实验四 网络入侵检测系统

《实验四 网络入侵检测系统》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、太原理工大学学生实验报告学院名称计算机技术与应用学院专业班级计算机双学位0901学号07101237学生姓名张炫实验日期2010/12/4成绩课程名称网络安全技术与应用实验题目实验四网络入侵检测系统一、网络入侵检测系统Snort软件Snort配置在使用snort之前，需要根据保护网络环境和安全策略对snort进行配置，主要包括网络变量、预处理器、输出插件及规则集的配置，位于etc的snort配置文件snort.conf可用任意文本编辑器打开。除内部网络环境变量HOME_NET之外，在大多数情况下，可以使用snort.conf的默认配置。用文本编辑器打

2、开Snortetcsnort.conf文件，在设置网络变量步骤（Step#1:Setthenetworkvariables:）注释下找到“varHOME_NETany”，将any更换成自己机器所在子网的CIDR地址。例如，假设本机IP地址为192.168.6.123，将“varHOME_NETany”更换成“varHOME_NET192.168.6.0/24”或特定的本机地址“varHOME_NET192.168.6.123/32”。假设在C盘根目录下执行Snort命令，找到规则文件路径变量“varRULE_PATH••rules”，将其修改为v

3、arRULE_PATHC:snortrules；找到“includeclassification.config”，将classification.config文件的路径修改为includeC:snortetcclassification.config；找到“includereference.config”，将reference.config文件的路径修改为includeC:snortetcreference.config。5.Snort命令格式与帮助Snort命令格式：C:>snortbinsnort[-Options]

4、FilterOptions>Snort命令帮助：C:>snortbinsnort-?特别注意：Snort在Windows操作系统下要求给出命令执行的完整路径。6.Snort主要命令参数选项（1）-Aalert：设置snort快速（fast）、完全（full）、控制台（console）或无（none）报警模式，alert取值full、fast、console或none其中之一。-Afast：快速报警模式仅记录时间戳（timestamp）、报警信息（alertmessage）、源IP地址、目标IP地址、源端口和目标端口；-Afull：完全报警是sn

5、ort默认的报警模式，记录分组或报文首部所有字段信息和报警信息；-Aconsole：控制台报警模式将分组或报文首部和报警信息发送到控制台屏幕；-Anone：关闭报警。（2）-csnort.conf：使用snort配置文件snort.conf；（3）-b：采用Tcpdump二进制格式将分组记录到日志文件；（4）-d：显示应用数据；（5）-e：显示数据链路层的首部信息；（6）-h：指定本地网络（HomeNetwork）IP地址；（7）-l：将日志记录到指定的目录directory，默认日志目录是Snortlog；（8）-

6、i：在指定的网络接口上监听；（9）-r：从Tcpdump文件中读取分组处理，而不监测网络分组；（10）-s：将报警信息发送到系统日志；（11）-v：详细输出（Beverbose）；（12）-V：显示Snort版本号；（13）-W：列出本机可用的网络接口（仅在Windows下有效）；（14）-w：显示IEEE802.11WLAN的管理帧与控制帧；（15）-?：显示snort的简要命令帮助。7.Snort入侵检测规则位于rules目录中的规则文件是Snort检测系统的入侵模式库，可以使用任意文本编辑器对规则文件进行修改。检

7、测规则由规则头（RuleHeader）和规则选项（RuleOption）组成，规则头定义了规则匹配行为、协议类型、源IP地址、源端口、目标IP地址和目标端口等信息，规则选项定义了入侵特征和报警信息的内容。Snort检测规则的格式与语法参看《计算机网络安全技术与应用》教材第196页。二、实验内容1.snort-2_0_0.exe的安装与配置本实验除安装snort-2_0_0.exe之外，还要求安装nmap-4.01-setup.exe网络探测和端口扫描软件。Nmap用于扫描实验合作伙伴的主机，Snort用于检测实验合作伙伴对本机的攻击。用写字板打开Sn

8、ortetcsnort.conf文件对Snort进行配置。将varHOME_NETany中的any配置成