实训-Snort安装与配置

实验7 基于snort的IDS配置实验1．实验目的通过配置和使用Snort，了解入侵检测的基本概念和方法，掌握入侵检测工具的使用方法，能够对其进行配置。

2．实验原理2.1 入侵检测基本概念入侵检测系统（Intrusion Detection System简称为IDS）工作在计算机网络系统中的关键节点上，通过实时地收集和分析计算机网络或系统中的信息，来检查是否出现违反安全策略的行为和是否存在入侵的迹象，进而达到提示入侵、预防攻击的目的。

入侵检测系统作为一种主动防护的网络安全技术，有效扩展了系统维护人员的安全管理能力，例如安全审计、监视、攻击识别和响应的能力。

通过利用入侵检测系统，可以有效地防止或减轻来自网络的威胁，它已经成为防火墙之后的又一道安全屏障，并在各种不同的环境中发挥关键作用。

1．入侵检测系统分类根据采集数据源的不同，IDS可分为基于网络的入侵检测系统（Network-based IDS，简称NIDS）和基于主机的入侵检测系统（Host-based IDS，简称HIDS）。

NIDS使用监听的方式，在网络通信的原始数据包中寻找符合网络入侵模版的数据包。

NIDS的网络分析引擎放置在需要保护的网段内，独立于被保护的机器之外，不会影响这些机器的CPU、I/O与磁盘等资源的使用，也不会影响业务系统的性能。

NIDS一般保护的是整个网段。

HIDS安装在被保护的机器上，在主机系统的审计日志或系统操作中查找信息源进行智能分析和判断，例如操作系统日志、系统进程、文件访问和注册表访问等信息。

由于HIDS 安装在需要保护的主机系统上，这将影响应用系统的运行效率。

HIDS对主机系统固有的日志与监视能力有很高的依赖性，它一般保护的是其所在的系统。

NIDS和HIDS各有优缺点，联合使用这两种方式可以实现更好的检测效果。

2．入侵检测系统的实现技术入侵检测系统的实现技术可以简单的分为两大类：基于特征的检测（Signature-based）和基于异常的检测（Anomaly-based）。

Snort使用报告一、软件安装安装环境:windows 7 32bit软件:Snort 2.9.5.5、WinPcap 4.1.1规则库: snortrules-snapshot-2970.tar.gz二、实验内容熟悉入侵检测软件Snort的安装与使用三、实验原理Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS四.安装步骤1.下载实验用的软件Snort、Snort的规则库snortrules 和WinPcap.本次实验使用的具体版本是Snort 2.9.5.5、snortrules-snapshot-2970.tar.gz 和WinPcap 4.1.3首先点击Snort安装点击I Agree.同意软件使用条款，开始下一步，选择所要安装的组件：全选后，点击下一步：选择安装的位置，默认的路径为c:/Snort/,点击下一步，安装完成。

软件跳出提示需要安装WinPcap 4.1.1以上2.安装WinPcap点击WinPcap安装包进行安装点击下一步继续：点击同意使用条款：选择是否让WinPcap自启动，点击安装：安装完成点击完成。

此时为了看安装是否成功，进入CMD，找到d：/Snort/bin/如下图：（注意这个路径是你安装的路径，由于我安装在d盘的根目录下，所以开头是d:）输入以下命令snort –W，如下显示你的网卡信息，说明安装成功了！别高兴的太早，这只是安装成功了软件包，下面还要安装规则库：3.安装Snort规则库首先我们去Snort的官网下载Snort的规则库，必须先注册成会员，才可以下载。

具体下载地址为https:///downloads，往下拉到Rules，看见Registered是灰色的，我们点击Sign in：注册成功后，返回到这个界面就可以下载了。

Snort 使用手册，第 1 部分: 安装与配置 保护和分析 Web 站点及其流量2007 年 6 月 24 日Web 站点是 Internet 技术中最脆弱也最易受攻击的部分。

尝试接触 Snort ，它是一款免费、开源的网络入侵防御系统（Network Intrusion Prevention System ，NIPS ）和网络入侵检测系统（Network Intrusion Detection System ，NIDS ）工具，用于管理和防御黑客入侵您的 Web 站点、应用程序和支持 Internet 的程序。

了解 Snort 能够如何帮助保护您的站点，分析您的网络的真实情况。

学习本文之后，您将懂得利用 Snort 提供的某些高级入侵检测，并根据 Snort 提供的信息来优化您的站点和网络。

安全性是重中之重假设您已经付出了几个月乃至几年的时间来学习最热门的 Web 技术。

您阅读了 developerWorks 的文章，购买了相关图书，在您的 Mac OS X 终端和 Windows® shell 上进行了试验。

您已经设法构建了一个非常出色的约有 100 个页面的 Web 应用程序 ——— 有一部分是静态 HTML ，还有一部分由 PHP 脚本生成。

您已经开始添加某些 Ajax 技术和特效，使您的站点更具交互性，更具响应能力。

您正处于 Web 编程世界的巅峰。

然而某一天早上醒来之后，您突然发现站点上全是某个与您毫无相关的站点的全页横幅广告。

此外，您的购物车也慢得跟蜗牛一样，因为数千个无用数据包正在冲击您的 Web 站点，这也使客户烦恼和愤怒。

尽管听起来很有戏剧性，但大多数认真的 Web 开发人都知道有些人已经遇到过类似的场景，或者自己亲身经历过这样的场景。

无论您的站点或应用程序有多出色，只要未得到周全的保护，即便是相当成功的，也会成为攻击的目标。

无论是十二岁的顽童，还是作为商业间谍的专业黑客，Web 站点都是非常脆弱的，比其他类型的应用程序更容易受到攻击。

⼊侵检测软件Snort的使⽤实验1．安装和配置 IDS 软件 Snort并查看⽹卡信息从返回的结果可知主机上有哪个物理⽹卡正在⼯作及该⽹卡的详细信息。

图中显⽰此计算机只有1个⽹卡，且该⽹卡具有物理地址。

2.输⼊ snort –v –i1命令启⽤ Snort并捕捉到⼀些流量3. 配置snort3.1打开 snort配置⽂件，设置 Snort 的内部⽹络和外部⽹络⽹络检测范围。

将 Snort.conf ⽂件中的 var HOME_NET any 语句的 any 改为⾃⼰所在的⼦⽹地址，即将Snort 监测的内部⽹络设置为所在的局域⽹。

我实验的机器ip地址为192.168.1.131，故⼦⽹地址应该为192.168.1.0/243.2配置⽹段内提供⽹络服务的 IP 地址，只需要把默认的$HOME_NET 改成对应的主机地址即可。

var DNS_SERVERS $HOME_NETvar SMTP_SERVERS HOME N ETvarHTTP S ERVERS HOME_NETvar SQL_SERVERS HOME N ETvarTELNET S ERVERS HOME_NETvar SNMP_SERVERS $HOME_NET3.3配置动态预处理器库# path to dynamic preprocessor librariesdynamicpreprocessor directory c:\Snort\lib\snort_dynamicpreprocessordynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dce2.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dns.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_sdf.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssl.dlldynamicengine c:\Snort\lib\snort_dynamicengine\sf_engine.dll3.4修改配置⽂件 classification.config 和 reference.config的路径:include c:\Snort\etc\classification.configinclude c:\Snort\etc\reference.config其中 classification.config ⽂件保存的是规则的警报级别相关的配置，reference.config ⽂件保存了提供更多警报相关信息的链接。

实验：入侵检测系统（Snort）的安装与配置一、实验目的学会WINDOWS下SNORT的安装与配置二、实验环境WinXP虚拟机三、实验步骤与结果一．在“我的电脑”中C盘中建立文件夹“zhangxiaohong”二．安装WinPcap，运行WinPcap_4_1_2.zip，默认安装。

三．安装mysql，运行mysql-5.0.22-win32.zip，选择自定义安装选择安装路径C:\zhangxiaohong\mysql 下，安装时注意：端口设置为3306（以后要用到），密码本实验设置成123四．安装apache1.运行apache_2.2.4-win32-x86-no_ssl.zip，安装到c:\zhangxiaohong\Apache2.安装Apache，配置成功一个普通网站服务器3.出现Apache HTTP Server 2.0.55的安装向导界面，点“Next”继续4.确认同意软件安装使用许可条例，选择“I accept the terms in the licenseagreement”，点“Next”继续5.将Apache安装到Windows上的使用须知，请阅读完毕后，按“Next”继续6.选择安装类型，Typical为默认安装，Custom为用户自定义安装，我们这里选择Custom，有更多可选项。

按“Next”继续7.出现选择安装选项界面，如图所示，左键点选“Apache HTTP Server 2.0.55”，选择“This feature, and all subfeatures, will be installed on local hard drive.”8.即“此部分，及下属子部分内容，全部安装在本地硬盘上”。

点选“Change...”，手动指定安装目录。

9.我这里选择安装在“C:\zhangxiaohong\Apache”，各位自行选取了，一般建议不要安装在操作系统所在盘，免得操作系统坏了之后，还原操作把Apache配置文件也清除了。

Linux防入侵---snort的安装与配置作者：计世网特约撰稿余俊松 2006-07-10 14:18:45入侵检测系统（IDS）是对计算机和网络系统资源上的恶意使用行为进行识别和响应的处理系统，它像雷达警戒一样，在不影响网络性能的前提下，对网络进行警戒、检测，从计算机网络的若干关键点收集信息，通过分析这些信息，查看网络中是否有违反安全策略的行为和遭到攻击的迹象，从而扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。

一般来说，IDS是作为防火墙的补充，所以IDS一般处于防火墙之后，可以对网络活动进行实时检测，并根据情况记录和禁止网络活动。

入侵检测系统IDS根据工作的重点不同，可分为基于主机的入侵检测系统和基于网络的入侵检测系统。

入侵检测系统构成一般分为，两个部分一个部分是检测的部分（Sensor），一部分是处理报警结果的控制台。

不同的入侵检测的构成也不太一样大致都具有控制台和Sensor两个基本部分，基于主机的入侵检测多半在主机上安装一个代理程序来收集系统信息向Sensor汇报。

入侵检测系统的检测信息来源都是通过自身的检测部分Sensor 得到的。

基于网络的入侵检测，主要是通过对网络数据包的截取分析，来查找具有攻击特性和不良企图的数据包的。

在网络里基于网络的入侵检测系统的检测部分Sensor 一般被布置在一个交换机的镜象端口（或者一个普通的HUB任意端口），听取流经网络的所有数据包，查找匹配的包，来得到入侵的信息源。

基于主机的入侵检测系统的Sensor 不可能直接从系统内部获取信息的，它是要通过一个事先做好的代理程序，安装在需要检测的主机里的，这些代理程序主要收集系统和网络日志文件，目录和文件中的不期望的改变，程序执行中的不期望行为，物理形式的入侵信息。

基于网络的入侵检测系统的检测端Sensor一般被布置在网络的核心交换机，或者部门交换的交换机的镜象端口（采取把Sensor 放在核心交换机器的镜像端口还是部门交换机的镜像端口，主要由网络的流量和客户机的数量，以及入侵检测的处理能力和网络发生攻击的频繁程度来定的）在网管的机器上，安装上入侵检测系统的控制台，做报警处理，在重要的服务器或者有必要的客户端安装代理程序收集系统和网络日志等系统信息，寻找具有攻击特性的数据包。

实验八入侵检测系统snort的安装与使用一、实验序号：8二、实验学时：2三、实验目的（1）理解入侵检测的作用和检测原理。

（2）理解误用检测和异常检测的区别。

（3）掌握Snort的安装、配置。

（4）掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。

四、实验环境每2位学生为一个实验组，使用2台安装Windows 2000/XP的PC机，其中一台上安装Windows平台下的Snort 2.9软件；在运行snort的计算机上，安装WinpCap4.1.2程序。

五、实验要求1、实验任务（1）安装和配置入侵检测软件。

（2）查看入侵检测软件的运行数据。

（3）记录并分析实验结果。

2、实验预习（1）预习本实验指导书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。

（2）复习有关入侵检测的基本知识。

六实验背景1 基础知识入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测系统（Intrusion Detection System， IDS）是完成入侵检测功能的软件和硬件的集合。

随着网络安全风险系数不断揭帖，防火墙作为最主要的安全防范手段已经不能满足人们对网络安全的需求。

作为对防火墙极其有益的补充，位于其后的第二道安全闸门IDS能够帮助网络系统快速发现网络攻击的发生，有效扩展系统管理员的安全管理能力及提高信息安全基础结构的完整性。

IDS能在不影响网络及主机性能的情况下对网络数据流和主机审计数据进行监听和分析，对可疑的网络连接和系统行为进行记录和报警，从而提供对内部攻击、外部攻击和误操作的实时保护。

2 入侵检测软件Snort简介Snort是一款免费的NISD，具有小巧、易于配置、检测效率高等我，常被称为轻量级的IDS。

Snort具有实时数据流量分析和IP数据包日志分析能力，具有跨平台特征，能够进行协议分析和对内容的搜索或匹配。