返回
实验8:入侵检测软件snort的安装与.doc

实验8:入侵检测软件snort的安装与.doc

ID:58176862

大小:90.00 KB

页数:6页

时间:2020-04-26

实验8:入侵检测软件snort的安装与.doc_第1页
实验8:入侵检测软件snort的安装与.doc_第2页
实验8:入侵检测软件snort的安装与.doc_第3页
实验8:入侵检测软件snort的安装与.doc_第4页
实验8:入侵检测软件snort的安装与.doc_第5页
资源描述:

《实验8:入侵检测软件snort的安装与.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、实验八入侵检测系统snort的安装与使用一、实验序号:8二、实验学时:2三、实验目的(1)理解入侵检测的作用和检测原理。(2)理解误用检测和异常检测的区别。(3)掌握Snort的安装、配置。(4)掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。四、实验环境每2位学生为一个实验组,使用2台安装Windows2000/XP的PC机,其中一台上安装Windows平台下的Snort2.9软件;在运行snort的计算机上,安装WinpCap4.1.2程序。五、实验要求1、实验任务(1)安装和配置入侵检测软件。(2)查看入侵检测软件的运行数据。(3)记

2、录并分析实验结果。2、实验预习(1)预习本实验指导书,深入理解实验的目的与任务,熟悉实验步骤和基本环节。(2)复习有关入侵检测的基本知识。六实验背景1基础知识入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(IntrusionDetectionSystem,IDS)是完成入侵检测功能的软件和硬件的集合。随着网络安全风险系数不断揭帖,防火墙作为最主要的安全防范手段已经不能满足人们对网络安全的需求。作为对防火墙极其有益的补充

3、,位于其后的第二道安全闸门IDS能够帮助网络系统快速发现网络攻击的发生,有效扩展系统管理员的安全管理能力及提高信息安全基础结构的完整性。6IDS能在不影响网络及主机性能的情况下对网络数据流和主机审计数据进行监听和分析,对可疑的网络连接和系统行为进行记录和报警,从而提供对内部攻击、外部攻击和误操作的实时保护。2入侵检测软件Snort简介Snort是一款免费的NISD,具有小巧、易于配置、检测效率高等我,常被称为轻量级的IDS。Snort具有实时数据流量分析和IP数据包日志分析能力,具有跨平台特征,能够进行协议分析和对内容的搜索或匹配。Snort能够检测不同

4、的攻击行为,如缓冲区溢出、端口扫描和拒绝服务攻击等,并进行实时报警。Snort可以根据用户事先定义的一些规则分析网络数据流,并根据检测结果采取一定的行动。Snort有3种工作模式:v嗅探器(同sniffer)v数据包记录器vNIDS(网络入侵检测系统)嗅探器模式仅从网络上读取数据包并作为连续不断的数据流显示在终端上;数据包记录器模式把数据包记录到硬盘上,以备分析之用;NIDS模式功能强大,可以通过配置实现。七实验步骤1安装和配置IDS软件Snort由于需要对网络底层进行操作,安装Snort前需要预先安装WinpCap4.1.1以上版本(WIN32平台上网

5、络分析和捕获数据包的链接库)。(由于之前做Sniffer实验时已经安装了,可不必再安装)(1)从教师信息门户的教学软件栏目下载Windows平台下的Snort2.9.2.2安装程序和WinpCap4.1.2程序:v双击Snort2.9.2.2安装程序进行安装,选择安装目录为D:Snortv进行到选择日志文件存时,为简单起见,选择不需要数据库支持,或者选择Snort默认的MySQL和OCBC数据库的方式。(2)从教师信息门户的教学软件栏目下载Windows平台下的WinpCap4.1.2程序。双击进行默认安装就可以。(3)单击“开始”菜单,选择“运行”命

6、令,输入cmd并按回车键,在命令行方式下输入如下命令:C:DocumentsandSettingsAdministrator>D:6D:>cdSnortbinD:Snortbin>snort-W//“-W”选项查看可用网卡如果Snort安装成功,系统将显示出如图所示的信息。图2查看网卡信息(4)从返回的结果可知主机上有哪个物理网卡正在工作及该网卡的详细信息。图2中显示的第二个是具有物理地址的网卡。输入snort-v-i2命令启用Snort。其中:-v表示使用Verbose模式,该命令将IP和TCP/UDP/ICMP的包头信息显示在屏幕上;-i

7、2表示监听第二个网卡。(5)为了进一步查看Snort的运行情况,可以人为制造一些ICMP网络流量。在局域网的另一台主机上使用Ping指令,探测Snort的主机。(6)回到运行Snort的主机,可以发现Snort已经记录了这次探测的数据包。Snort在屏幕上输出了从172.16.7.1到172.16.7.4的ICMP数据包头。(7)打开D:Snortetcsnort.conf,设置Snort的内部网络和外部网络网络检测范围。将Snort.conf文件中的varHOME_NETany语句的any改为自己所在的子网地址,即将Snort监测的内部网络设置为

8、所在的局域网。如本地IP为172.16.7.4,则改为172.16.7.0/24

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。