实验16Snort入侵检测

snort入侵检测实验报告《snort入侵检测实验报告》摘要：本实验旨在通过使用snort入侵检测系统，对网络中的入侵行为进行监测和分析。

通过搭建实验环境，模拟各种入侵行为，并利用snort系统进行实时监测和报警，最终得出了实验结果并进行了分析。

一、实验背景随着网络技术的不断发展，网络安全问题也日益突出。

入侵检测系统作为网络安全的重要组成部分，扮演着监测和防范网络入侵的重要角色。

snort作为一款开源的入侵检测系统，具有灵活性和高效性，被广泛应用于网络安全领域。

二、实验目的1. 了解snort入侵检测系统的工作原理和基本功能；2. 掌握snort系统的安装和配置方法；3. 利用snort系统对网络中的入侵行为进行实时监测和分析；4. 总结实验结果，提出改进建议。

三、实验环境搭建1. 硬件环境：PC机一台，网络交换机一台；2. 软件环境：Ubuntu操作系统，snort入侵检测系统；3. 实验网络：搭建一个简单的局域网环境，包括多台主机和一个路由器。

四、实验步骤1. 安装和配置snort系统；2. 在实验网络中模拟各种入侵行为，如端口扫描、ARP欺骗、DDoS攻击等；3. 使用snort系统进行实时监测和报警；4. 收集实验数据，进行分析和总结。

五、实验结果通过实验，我们成功搭建了snort入侵检测系统，并对网络中的入侵行为进行了监测和分析。

实验结果显示，snort系统能够有效地检测到各种入侵行为，并及时发出警报。

同时，我们也发现了一些不足之处，如对于一些新型的入侵行为可能无法及时识别和防范。

六、实验结论snort入侵检测系统是一款高效、灵活的入侵检测工具，能够有效地监测和防范网络入侵行为。

然而，也需要不断改进和完善，以应对不断变化的网络安全威胁。

七、改进建议1. 不断更新snort系统的规则库，以适应新型的入侵行为；2. 加强对snort系统的配置和管理，提高其检测和防范能力；3. 结合其他安全设备，构建多层次的网络安全防护体系。

入侵检测技术实验Snort网络入侵检测学院：班级：姓名：学号：一、实验目的1)掌握数据库的使用方法和MySQLfront的安装使用方法2)掌握wireshark抓取数据包分析关键特征以及相关格式内容3)掌握病毒的工作原理和通信过程，交互的信息4)将这门课的内容结合实际进行分析和实践二、实验原理1)实验环境：WinPcap_4_1_2.exe 网络数据包截取驱动程序Snort_2_9_1_Installer.exe Windows 版本的Snort 安装包mysql-5.5.18-win32.msi Windows 版本的mysql安装包MySQL_Front_Setup.1765185107.exe mysql数据库可视化软件snortrules-snapshot-CURRENT.tar.gz Snort规则库Wireshark-win32-1.12.0.1410492379.exe抓包分析工具2)实验环境的搭建按照所给文档“Windows XP下安装配置Snort”的提示安装所需的软件，下面几个图片是成功安装的图片：图（1）建立snort库图（2）成功建立snort库图（3）成功启动snort进行检测至此，实验环境搭配成功。

三、实验内容1)测试检测效果测试虽然成功启动snort，但不能确定是否成功，故此测试任意IP端口进行测试配置此时的规则，修改local.rules文件，改规则为：alert ip any any -> any any (msg: "IP Packet detected";sid:1000000;)此时结果如下图：图（4）检测测试成功下面对选择的5款软件进行测试：2)凤凰RemoteABC 2008图（4）凤凰RemoteABC 2008抓取通信数据包分析特征：此时知道关键字为“8b4ca58172880bb”，通信协议为tcp，用此关键字作为特征进行抓取具体规则为：alert tcp any any -> any any (msg: "fenghuang";content:"8b4ca58172880bb"sid:104;)3)iRaT_Client抓取通信数据包进行分析：此时知道关键字为”Tnhou3JjfA==”，通信协议为tcp那么制作规则为：alert tcp any any -> any any (msg: "IRAT";content: "Tnhou3JjfA=="sid:100;)成功截取iRaT_Client的存在4)pcshare截取通信数据包进行分析：此时知道关键字为“Innnnnnnnnnnnnnnnnnnnnnnnn”，通信协议为tcp 则规则为：alert tcp any any -> any any (msg: "pcshare";content:"Innnnnnnnnnnnnnnnnnnnnnnnn "sid:1000;)检测pcshare成功5)任我行netsys截取通信数据包进行分析知，关键字为“UELHRU9ODQONC”,通信协议为tcp规则为：alert tcp any any -> any any (msg: "renwoxing";content: "UELHRU9ODQONC "sid:2110;)此时检测成功6)红黑远控截取通信数据包进行分析知，关键字为“Msg0008”,通信协议为tcp规则为：alert tcp any any -> any any (msg: "honghei";content: "Msg0008 "sid:102;)此时检测成功至此，五个小软件都测试成功。

遵义师范学院计算机与信息科学学院告验报实）学期2013—2014学年第1 （网络安全实验课程名称：班级：号：学姓名：任课教师：计算机与信息科学学院．实验报告1闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

这些都通过它执行以下任务来实现：监视、分析用户及系统活动··系统构造和弱点的审计·识别反映已知进攻的活动模式并向相关人士报警·异常行为模式的统计分析·评估重要系统和数据文件的完整性·操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。

更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。

而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。

入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

:两种特征检测与异常检测入侵检测系统所采用的技术可分为，这一检测假设入侵Misuse detection 特征检测(Signature-based detection) 又称者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。

其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

的假设是入侵者活动异常于正常主体的活动。

根据这一(Anomaly detection)异常检测理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。

异常检测的难题在于如何从而不把正常的操作作为“入侵”或忽略真建立“活动简档”以及如何设计统计算法，正的“入侵”行为入侵检测系统：Snort(Open C语言开发了开放源代码1998年，MartinRoesch先生用Snort简介：在已发展成为一个多平台直至今天，SnortSource)的入侵检测系统Snort.记录等特性的(Pocket)流量分析，网络IP数据包(Multi-Platform),实时(Real-Time)(Network IntrusionDetection/Prevention System),防御系统强大的网络入侵检测/在网上——GUN General Pubic License),(GPL即NIDS/NIPS.Snort符合通用公共许可基于并且只需要几分钟就可以安装并开始使用它。

遵义师范学院计算机与信息科学学院实验报告（2013—2014学年第1 学期）课程名称：网络安全实验班级：学号：姓名：任课教师：计算机与信息科学学院实验报告闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

这些都通过它执行以下任务来实现：·监视、分析用户及系统活动· 系统构造和弱点的审计· 识别反映已知进攻的活动模式并向相关人士报警· 异常行为模式的统计分析· 评估重要系统和数据文件的完整性·操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。

更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。

而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。

入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

入侵检测系统所采用的技术可分为特征检测与异常检测两种:特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。

其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。

根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。

异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为Snort入侵检测系统：Snort简介：在1998年，Martin Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天，Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共许可(GPL——GUN General Pubic License),在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它。

实验网络入侵检测系统（Snort）实验一、实验平台的搭建1）实验软件：（1）windows server 2003或Windows 2000 Server镜像文件（2）网络数据包截取驱动程序WinPcap_4_1_2.ziphttp://winpcap.polito.it/（3）Windows 版本的Snort 安装包Snort_2_9_0_5_Installer.exe/（4）Windows 版本的Apache Web 服务器apache_2.2.4-win32-x86-no_ssl.zip/（5）Windows版本的PHP脚本环境支持php-5.2.5-Win32.zip/（6）Windows 版本的Mysql 数据库服务器mysql-5.0.22-win32.zip/（7）ACID（Analysis Console for Intrusion Databases）基于PHP的入侵检测数据库分析控制台acid-0.9.6b23.tar.gz/kb/acid（8）Adodb（Active Data Objects Data Base）PHP库adodb504.tgz/adodb（9）PHP图形库jpgraph-2.3.tar.gzhttp://www.aditus.nu/jpgraph（10）snort 规则包rules20090505.tar.gz2）安装步骤：（1）组件的安装：在c:下建立duoduo的文件夹，再在其下建立duo的文件夹放入所有的安装程序，在后续的安装时，把可以选择安装路径的组件安装在duoduo的文件夹下①装WinPcap运行WinPcap_4_1_2.zip，默认安装。

②装mysql运行mysql-5.0.22-win32.zip，选择自定义安装选择安装路径C:\duoaduo\mysql下，安装时注意：端口设置为3306（以后要用到），密码本实验设置成123，添加环境变量：图4-4 配置环境变量③安装apache运行apache_2.2.4-win32-x86-no_ssl.zip安装到c:\duoaduo\apache④下面安装php：解压php-5.2.5-Win32到c:\duoaduo\php添加gd图形库支持复制c:\duoaduo\php\php5ts.dll和c: \duoaduo\php\libmysql.dll文件到%systemroot%\system32 查询本机的%systemroot%复制c: \duoaduo\php\php.ini-dist到%systemroot%并重命名为php.ini，修改php.ini，分别去掉“extension=php_gd2.dll”和“extension=php_mysql.dll”前的分号，并指定extension_dir="c:\duoaduo\php\ext"，同时复制c:\duoaduo\php\ext下的php_gd2.dll与php_mysql.dll到%systemroot%\system32在C:\duoaduo\apache\conf\httpd.conf中添加LoadModule php5_module c:/duoaduo/php/php5apache2_2.dll和AddType application/x-httpd-php .php，AddType application/x-httpd-php-source .phps重启Apache服务在C:\duoaduo\apache\htdocs目录下新建webinf.php（文件内容为：<?phpinfo();?>）并使用http://127.0.0.1/webinf.php访问测试是否能够显示当前Apache服务器的信息，如果能够显示表明Apache和php工作基本正常⑤安装Snort运行Snort_2_9_0_5_Installer.exe安装在C:\duoaduo\Snort下即可，运行C:\duoaduo\Snort\bin\snort.exe⑥安装adodb解压缩adodb 到c:\ids\php5\adodb 文件夹下。

⼊侵检测软件Snort的使⽤实验1．安装和配置 IDS 软件 Snort并查看⽹卡信息从返回的结果可知主机上有哪个物理⽹卡正在⼯作及该⽹卡的详细信息。

图中显⽰此计算机只有1个⽹卡，且该⽹卡具有物理地址。

2.输⼊ snort –v –i1命令启⽤ Snort并捕捉到⼀些流量3. 配置snort3.1打开 snort配置⽂件，设置 Snort 的内部⽹络和外部⽹络⽹络检测范围。

将 Snort.conf ⽂件中的 var HOME_NET any 语句的 any 改为⾃⼰所在的⼦⽹地址，即将Snort 监测的内部⽹络设置为所在的局域⽹。

我实验的机器ip地址为192.168.1.131，故⼦⽹地址应该为192.168.1.0/243.2配置⽹段内提供⽹络服务的 IP 地址，只需要把默认的$HOME_NET 改成对应的主机地址即可。

var DNS_SERVERS $HOME_NETvar SMTP_SERVERS HOME N ETvarHTTP S ERVERS HOME_NETvar SQL_SERVERS HOME N ETvarTELNET S ERVERS HOME_NETvar SNMP_SERVERS $HOME_NET3.3配置动态预处理器库# path to dynamic preprocessor librariesdynamicpreprocessor directory c:\Snort\lib\snort_dynamicpreprocessordynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dce2.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dns.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_sdf.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssl.dlldynamicengine c:\Snort\lib\snort_dynamicengine\sf_engine.dll3.4修改配置⽂件 classification.config 和 reference.config的路径:include c:\Snort\etc\classification.configinclude c:\Snort\etc\reference.config其中 classification.config ⽂件保存的是规则的警报级别相关的配置，reference.config ⽂件保存了提供更多警报相关信息的链接。

Snort入侵检测系统实验小组成员：09283012092830251.实验概述Snort是一套开放源代码的网络入侵预防软件与网络入侵检测软件。

Snort使用了以侦测签章（signature-based）与通讯协定的侦测方法。

Snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。

嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。

数据包记录器模式把数据包记录到硬盘上。

网路入侵检测模式是最复杂的，而且是可配置的。

我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。

Snort最重要的用途还是作为网络入侵检测系统(NIDS)。

本次实验任务主要有：(1)在虚拟机中的ubuntu上安装Snort。

(2)描述Snort规则并进行检测。

2.实验环境1. 主机CPU: Pentium 双核*************2. Vmware版本: VMware Workstation3. Linux发行版: Ubuntu 11.044. Linux 内核: Linux 2.6.383.实验过程由于Ubuntu 是Debian 系的Linux，安装软件非常简单，而且Ubuntu 在中国科技大学有镜像，在教育网和科技网下载速度非常快(2~6M/s)，就省掉了出国下载安装包的麻烦，只需要一个命令即可在几十秒钟内安装好所有软件。

具体实验步骤如下：1需要注意的是在安装MySQL 数据库时会弹出设置MySQL 根用户口令的界面，临时设置其为“test”。

2、在MySQL 数据库中为Snort 建立数据库。

Ubuntu 软件仓库中有一个默认的软件包snort-mysql 提供辅助功能，用软件包管理器下载安装这个软件包。

以下是代码片段：$ sudo apt-get install snort-mysql3、安装好之后查看帮助文档：$ less /usr/share/doc/snort-mysql/README-database.Debian根据帮助文档中的指令，在MySQL 中建立Snort 的数据库用户和数据库。