snort入侵检测演示教学

入侵检测技术实验Snort网络入侵检测学院：班级：姓名：学号：一、实验目的1)掌握数据库的使用方法和MySQLfront的安装使用方法2)掌握wireshark抓取数据包分析关键特征以及相关格式内容3)掌握病毒的工作原理和通信过程，交互的信息4)将这门课的内容结合实际进行分析和实践二、实验原理1)实验环境：WinPcap_4_1_2.exe 网络数据包截取驱动程序Snort_2_9_1_Installer.exe Windows 版本的Snort 安装包mysql-5.5.18-win32.msi Windows 版本的mysql安装包MySQL_Front_Setup.1765185107.exe mysql数据库可视化软件snortrules-snapshot-CURRENT.tar.gz Snort规则库Wireshark-win32-1.12.0.1410492379.exe抓包分析工具2)实验环境的搭建按照所给文档“Windows XP下安装配置Snort”的提示安装所需的软件，下面几个图片是成功安装的图片：图（1）建立snort库图（2）成功建立snort库图（3）成功启动snort进行检测至此，实验环境搭配成功。

三、实验内容1)测试检测效果测试虽然成功启动snort，但不能确定是否成功，故此测试任意IP端口进行测试配置此时的规则，修改local.rules文件，改规则为：alert ip any any -> any any (msg: "IP Packet detected";sid:1000000;)此时结果如下图：图（4）检测测试成功下面对选择的5款软件进行测试：2)凤凰RemoteABC 2008图（4）凤凰RemoteABC 2008抓取通信数据包分析特征：此时知道关键字为“8b4ca58172880bb”，通信协议为tcp，用此关键字作为特征进行抓取具体规则为：alert tcp any any -> any any (msg: "fenghuang";content:"8b4ca58172880bb"sid:104;)3)iRaT_Client抓取通信数据包进行分析：此时知道关键字为”Tnhou3JjfA==”，通信协议为tcp那么制作规则为：alert tcp any any -> any any (msg: "IRAT";content: "Tnhou3JjfA=="sid:100;)成功截取iRaT_Client的存在4)pcshare截取通信数据包进行分析：此时知道关键字为“Innnnnnnnnnnnnnnnnnnnnnnnn”，通信协议为tcp 则规则为：alert tcp any any -> any any (msg: "pcshare";content:"Innnnnnnnnnnnnnnnnnnnnnnnn "sid:1000;)检测pcshare成功5)任我行netsys截取通信数据包进行分析知，关键字为“UELHRU9ODQONC”,通信协议为tcp规则为：alert tcp any any -> any any (msg: "renwoxing";content: "UELHRU9ODQONC "sid:2110;)此时检测成功6)红黑远控截取通信数据包进行分析知，关键字为“Msg0008”,通信协议为tcp规则为：alert tcp any any -> any any (msg: "honghei";content: "Msg0008 "sid:102;)此时检测成功至此，五个小软件都测试成功。

网络攻击检测工具使用教程随着互联网的普及和发展，网络安全问题变得越来越重要。

各种网络攻击如病毒、木马、网络钓鱼等威胁着我们的个人隐私和财产安全。

为了保护自己的网络安全，使用网络攻击检测工具成为了一种必要的选择。

一、什么是网络攻击检测工具网络攻击检测工具是一种用于发现和预防网络攻击的软件。

它可以监控网络流量，识别和预防各种恶意行为，保护网络的安全。

常见的网络攻击检测工具包括Snort、Wireshark、Suricata等。

二、Snort的使用方法Snort是一种自由开源的网络入侵检测系统，它可以实时监控网络流量，并对流经网络的数据包进行分析，以检测潜在的攻击行为。

使用Snort需要先安装它的运行环境，然后进行配置。

在配置文件中，可以设置规则来定义需要监控的网络流量和检测的攻击行为。

配置完成后，启动Snort并让它开始监控网络流量。

Snort可以通过命令行界面或者图形化界面进行操作和监控。

在监控过程中，可以查看实时的攻击日志和报警信息，并对检测到的攻击行为进行响应和处理。

三、Wireshark的使用方法Wireshark是一种网络协议分析器，它可以截获网络数据包并对其进行分析，以便了解网络流量的情况和发现潜在的安全问题。

Wireshark支持多种操作系统，包括Windows、Linux和Mac OS。

使用Wireshark需要先安装它的运行环境，并设置网络接口来进行数据包的捕获。

捕获到的数据包可以进行过滤和分析，以了解网络流量的情况和发现潜在的攻击行为。

Wireshark提供了丰富的分析工具和功能，可以对网络数据包进行深入的分析和检测。

用户可以根据自己的需求来设置过滤条件和分析规则，以发现和防范各种网络攻击。

四、Suricata的使用方法Suricata是一种高性能的网络入侵检测系统，它可以实时监控网络流量，并对流经网络的数据包进行深度分析，以发现和预防各种恶意行为。

Suricata支持多种协议和文件格式，包括IP、TCP、HTTP、DNS等。

网络安全实验S n o r t网络入侵检测实验(总6页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除遵义师范学院计算机与信息科学学院实验报告（2013—2014学年第1 学期）课程名称：网络安全实验班级：学号：姓名：任课教师：计算机与信息科学学院实验报告·操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。

更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。

而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。

入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

入侵检测系统所采用的技术可分为特征检测与异常检测两种:特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。

其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。

根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。

异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为Snort入侵检测系统：Snort简介：在1998年，Martin Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天，Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共许可(GPL——GUN General Pubic License),在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它。

遵义师范学院计算机与信息科学学院告验报实）学期2013—2014学年第1 （网络安全实验课程名称：班级：号：学姓名：任课教师：计算机与信息科学学院．实验报告1闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

这些都通过它执行以下任务来实现：监视、分析用户及系统活动··系统构造和弱点的审计·识别反映已知进攻的活动模式并向相关人士报警·异常行为模式的统计分析·评估重要系统和数据文件的完整性·操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。

更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。

而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。

入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

:两种特征检测与异常检测入侵检测系统所采用的技术可分为，这一检测假设入侵Misuse detection 特征检测(Signature-based detection) 又称者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。

其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

的假设是入侵者活动异常于正常主体的活动。

根据这一(Anomaly detection)异常检测理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。

异常检测的难题在于如何从而不把正常的操作作为“入侵”或忽略真建立“活动简档”以及如何设计统计算法，正的“入侵”行为入侵检测系统：Snort(Open C语言开发了开放源代码1998年，MartinRoesch先生用Snort简介：在已发展成为一个多平台直至今天，SnortSource)的入侵检测系统Snort.记录等特性的(Pocket)流量分析，网络IP数据包(Multi-Platform),实时(Real-Time)(Network IntrusionDetection/Prevention System),防御系统强大的网络入侵检测/在网上——GUN General Pubic License),(GPL即NIDS/NIPS.Snort符合通用公共许可基于并且只需要几分钟就可以安装并开始使用它。

贵州大学实验报告学院：计信学院专业：班级:（10 ）测试snort的入侵检测相关功能实（1）装有Windows2000 或WindowsXP 操作系统的PC机；验（2）Apache_2.0.46、php-4.3.2、snort2.0.0、Mysql 、adodb、acid、jpgraph 库、仪win pcap 等软件。

器（1）Apache_2.0.46 的安装与配置（2）php-4.3.2 的安装与配置（3）sn ort2.0.0 的安装与配置实（4）Mysql数据库的安装与配置验（5）adodb的安装与配置步（6）数据控制台acid的安装与配置骤（7）jpgraph 库的安装（8）win pcap的安装与配置（9）snort规则的配置（10 ）测试snort的入侵检测相关功能（一）windows 环境下snort 的安装实1、安装 Apache_2.0.46验（1）双击 Apache_2.0.46-win32-x86-no_src.msi ，安装在默认文件夹C:\apache 内下。

安装程序会在该文件夹下自动产生一个子文件夹apache2 。

容Php)3、安装 snort安装snort-2_0_0.exe , snort 的默认安装路径在 C:\snort安装配置Mysql 数据库(1)安装Mysql 到默认文件夹 C:\mysql ，并在命令行方式下进入C:\mysql\bin ,输入下面命令： C:\mysql\bin\mysqld - install 这将使 mysql 在 Windows 中以服务方式运行。

(2)在命令行方式下输入 net start mysql ，启动mysql 服务(3 )进入命令行方式，输入以下命令 C:\mysql\b in> mysql -u root -p如下图:出现Enter Password 提示符后直接按"回车”，这就以默认的没有密码的 root 用户 登录mysql 数据库。

⼊侵检测软件Snort的使⽤实验1．安装和配置 IDS 软件 Snort并查看⽹卡信息从返回的结果可知主机上有哪个物理⽹卡正在⼯作及该⽹卡的详细信息。

图中显⽰此计算机只有1个⽹卡，且该⽹卡具有物理地址。

2.输⼊ snort –v –i1命令启⽤ Snort并捕捉到⼀些流量3. 配置snort3.1打开 snort配置⽂件，设置 Snort 的内部⽹络和外部⽹络⽹络检测范围。

将 Snort.conf ⽂件中的 var HOME_NET any 语句的 any 改为⾃⼰所在的⼦⽹地址，即将Snort 监测的内部⽹络设置为所在的局域⽹。

我实验的机器ip地址为192.168.1.131，故⼦⽹地址应该为192.168.1.0/243.2配置⽹段内提供⽹络服务的 IP 地址，只需要把默认的$HOME_NET 改成对应的主机地址即可。

var DNS_SERVERS $HOME_NETvar SMTP_SERVERS HOME N ETvarHTTP S ERVERS HOME_NETvar SQL_SERVERS HOME N ETvarTELNET S ERVERS HOME_NETvar SNMP_SERVERS $HOME_NET3.3配置动态预处理器库# path to dynamic preprocessor librariesdynamicpreprocessor directory c:\Snort\lib\snort_dynamicpreprocessordynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dce2.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dns.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_sdf.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssl.dlldynamicengine c:\Snort\lib\snort_dynamicengine\sf_engine.dll3.4修改配置⽂件 classification.config 和 reference.config的路径:include c:\Snort\etc\classification.configinclude c:\Snort\etc\reference.config其中 classification.config ⽂件保存的是规则的警报级别相关的配置，reference.config ⽂件保存了提供更多警报相关信息的链接。