入侵行为检测实验

实验目的

理解入侵检测的作用和原理,掌握snort入侵检测的方法

实验原理

掌握snort入侵检测规则格式

实验内容

在Windows平台建立基于Snort的IDS,进行入侵行为检测实验。

实验环境描述

1、学生机与实验室网络直连

2、VPC1与实验室网络直连

3、学生机与VPC1物理链路连通

实验步骤

1、点击开始实验,进入实验环境

图片描述

2、安装WinPcap_4_1_2.exe(按照向导提示安装即可)

3、安装Snort_2_9_1_2_Installer.exe(默认安装即可)

4、安装完成后单击“开始”“运行”,输入“cmd”,打开命令行

5、使用下面命令检测安装是否成功:

 cd C:\snort\bin (回车)
   Snort –W

如果出现小猪的形状就说明安装成功了。

图片描述

6、将d:\tools\snortrules-snapshot-2903.tar.gz解压,并将文件夹里面的文件全部拷贝覆盖到c:\Snort下,复制的时候会出现重复的文件,重复的数据全部替换掉,修改snort配置文件 etc里面的snort.conf文件。

图片描述

原:var RULE_PATH ../rules
改为: var RULE_PATH C:\Snort\rules


原: #dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
改为:dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor(后面一定不要有/)


原: #dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
改为:dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll


原:dynamicdetection directory /usr/local/lib/snort_dynamicrules
改为:dynamicdetection directory C:\Snort\lib\snort_dynamicrules
然后将C:Snort\so_rules\precompiled\FC-9\i386\2.9.0.3里的所有文件拷贝到C:\Snort\lib\snort_dynamicrules(该文件需要新建snort_dynamicrules)

还需要修改c:\snort配置文件 etc里面的snort.conf文件

原: include classification.config
改为: include C:\Snort\etc\classification.config


原: include reference.config
改为: include C:\Snort\etc\reference.config


原: # include threshold.conf
改为: include C:\Snort\etc\threshold.conf


原:#Does nothing in IDS mode
preprocessor normalize_ip4
preprocessor normalize_tcp: ips ecn stream
preprocessor normalize_icmp4
preprocessor normalize_ip6
preprocessor normalize_icmp6
改成
#preprocessor normalize_ip4
#preprocessor normalize_tcp: ips ecn stream
#preprocessor normalize_icmp4
#preprocessor normalize_ip6
#preprocessor normalize_icmp6

原:preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 20480 decompress_depth 20480
改为:preprocessor http_inspect: global iis_unicode_map C:\Snort\etc\unicode.map 1252 compress_depth 65535 decompress_depth 65535(因为在windows下unicode.map这个文件在etc文件夹下。将compress_depth 和decompress_depth 设置compress_depth 65535 decompress_depth 65535)
将所有的ipvar修改为var
将#include $RULE_PATH/web-misc.rules注释掉。

进入dos,在\snort\bin目录用snort -W查看系统可用网络接口。记住需要监视的网卡的编号,比如为1,那么在以后的使用中,用-i 1就可以选择对应的网卡。

7、运行命令 snort –i 1 -c "c:\Snort\etc\snort.conf" -l "c:\snort\log",此时为攻击检测模式。

图片描述

8、ctrl+c停止检测后,到c:\snort\log目录下可以查看日志报告。名为alert的文件即为检测报告(可用记事本打开)。

9、分析生成的检测报告。

posted @ 2020-09-15 11:49  kalibb  阅读(627)  评论(0)    收藏  举报