Windows平台下Snort的应用.doc

Windows平台下Snort的应用 【实验背景】 Snort是一种跨平台、轻量级、基于特征匹配的网络入侵检测系统。系统采用灵活的体系结构，大量使用插件机制，具有很好的扩展性和可移植性。本试验要实现采用流光软件对目标主机进行扫描；用Winpcap软件捕获数据包；用Snort进行分析，并介绍Windows平台下的Snort应用软件IDSCenter。主要下载站点有/、/、/。 【实验目的】 掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。 【实验条件】 (1) ? WinPcap_3_01_a，Snort2.0，IDScenter1.1 RC2，Fluxay5； (2) ?HIDS主机A：Windows xp，IP地址0； (3) 攻击主机B：Windows xp，IP地址0。 注：IP地址可以根据实验室主机配置不同进行设置。 【实验任务】 (1) 学习使用Snort数据包检测和记录功能； (2) 通过IDScenter配置功能加强对Snort原理的理解。 【实验步骤】 1. 安装数据包捕获软件 由于Snort本身没有数据包捕获功能，因此需要用其他软件来捕获数据包。Winpcap是libpcap抓包库的Windows版本，它同libpcap具有相同的功能，可以捕获原始形式的包。在HIDS主机上安装Winpcap过程如下： (1) 双击winpcap-2-3.exe 启动安装； (2) 屏幕出现欢迎对话框，单击“Next”按钮； (3) 下一个对话框提示安装过程完成，单击“OK”按钮完成软件安装。 (4) ?Winpcap安装成功，重新启动计算机。（在实验室不要重启） 2. 安装Snort软件 在HIDS主机上安装Snort软件过程如下（安装到F盘）： (1) 双击Snort -2.0.exe，启动安装程序； (2) 启动安装以后，会看到关于Snort的一篇文献，阅读并单击“I Agree”按钮； (3) 出现的是安装选项对话框，单击“Next”按钮； (4) 将选择安装部件，选择完毕后单击“Next”按钮； (5) 现在提示安装位置，使用默认的，并单击“Install”按钮； (6) 安装完成，单击“Close”按钮。 (7)完善规则库 将snort.conf文件拷贝到f:\snort\etc文件夹中 将其它rules文件拷贝到f:\snort\rules文件夹中 3. 在攻击主机B上安装流光5(Fluxay5)扫描软件，默认安装即可 4. ?Snort数据包嗅探及包记录应用 测试 (1)用Ping命令测试HIDS主机A与攻击主机B网络连通。 (2) 在A机器上单击“开始”→“运行”，在【运行】窗口中输入“cmd”打开DOS界面，如果在Snort安装时选择的安装路径为f：\，则在DOS界面中打入命令“cd f:\snort\bin”进入snort安装目录，然后打入如下命令以数据包记录的形式启动Snort： (3)分别用以下命令测试snort是否工作正常 F:\snort –dev (查看snort版本等信息) F:\snort –W (查看本地网络适配器编号) F:\snort –c “ F:\snort\etc\snort.conf” –I 2 –l “F:\snort\log” –deX(测试配置文件是否能够支持工件) -X参数：用于在数据链接层记录raw packet数据 -d参数：记录应用层的数据； -e参数：显示/记录第二层报文头数据； -c参数：用于指定snort的配置文件的路径； -i参数：指定监视的网络适配器的编号。 B. snort入侵检测实例 (1)实现快速嗅探 在命令行输出检测到的IP/TCP/UDP/ICMP数据。 如果想要把数据的包头信息在命令行显示，可以使用 F:\snort –v –i2 F:\snort –v d –i2 (显示HEX和ASCII形式的应用数据) F:\snort –v de –i2 (显示数据链路层的包头数据) (2)实现记录封包 如果要记录在LOG文件上同，可以行建立一个LOG目录，再使用下面命令 F:\snort\bin-snort -de –l f:\snort\log -i2 此命令为记录子网的数据，并把捕获的数据文件保存到Snort/log目录下，此时可以在屏幕上不断显示嗅探到的数据包，显示满一页后就不断滚屏。 (3) 实例 a. 在B机器上启用扫描软件流光5，右击“IPC$主机”→“编辑”→“添加”，在【添加主机】窗口中加入要扫描的主机“0”即安装了Snort的HIDS主机，如图1所示。 图1 流光探测主机 b. 在流光5软件中右击“0”→“探测”→“扫描主机端口”，确定端口扫描范围后，对HIDS主机进行端口