入侵检测课程设计.doc
- 文档编号:234292
- 上传时间:2022-10-07
- 格式:DOC
- 页数:31
- 大小:1.97MB
入侵检测课程设计.doc
《入侵检测课程设计.doc》由会员分享,可在线阅读,更多相关《入侵检测课程设计.doc(31页珍藏版)》请在冰豆网上搜索。
一、Snort的安装、配置和使用
1.1实验目的
(1)掌握在linux下的snort工具的安装、配置、使用方法,实现捕捉Telnet、FTP、HTTP等协议的数据包。
(2)利用snort的检测功能,完成对一些攻击的检测.加深对各种攻击软件的了解.
(3)配合课堂授课内容,全面了解snort这个著名的开源入侵检测工具的实现方法和原理.
(4)为利用第三方软件分析进一步分析数据打下基础。
1.2实验内容
(1)进一步熟悉linux下的基本命令,安装配置snort
(2)掌握Snort作为嗅探器和数据包记录器方式的使用方法,及主要命令参数的含义。
(3)比较snort和tcpdump有何不同。
(4)打开/etc/snort.conf,理解Snort.conf文件中的相关配置参数。
(5)掌握snort的入侵检测工作方式的命令行使用方法。
(6)自已编写一个规则,并利用此规则进行检测,产生报警日志
1.3实验要求
(1)认真完成所规定的实验内容。
(2)使用Snort作为嗅探器和数据包记录器方式的命令捕获数据包。
(3)通过采用不同的参数,进行操作,掌握其功能。
如–v,-d,-e,-l,-r等参数的使用。
(4)将所捕获的数据包内容存储在文件中,文件名命名规则是lab1_学号
(5)对snort进行配置,完成一个入侵检测的工作。
要求检测到TCP包中的某个特征码,并给出应的报警信息。
(6)认真完成每一个实验步骤,并做好记录。
1.4实验准备
(1)熟悉linux基本命令
(2)熟悉linux系统的安装配置
(3)熟悉虚拟机的安装和操作
(4)理解入侵检测系统的基本原理和实现技术
(5)理解Snort的工作原理
1.5实验步骤
一、安装snort
1、更新Ubuntu软件源,
2、进入终端,提升用户权限sudosu
3、更新软件列表sudoapt-getupdate
4、安装snort(Ubuntu12.04软件列表中的snort默认是2.9,之前版本的软件列表的snort版本是较低版本):
sudoapt-getinstallsnort
5、Snort–v
6、Snort–vd
7、snort–vde
alertipanyany->anyany(msg:
"GotanIPPacket";classtype:
not-suspicious;sid:
2000000;rev:
1;)
alerticmpanyany->anyany(msg:
"GotanICMPPacket";classtype:
not-suspicious;sid:
2000001;rev:
1;)
alerticmpanyany->anyany(msg:
"ICMPLargeICMPPacket";dsize:
>800;reference:
arachnids,246;classtype:
bad-unknown;sid:
2000499;rev:
4;)
前面两个规则分别在捕获任何IP数据包和ICMP数据包的时候产生一个告警。
因为它们在遇到每一个数据包的时候都触发告警,所以在数据流量很大的网络段不适合使用这些规则!
如果必要的话,请在一个小网络段或测试网络段使用这些规则。
最后一个规则是对499号签名ID(标准规则)的拷贝进行修改以放宽产生告警的门限来满足我们的测试目的(注意:
Snort.org组织将1-1,000,000的签名ID号留给“正式”规则使用,详情请查看Snort的用户使用手册)。
正常情况下你应该避免放宽告警门限,因为这样会产生很多的误告警。
1.6实验总结:
通过这次的课程设计掌握在linux下的snort工具的安装、配置、使用方法,实现捕捉Telnet、FTP、HTTP等协议的数据包。
利用snort的检测功能,完成对一些攻击的检测.加深对各种攻击软件的了解.结合课堂授课内容,全面了解snort这个著名的开源入侵检测工具的实现方法和原理.为利用第三方软件分析进一步分析数据打下基础。
二、用Snort构建实用的入侵检测系统
2.1实验目的
(1)网络数据获取与分析是网络入侵检测系统的基础。
通过实验让同学们掌握网络数据获取及数据还原的方法和实现。
(2)通过实验让同学们加深对网络数据获取原理的理解。
(3)通过实验让同学们初步了解在linux下的程序开发过程、开发环境。
(4)为利用第三方软件分析进一步分析数据打下基础。
2.2实验内容
(1)安装除snort以外的其它软件,如Apach、PHP、mysql、acid的安装等相关软件。
(2)完成相应的配置文件的配置,如配置数据库输出插件、制订入侵防范策略等
(3)能利用下载的检测规则,检测入侵。
(4)自已完成一条规则的编写,并进行正确性测试。
(5)完成对检测规则的压力测试。
2.3实验要求
(1)认真完成所规定的实验内容。
(2)将配置文件的的改动部分存储下来,传送到系ftp服务器上。
文件名命名规则是Lab2_学号
(3)所操作的重要步骤和结果用截屏的方法和文件的方式保存和存储,并送到ftp服务器上
(4)认真完成每一个实验步骤,并做好记录。
(5)根据所做的全部实验做一个简单总结。
2.4实验准备
(1)熟悉linux基本命令
(2)熟悉linux系统的安装配置
(3)熟悉虚拟机的安装和操作
(4)理解入侵检测系统的基本原理和实现技术
(5)理解Snort的工作原理
(6)参考教材参考资料及网上有关资料
2.5实验步骤
一、LAMP服务器配置
1、提升权限
用sudosu提升用户权限。
2、更新软件包列表。
用apt-getupdate获取最新的软件包列表(如果不执行这一部可能在出现未发现软件包的现象)
3、安装MySQL5
apt-getinstallmysql-servermysql-client
安装过程中会遇到如下图的两个界面。
要求提供一个MySQLroot用户的密码-这个密码是为用户有效的根@本地主机以及作为root@的,所以我们不会有手动指定一个MySQLroot密码后:
MySQL的“root”用户:
新密码-yourrootsqlpassword
重复密码:
<-yourrootsqlpassword
3、安装Apache2
Apt-getinstallApache2
修改apache默认目录(不修改也可以用,这里暂时不加阐述)
安装完成重启Apache/etc/init.d/apache2restart在浏览器中输入本机ip或是localhost
显示如下午即为安装成功。
4、安装PHP5
apt-getinstallphp5libapache2-mod-php5
重启Apache
/etc/init.d/apache2restart
5、测试的PHP5/获取PHP5安装的详细信息
默认网站的文件根目录是/var/www下面。
现在,我们将在该目录中创建一个小型PHP文件(info.php的)和在浏览器中调用它。
该文件将显示很多关于我们的PHP安装,如安装的PHP版本,有用的细节。
vi/var/www/info.php
php
phpinfo();
?
>
在浏览器中输入http:
//本机ip/info.php或localhost/info.php
正如你所看到的,PHP5的工作,它通过Apache2.0的处理程序,在服务器API线。
如果你继续向下滚动,你会看到所有在PHP5中已经启用的模块。
MySQL是没有列出,这意味着我们不必在PHP5支持MySQL
6、安装需要的Mysql对php支持包
可以用命令查找:
apt-cachesearchphp5
7、获得MySQL支持在PHP5
phpMyAdmin是一个网络接口,通过它可以管理你的MySQL数据库。
安装:
apt-getinstallphpmyadmin
你会看到以下问题点确定
安装完成之后在浏览器中输入localhost查看是否成功。
如果出现notfound错误,解决方法是进入var/www/目录下给phpmyadmin加一个软连接
命令如下:
cd/var/www/
sudo ln–s/usr/share/phpmyadmin
当配置都成功了可以看到phpmyadmin的界面,下图是我建完snort时的截图可能会你们看的的不同。
安装、配置Snort
安装过程中需要进行配置,配置过程如下:
sudosu
apt-getupdate
apt-getinstallsnort-mysql
Snort-mysql软件包安装完成后,在/usr/share/doc/snort-mysql/目录下放置了一些文档,可以使用如下方法查看文档
为snort创建数据库过程
mysql–uroot–p
createdatabasesonrtdb
grantcreat,insert,select,updateonsnort.*tosnort@localhost;
setpasswordforsnort@localhost=PASSWOED(‘snortpassword’);
exit;
测试创建的数据用户:
mysql–usnort–psnortpassword
能进入则证明创建成功;
将snort-mysql附带的sql文件导入数据库:
cd/uer/share/doc/snort-mysql/
zcatcreat_mysql.gz|mysqlsnortdb–usnort–psnortpassword
将/etc/snort/db-pending-config文件删除:
rm/etc/snort/db-pending-config
配置snort
在配置文件的第50行,将其修改为我们要监控的网段
varHOME_NET10.0.2.55/24
varEXTERNAL_NET!
$HOME_NET
在配置文件的第700行,找到“outoutdatabase:
log,mysql,”一行,如果此行没有被注释掉则注释掉,按照此行格式写一个新的;
该设置使Snort将log和alert信息都写入到指定的MySQL数据库中。
在/var/log/snort/目录下创建alert文件,并更改所有者为snort,否则snort因不能写入这个文件无法启动,
cd/var/log/snort/
touchalert
chownsnortalert
设置完成后,测试配置是否正常:
snort–c/etc/snort/snort.conf
最后出现这个画面,说明配置成功了,按“Ctrl+C”键即可退出。
用如下命令查看/var/log/syslog日志文件:
cat/var/log/syslog|grepsnort|grepERROR
安装、配置acidbase软件包
apt-getinstallacidbase
此时,数据库选择MyS
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵 检测 课程设计