一个轻量级的入侵检测系统。它具有实时数据流量分析和IP数据包日志分析的能力，具有跨平台特征，能够进行协议分析和对内容的搜索/匹配。它能够检测不同的攻击行为，如缓冲区溢出、端口扫描、DoS攻击等，并进行实时报警QuitSnort介绍Menu1.Snort简介•snort有三种工作模式：嗅探器、数据包记录器、入侵检测系统。做嗅探器时，它只读取网络中传输的数据包，然后显示在控制台上。作数据包记录器时，它可以将数据包记录到硬盘上，已备分析之用。入侵检测模式功能强大，可通过配置实现，但稍显复杂，snort可以根据用户事先定义的一些规则分析网络数据流，并根据检测结果采取一定的动作QuitSnort介绍Menu1.Snort简介•Snort具有良好的扩展性和可移植性，可支持Linux、windows等多种操作系统平台，在本实验中，主要介绍snort在windows操作系统中的安装和使用方法，以有助于同学们对入侵检测系统的深入理解•在下面的实验内容中涉及到较多mysql数据库服务器以及snort规则的配置命令，为了有助于对实验内容的深入了解，首先对mysql和snort的使用方法进行简单介绍，下面主要介绍基于windows操作系统的操作方法QuitSnort介绍Menu2.mysql的使用•mysql默认安装在C:\mysql文件夹下，其运行文件为C:\mysql\bin\mysql.exe，故在使用时需先在windows命令行方式下进入C:\mysql\bin文件夹，即单击“开始”按钮，选择“运行”，输入cmd后，输入下面的命令：C:\cdmysql\bin出现下面的提示符：C:\mysql\bin在此目录下可连接mysql数据库QuitSnort介绍Menu(1)连接mysql数据库•连接mysql：mysql-h主机地址-u用户名-p用户密码•如果只连接本地的mysql，则可以省去主机地址一项，默认用户的用户名为root，没有密码。故可以用下面的语句登录：mysql-uroot–p回车屏幕上会出现密码输入提示符Enterpassword：由于根用户没有密码，直接回车，出现下面的提示符：mysql这表示已经进入mysql数据库的管理模式，可在此模式下对数据库、表、用户进行管理QuitSnort介绍Menu(2)数据库和表的管理•创建新的数据库：createdatabase数据库名;•注意一定要在命令末尾加上“;”为语句的终止符，否则mysql不会编译该条命令•使用某数据库：use数据库名•在某库中建立表：createtable表名（字段设定列表）•也可以从事先导出的表文件导入数据库中：c:\mysql\bin\mysql-D数据库名-u用户名-p密码路径及文件名•删除数据库：dropdatabase数据库名•删除表：droptable表名QuitSnort介绍Menu(3)用户的管理•创建新用户：grantselecton数据库.*to用户名@登录主机identifiedby密码•为用户分配权限：grant权限on数据库.*to用户名@主机名;QuitSnort介绍Menu(4)退出mysql•退出mysql：quit或exit则可以退出mysql数据库的管理模式，回到操作系统命令行界面。•mysql作为一个功能较强的数据库管理软件，其使用规则还有很多内容，感兴趣的读者可自行查阅mysql联机帮助QuitSnort介绍Menu3.snort的启动•要启动snort，通常在windows命令行中输入下面的语句：c:\snort\binsnort-c配置文件及路径-l日志文件的路径-d-e–X•其中：-X参数用于在数据链接层记录rawpacket数据-d参数记录应用层的数据-e参数显示／记录第二层报文头数据-c参数用以指定snort的配置文件的路径QuitSnort介绍Menu3.snort的启动如：c:\snort\binsnort-cc:\snort\etc\snort.conf-lc:\snort\log-d-e-X•也可以控制snort将记录写入固定的安全记录文件中：c:\snort\binsnort–Afast–c配置文件及路径–l日志文件及路径Quit安装配置SnortMenu1.实验环境•一台安装windows2000/XP操作系统的计算机，连接到本地局域网中注意:在打开PHP文件的时候用的是写字板，而不是记事本Quit安装配置SnortMenu2.需要下载安装的软件Quit安装配置SnortMenu3.安装(1)安装Apache_2.0.46–双击apache_2.0.46-win32-x86-no_src.msi，安装在默认文件夹c:\apache下。安装程序会在该文件夹下自动产生一个子文件夹apache2–打开配置文件c:\apache\apache2\conf\httpd.conf，将其中的Listen8080，更改为Listen50080Quit安装配置SnortMenu(1)安装Apache_2.0.46Quit安装配置SnortMenu(1)安装Apache_2.0.46注意：这是由于windowsIIS中的Web服务器默认情况下在TCP80端口监听连接请求，而8080端口一般留给代理服务器使用，所以为了避免Apacheweb服务器的监听端口与其发生冲突，将ApacheWeb服务器的监听端口修改为不常用的高端端口50080Quit安装配置SnortMenu(1)安装Apache_2.0.46–单击“开始”，选择“运行”，输入“cmd”，进入命令行方式。输入下面的命令：c:\cdapache\apache2\binc:\apache\apache2\bin\apache–kinstall这是将apache设置为windows中的服务方式运行Quit安装配置SnortMenu(2)安装PHP–解压缩php-4.3.2-Win32.zip至c:\php–拷贝c:\php下php4ts.dll至%systemroot%\system32，php.ini-dist至%systemroot%\php.ini。注意：这里的第二步应该是：php.ini-dist至%systemroot%\目录下，然后改名为php.iniQuit安装配置SnortMenu(2)安装PHP–添加gd图形库支持，在php.ini中添加extension=php_gd2.dll。如果php.ini有该句，将此语句前面的“;”注释符去掉Quit安装配置SnortMenu(2)安装PHP注意：这里需要将文件c:\php\extensions\php_gd2.dll拷贝到目录c:\php\下Quit安装配置SnortMenu(2)安装PHP–添加Apache对PHP的支持。在c:\apache\apache2\conf\httpd.conf中添加：LoadModulephp4_modulec:/php/sapi/php4apache2.dllAddTypeapplication/x-httpd-php.phpQuit安装配置SnortMenu(2)安装PHP–单击“开始”按钮，选择“运行”，在弹出的窗口中输入cmd进入命令行方式，输入下面命令：netstartapache2在windows中启动Apacheweb服务Quit安装配置SnortMenu(2)安装PHP–在c:\apache\apache2\htdocs目录下新建test.php测试文件，test.php文件内容为?phpinfo();?–使用，测试PHP是否成功安装，如成功安装，则在浏览器中出现下面的网页：Quit安装配置SnortMenu(2)安装PHPQuit安装配置SnortMenu(3)安装Snort•安装snort-2_0_0.exe，snort的默认安装路径在c:\snortQuit安装配置SnortMenu(4)安装配置MYSQL数据库•安装Mysql到默认文件夹c:\mysql，并在命令行方式下进入c:\mysql\bin，输入下面的命令：c:\mysql\bin\mysqld-nt–install•在命令行方式下输入netstartmysql，启动mysql服务Quit安装配置SnortMenu(4)安装配置MYSQL数据库•单击“开始”按钮，选择“运行”，输入“cmd”，在出现的命令行窗口中输入下面的命令：c:\cdmysql\binc:\mysql\binmysql–uroot–pQuit安装配置SnortMenu(4)安装配置MYSQL数据库•出现Enterpassword提示符后直接回车，这就以默认的没有密码的root用户登录Mysql数据库Quit安装配置SnortMenu(4)安装配置MYSQL数据库•在mysql提示符后输入下面的命令：mysqlcreatedatabasesnort；（注意：在输入分号后mysql才会编译执行语句）mysqlcreatedatabasesnort_archive;(上面的create语句建立了snort运行必须的snort数据库和snort_archive数据库)Quit安装配置SnortMenu(4)安装配置MYSQL数据库•输入“quit”命令退出mysql后，在出现的提示符之后输入：mysql-Dsnort-uroot-pc:\snort\contrib\create_mysqlc:\mysql\binmysql-Dsnort_archive-uroot-pc:\snort\contrib\create_mysql(上面两个语句表示以root用户身份，使用c:\snort\contrib目录下的create_mysql脚本文件，在Snort数据库和snort_archive数据库中建立了snort运行必须的数据表)Quit安装配置SnortMenu(4)安装配置MYSQL数据库注意：以此形式输入的命令后没有“；”屏幕上会出现密码输入提示，由于这里使用的是没有密码的root用户，直接回车即可Quit安装配置SnortMenu(4)安装配置MYSQL数据库•再次以root用户登陆mysql数据库，在提示符后输入下面的语句：mysqlgrantusageon*.*toacid@localhostidentifiedbyacidtest;mysqlgrantusageon*.*tosnort@localhostidentifiedbysnorttest;(上面两个语句表示在本地数据库中建立了acid（密码为acidtest）和snort（密码为snorttest）两个用户，以备后面使用)Quit安装配置SnortMenu(4)安装配置MYSQL数据库•在mysql提示符后面输入下面的语句mysqlgrantselect,insert,update,delete,create,alteronsnort.*to“acid”@“localhost”;mysqlgrantselect,insertonsnort.*to“snort”@“localhost”;mysqlgrantselect,i