网络入侵检测系统.doc

本科实验报告 课程名称： 信息安全技术B 实验项目： 实验四、网络入侵检测系统 实验地点： 中区致远楼B303 专业班级： 学号： 学生姓名： 指导教师： 王峥、王华、李志、王颖 实验四、网络入侵检测系统 实验目的和要求： 目的： 本实验的目的是使学生通过对基于误用检测的网络入侵检测系统开放源码Snort软件的使用，掌握Snort中常用命令方式，在加深理解Snort报警与日志功能、Snort分组协议分析、Snort入侵检测规则的基础上，分析Snort网络入侵检测的基本原理。在培养良好的工程素养同时，为今后工作实践中培养能够运用科学理论和技术手段分析并解决工程问题的能力。 要求： 由于Snort入侵检测系统功能强大、命令参数众多，在有限时间内不可能对所有命令参数进行实验。可根据自己对Snort的熟悉程度，从实验内容中选择部分实验，但至少应完成Snort报警与日志功能测试、ping检测、TCP connect()扫描检测实验内容。也容许选择其他命令参数或检测规则进行实验，命令执行后将一条完整的记录或显示结果复制到实验报告中，并对检测结果进行解释。请不要复制重复的记录或显示结果！ 实验内容和原理： 1. snort-2_0_0.exe的安装与配置 2. Snort报警与日志功能测试 3. 分组协议分析 4. 网络入侵检测 主要仪器设备： 惠普6470B笔记本电脑 实验结果与分析： 1. snort-2_0_0.exe的安装与配置 本实验除安装snort-2_0_0.exe之外，还要求安装nmap-4.01-setup.exe网络探测和端口扫描软件。Nmap用于扫描实验合作伙伴的主机，Snort用于检测实验合作伙伴对本机的攻击。 用写字板打开Snort\etc\snort.conf文件对Snort进行配置。将var HOME_NET any中的any配置成本机所在子网的CIDR地址；将规则路径变量RULE_PATH定义为C:\\snort\rules；将分类配置文件路径修改为 include C:\\Snort\etc\classification.config；将引用配置文件路径修改为include C:\Snort\etc\reference.config。其余使用Snort配置文件中的默认设置，这里假设所有Snort命令都在C盘根目录下执行。 我的Snort在C:\Snort中安装的，配置以修改完毕，如下图： 2. Snort报警与日志功能测试 用写字板打开C:\ \Snort\rules\local.rules规则文件，添加Snort报警与日志功能测试规则：alert tcp any any - any any (msg:TCP traffic;)。 执行命令：C:\\Snort\bin\snort -c snort\etc\snort.conf -l snort\log -i 2 在C:\\Snort\log目录中存在alert.ids 3. 分组协议分析 1）TCP/UDP/ICMP/IP首部信息输出到屏幕上： C:\\Snort\bin\snort –v -i 2； C:\\snort\bin\snort -vd -i 2或C:\\Snort\bin\snort -v –d -i 2；（命令选项可以任意结合，也可以分开 （3）将捕获的首部信息记录到指定的Snort\log目录，在log目录下将自动生成以主机IP地址命名的目录；C:\ \Snort\bin\snort -v -l snort\log -i 2； （4）采用Tcpdump二进制格式将捕获的首部信息和应用数据记录到指定的Snort\log目录，在log目录下将自动生成snort.log日志文件，可以使用Ethereal或Tcpdump协议分析软件打开snort.log文件，也可以通过-r snort.log选项用Snort输出到屏幕上。C:\\Snort\bin\snort -b -l snort\log -i 2； 4. 网络入侵检测 （1）实验合作伙伴相互ping对方的主机，利用Snort检测对本机的ping探测，在snort\log目录下将生成报警文件alert.ids：C:\\Snort\bin\snort -d -c \snort\etc\snort.conf -l snort\log -i 2执行此命令后没有得到预想的结果，在alert.ids中没有任何内容！ （2）实验合作伙伴利用“nmap -sT 目标主机IP地址或名称