网络安全实验Snort网络入侵检测实验

snort入侵检测实验报告《snort入侵检测实验报告》摘要：本实验旨在通过使用snort入侵检测系统，对网络中的入侵行为进行监测和分析。

通过搭建实验环境，模拟各种入侵行为，并利用snort系统进行实时监测和报警，最终得出了实验结果并进行了分析。

一、实验背景随着网络技术的不断发展，网络安全问题也日益突出。

入侵检测系统作为网络安全的重要组成部分，扮演着监测和防范网络入侵的重要角色。

snort作为一款开源的入侵检测系统，具有灵活性和高效性，被广泛应用于网络安全领域。

二、实验目的1. 了解snort入侵检测系统的工作原理和基本功能；2. 掌握snort系统的安装和配置方法；3. 利用snort系统对网络中的入侵行为进行实时监测和分析；4. 总结实验结果，提出改进建议。

三、实验环境搭建1. 硬件环境：PC机一台，网络交换机一台；2. 软件环境：Ubuntu操作系统，snort入侵检测系统；3. 实验网络：搭建一个简单的局域网环境，包括多台主机和一个路由器。

四、实验步骤1. 安装和配置snort系统；2. 在实验网络中模拟各种入侵行为，如端口扫描、ARP欺骗、DDoS攻击等；3. 使用snort系统进行实时监测和报警；4. 收集实验数据，进行分析和总结。

五、实验结果通过实验，我们成功搭建了snort入侵检测系统，并对网络中的入侵行为进行了监测和分析。

实验结果显示，snort系统能够有效地检测到各种入侵行为，并及时发出警报。

同时，我们也发现了一些不足之处，如对于一些新型的入侵行为可能无法及时识别和防范。

六、实验结论snort入侵检测系统是一款高效、灵活的入侵检测工具，能够有效地监测和防范网络入侵行为。

然而，也需要不断改进和完善，以应对不断变化的网络安全威胁。

七、改进建议1. 不断更新snort系统的规则库，以适应新型的入侵行为；2. 加强对snort系统的配置和管理，提高其检测和防范能力；3. 结合其他安全设备，构建多层次的网络安全防护体系。

第1篇一、实验背景与目的随着信息技术的飞速发展，网络安全问题日益凸显。

为了保障网络系统的安全稳定运行，入侵检测技术应运而生。

本次实验旨在通过实际操作，深入了解入侵检测系统的原理、技术以及在实际应用中的效果，提高对网络安全防护的认识。

二、实验内容与步骤1. 实验环境搭建（1）硬件环境：一台装有Windows操作系统的计算机，用于安装入侵检测系统。

（2）软件环境：安装Snort入侵检测系统、WinPCAP抓包工具、Wireshark网络分析工具等。

2. 实验步骤（1）安装WinPCAP：按照向导提示完成安装，使网卡处于混杂模式，能够抓取数据包。

（2）安装Snort：采用默认安装方式，完成安装。

（3）配置Snort：编辑Snort配置文件，设置规则、端口、网络接口等信息。

（4）启动Snort：运行Snort服务，使其处于监听状态。

（5）抓取数据包：使用Wireshark抓取网络数据包，观察入侵检测系统的工作效果。

（6）分析数据包：对抓取到的数据包进行分析，验证入侵检测系统是否能够正确识别和报警。

三、实验结果与分析1. 实验结果（1）Snort入侵检测系统成功启动，并进入监听状态。

（2）通过Wireshark抓取到的数据包，入侵检测系统能够正确识别出攻击行为，并发出报警。

（3）分析数据包，发现入侵检测系统对多种攻击类型（如SQL注入、跨站脚本攻击等）具有较好的检测效果。

2. 实验分析（1）Snort入侵检测系统在实验过程中表现良好，能够有效地检测出网络攻击行为。

（2）通过实验，加深了对入侵检测原理和技术的理解，掌握了Snort的配置和使用方法。

（3）实验过程中，发现入侵检测系统对某些攻击类型的检测效果不够理想，如针对加密通信的攻击。

这提示我们在实际应用中，需要根据具体场景选择合适的入侵检测系统。

四、实验总结与展望1. 实验总结本次实验通过实际操作，使我们对入侵检测系统有了更加深入的了解。

实验结果表明，入侵检测技术在网络安全防护中具有重要作用。

遵义师范学院计算机与信息科学学院实验报告（2013—2014学年第1 学期）课程名称：网络安全实验班级：学号：姓名：任课教师：计算机与信息科学学院实验报告闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

这些都通过它执行以下任务来实现：·监视、分析用户及系统活动· 系统构造和弱点的审计· 识别反映已知进攻的活动模式并向相关人士报警· 异常行为模式的统计分析· 评估重要系统和数据文件的完整性·操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。

更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。

而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。

入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

入侵检测系统所采用的技术可分为特征检测与异常检测两种:特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。

其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。

根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。

异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为Snort入侵检测系统：Snort简介：在1998年，Martin Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天，Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共许可(GPL——GUN General Pubic License),在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它。

入侵检测实验实验目的（1）理解入侵检测的作用和检测原理。

（2）理解误用检测和异常检测的区别。

（3）掌握Snort的安装、配置和使用等实用技术。

实验环境每2位学生为一个实验组，使用2台安装Windows 2000/XP的PC机，通过局域网互联，IP网络为172.29.16.0/24。

其中一台（172.29.16.234）上安装Windows平台下的Snort 2.8.1软件，另一台的IP地址为172.29.16.134。

实验环境的网络拓扑如图1所示。

192.168.1.101192.168.1.100图1 入侵检测实验拓扑实验要求1、实验任务（1）安装和配置入侵检测软件。

（2）查看入侵检测软件的运行数据。

（3）记录并分析实验结果。

2、实验预习（1）预习本实验指导书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。

（2）复习有关入侵检测的基本知识。

3、实验报告（1）简要描述实验过程。

（2）实验中遇到了什么问题，如何解决的。

（3）分析入侵检测系统在网络安全方面的作用。

（4）实验收获与体会。

实验背景1 基础知识入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测系统（Intrusion Detection System， IDS）是完成入侵检测功能的软件和硬件的集合。

随着网络安全风险系数不断揭帖，防火墙作为最主要的安全防范手段已经不能满足人们对网络安全的需求。

作为对防火墙极其有益的补充，位于其后的第二道安全闸门IDS能够帮助网络系统快速发现网络攻击的发生，有效扩展系统管理员的安全管理能力及提高信息安全基础结构的完整性。

IDS能在不影响网络及主机性能的情况下对网络数据流和主机审计数据进行监听和分析，对可疑的网络连接和系统行为进行记录和报警，从而提供对内部攻击、外部攻击和误操作的实时保护。

网络安全实验入侵检测-基于网络入侵检测系统实验目的：1.掌握snort IDS工作机理2.应用snort三种方式工作3.熟练编写snort规则实验原理：一．snort IDS概述snort IDS（入侵检测系统）是一个强大的网络入侵检测系统。

它具有实时数据流量分析和记录IP网络数据包的能力，能够进行协议分析，对网络数据包内容进行搜索/匹配。

它能够检测各种不同的攻击方式，对攻击进行实时报警。

此外，snort是开源的入侵检测系统，并具有很好的扩展性和可移植性。

二．snort IDS体系结构snort IDS体系结构如图22-1-1所示。

图22-1-1 SnortIDS体系结构如上图所示，snort的结构由4大软件模块组成，它们分别是：（1）数据包嗅探模块——负责监听网络数据包，对网络进行分析；（2）预处理模块——该模块用相应的插件来检查原始数据包，从中发现原始数据的“行为”，如端口扫描，IP碎片等，数据包经过预处理后才传到检测引擎；（3）检测模块——该模块是snort的核心模块。

当数据包从预处理器送过来后，检测引擎依据预先设置的规则检查数据包，一旦发现数据包中的内容和某条规则相匹配，就通知报警模块；（4）报警/日志模块——经检测引擎检查后的snort数据需要以某种方式输出。

如果检测引擎中的某条规则被匹配，则会触发一条报警，这条报警信息会通过网络、UNIX socket、Windows Popup(SMB)、SNMP协议的trap命令传送给日志文件，甚至可以将报警传送给第三方插件（如SnortSam），另外报警信息也可以记入SQL数据库。

三．snort三种工作方式snort拥有三大基本功能：嗅探器、数据包记录器和入侵检测。

嗅探器模式仅从网络上读取数据包并作为连续不断的流显示在终端上，常用命令snort -dev。

数据包记录器模式是把数据包记录到硬盘上，常用命令snort -b。

网络入侵检测模式是最复杂的，而且是可配置的。

实验网络入侵检测系统（Snort）实验一、实验平台的搭建1）实验软件：（1）windows server 2003或Windows 2000 Server镜像文件（2）网络数据包截取驱动程序WinPcap_4_1_2.ziphttp://winpcap.polito.it/（3）Windows 版本的Snort 安装包Snort_2_9_0_5_Installer.exe/（4）Windows 版本的Apache Web 服务器apache_2.2.4-win32-x86-no_ssl.zip/（5）Windows版本的PHP脚本环境支持php-5.2.5-Win32.zip/（6）Windows 版本的Mysql 数据库服务器mysql-5.0.22-win32.zip/（7）ACID（Analysis Console for Intrusion Databases）基于PHP的入侵检测数据库分析控制台acid-0.9.6b23.tar.gz/kb/acid（8）Adodb（Active Data Objects Data Base）PHP库adodb504.tgz/adodb（9）PHP图形库jpgraph-2.3.tar.gzhttp://www.aditus.nu/jpgraph（10）snort 规则包rules20090505.tar.gz2）安装步骤：（1）组件的安装：在c:下建立duoduo的文件夹，再在其下建立duo的文件夹放入所有的安装程序，在后续的安装时，把可以选择安装路径的组件安装在duoduo的文件夹下①装WinPcap运行WinPcap_4_1_2.zip，默认安装。

②装mysql运行mysql-5.0.22-win32.zip，选择自定义安装选择安装路径C:\duoaduo\mysql下，安装时注意：端口设置为3306（以后要用到），密码本实验设置成123，添加环境变量：图4-4 配置环境变量③安装apache运行apache_2.2.4-win32-x86-no_ssl.zip安装到c:\duoaduo\apache④下面安装php：解压php-5.2.5-Win32到c:\duoaduo\php添加gd图形库支持复制c:\duoaduo\php\php5ts.dll和c: \duoaduo\php\libmysql.dll文件到%systemroot%\system32 查询本机的%systemroot%复制c: \duoaduo\php\php.ini-dist到%systemroot%并重命名为php.ini，修改php.ini，分别去掉“extension=php_gd2.dll”和“extension=php_mysql.dll”前的分号，并指定extension_dir="c:\duoaduo\php\ext"，同时复制c:\duoaduo\php\ext下的php_gd2.dll与php_mysql.dll到%systemroot%\system32在C:\duoaduo\apache\conf\httpd.conf中添加LoadModule php5_module c:/duoaduo/php/php5apache2_2.dll和AddType application/x-httpd-php .php，AddType application/x-httpd-php-source .phps重启Apache服务在C:\duoaduo\apache\htdocs目录下新建webinf.php（文件内容为：<?phpinfo();?>）并使用http://127.0.0.1/webinf.php访问测试是否能够显示当前Apache服务器的信息，如果能够显示表明Apache和php工作基本正常⑤安装Snort运行Snort_2_9_0_5_Installer.exe安装在C:\duoaduo\Snort下即可，运行C:\duoaduo\Snort\bin\snort.exe⑥安装adodb解压缩adodb 到c:\ids\php5\adodb 文件夹下。

⼊侵检测软件Snort的使⽤实验1．安装和配置 IDS 软件 Snort并查看⽹卡信息从返回的结果可知主机上有哪个物理⽹卡正在⼯作及该⽹卡的详细信息。

图中显⽰此计算机只有1个⽹卡，且该⽹卡具有物理地址。

2.输⼊ snort –v –i1命令启⽤ Snort并捕捉到⼀些流量3. 配置snort3.1打开 snort配置⽂件，设置 Snort 的内部⽹络和外部⽹络⽹络检测范围。

将 Snort.conf ⽂件中的 var HOME_NET any 语句的 any 改为⾃⼰所在的⼦⽹地址，即将Snort 监测的内部⽹络设置为所在的局域⽹。

我实验的机器ip地址为192.168.1.131，故⼦⽹地址应该为192.168.1.0/243.2配置⽹段内提供⽹络服务的 IP 地址，只需要把默认的$HOME_NET 改成对应的主机地址即可。

var DNS_SERVERS $HOME_NETvar SMTP_SERVERS HOME N ETvarHTTP S ERVERS HOME_NETvar SQL_SERVERS HOME N ETvarTELNET S ERVERS HOME_NETvar SNMP_SERVERS $HOME_NET3.3配置动态预处理器库# path to dynamic preprocessor librariesdynamicpreprocessor directory c:\Snort\lib\snort_dynamicpreprocessordynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dce2.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dns.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_sdf.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssl.dlldynamicengine c:\Snort\lib\snort_dynamicengine\sf_engine.dll3.4修改配置⽂件 classification.config 和 reference.config的路径:include c:\Snort\etc\classification.configinclude c:\Snort\etc\reference.config其中 classification.config ⽂件保存的是规则的警报级别相关的配置，reference.config ⽂件保存了提供更多警报相关信息的链接。

Snort入侵检测系统实验小组成员：09283012092830251.实验概述Snort是一套开放源代码的网络入侵预防软件与网络入侵检测软件。

Snort使用了以侦测签章（signature-based）与通讯协定的侦测方法。

Snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。

嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。

数据包记录器模式把数据包记录到硬盘上。

网路入侵检测模式是最复杂的，而且是可配置的。

我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。

Snort最重要的用途还是作为网络入侵检测系统(NIDS)。

本次实验任务主要有：(1)在虚拟机中的ubuntu上安装Snort。

(2)描述Snort规则并进行检测。

2.实验环境1. 主机CPU: Pentium 双核*************2. Vmware版本: VMware Workstation3. Linux发行版: Ubuntu 11.044. Linux 内核: Linux 2.6.383.实验过程由于Ubuntu 是Debian 系的Linux，安装软件非常简单，而且Ubuntu 在中国科技大学有镜像，在教育网和科技网下载速度非常快(2~6M/s)，就省掉了出国下载安装包的麻烦，只需要一个命令即可在几十秒钟内安装好所有软件。

具体实验步骤如下：1需要注意的是在安装MySQL 数据库时会弹出设置MySQL 根用户口令的界面，临时设置其为“test”。

2、在MySQL 数据库中为Snort 建立数据库。

Ubuntu 软件仓库中有一个默认的软件包snort-mysql 提供辅助功能，用软件包管理器下载安装这个软件包。

以下是代码片段：$ sudo apt-get install snort-mysql3、安装好之后查看帮助文档：$ less /usr/share/doc/snort-mysql/README-database.Debian根据帮助文档中的指令，在MySQL 中建立Snort 的数据库用户和数据库。