网络信息安全实验报告：Snort的安装与使用.doc

实 验 报 告 课程名称 网络信息安全A 实验名称 实验一 Snort的安装与使用 实验时间 2014 年 5 月 16 日 指导单位 计算机学院信息安全系 指导教师 陈伟 学生姓名 陈松健 班级学号 学院(系) 通达学院 专 业 计算机科学与技术（信息安全） 实 验 报 告 实验名称 Snort的安装与使用 指导教师 陈伟 实验类型 验证 实验学时 2 实验时间 2014.5.16 实验目的和要求 1. 通过实验掌握轻量级入侵检测系统Snort的安装。 2. 掌握Snort的配置与使用方法，理解基于误用检测的入侵检测系统工作原理。 二、实验环境(实验设备) 1.安装Windows 2000/2003/XP操作系统并连接网络的一台PC机。 2.软件：Winpcap, Snort 三、实验原理及内容 实验题目1：在Windows 环境下安装和使用Snort。要求给出使用的Snort的命令参数。 实验题目2：使用另外一台电脑对Snort所在主机发起一次端口扫描攻击，将Snort捕获结果复制到实验报告中。（思考：Snort检测结果的准确率如何？如何提高Snort的检测速度与准确率） 实验解答： 1、在Windows 环境下安装和使用Snort。要求给出使用的Snort的命令参数。 1）安装winpcap_4.0.2 2) 安装Snort_2_8_2_Installer 3）将规则文件（.rules）复制到Snort安装目录的rules/目录下 4）将配置文件(snort.conf) 将其复制到Snort的/etc/目录 5）cmd打开执行命令： C:\snort\binsnort –w //选择正确的物理网卡号4 C:\snort\binsnort –i 4 –c ..\etc\snort.conf –l ..\log//进入检测模式 2：使用另外一台电脑对Snort所在主机发起一次端口扫描攻击，将Snort捕获结果复制到实验报告中。 用另一台主机发起扫描后，打开log文件夹下的alert.ids搜寻“- 10.20.79.158”（也就是我的主机IP）扫描字段,看看是否有识别的NMAP SCAN扫描。发现以下记录： 检测到了NMAP XMAS（圣诞树）扫描。扫描攻击方的IP地址为10.20.79.141，被扫描方也就是我的主机：10.20.79.158，NMAP扫描的端口号为：53914 扫描我的1端口，数据包的URG、PSH、FIN被置位，从而判断是典型的XMAS扫描。 但是除了这个包外再没有发现其他的明确是NMAP扫描的数据包了。在看圣诞树扫描前后的记录： 攻击方的IP地址和被攻击方的IP地址与前面的相同。 第一个包是针对162端口的刺探，如果SNMP服务开启的话，这个端口会开放，同样161端口也必须开启；所以猜测这个记录也是NMAP发起的一个针对SNMP的扫描。很遗憾Snort没有识别。 第二个包是一个SNMP AgentX/tcp请求包，同样是探测SNMP服务的。 继续往下看，果然发现了针对端口161的探测，记录结果如下： 同样，发现了攻击方对3389的访问，记录结果如下： 3389是windows著名的远程访问服务端口，如果这个端口能够进行访问的话，攻击者很容易能够远程控制本地计算机。 思考：Snort检测结果的准确率如何？如何提高Snort的检测速度与准确率 1）Snort成功发现了部分扫描动作，NMAP的XMAS圣诞树扫描成功被识别，但对于其他端口的探测如161、162、705、3389等端口的被作为警告记录了下来但没有识别，还有对135、445等端口的扫描没有被发现。总体感觉，准确率中等（优秀、良好、中等、较差四级别）。 2）可以通过编写更好的规则来提高准确率，可以给规则定下更多的前提条件。可以通过修改Libpcap下的伯克利包过滤器的过滤规则筛选出更明显的存在问题的数据包，并将buffer缓冲区扩大，采用多线程技术提高处理速度。 四、实验小结（包括问题和解决方法、心得体会、意见与建议等） 1、通过这次实验，我学会了Snort的安装与使用。 2、初步掌握Snort的配置与使用方法，理解基于误用检测的入侵检测系统工作原理。 3、通过试图把自己计算机接入实验室机房学会了linux下网卡的配置。 4、通过分析Alert下的记录，了解到了更多关于各种重要服务的端口的知识。 如SNMP服务端口：161、162 SNMP AGENTX扩展协议服务端口：705 Windows 远程登录服务端口：3389 5、在考虑准确率和检测速度的时候进一步了解了入侵检测系统。 6、通过这次实验进一步了解了libpcap下伯克利包过滤器的工作