入侵检测规则填写实验

实验目的

理解入侵检测的作用和原理,掌握snort入侵检测规则格式

实验原理

理解snort入侵检测规则格式

实验内容

在Windows平台建立基于Snort的IDS,编写入侵检测规则,以下以UDP作为简单的例子。

实验环境描述

1、学生机与实验室网络直连

2、VPC1与实验室网络直连

3、学生机与VPC1物理链路连通

实验步骤

1、点击开始实验进入实验环境 图片描述

2、安装WinPcap_4_1_2.exe(按照向导提示安装即可)

3、安装Snort_2_9_1_2_Installer.exe(默认安装即可)

4、安装完成后单击“开始”“运行”,输入“cmd”,打开命令行

5、使用下面命令检测安装是否成功:

  cd C:\snort\bin (回车)
   Snort –W

如果出现小猪的形状就说明安装成功了。

图片描述

6、将D:\tools\snortrules-snapshot-2903下文件夹下的文件全部拷贝覆盖到c:\Snort下,遇到有重复的文件或者文件夹,全部替换,修改snort配置文件 etc里面的snort.conf文件。

原: var RULE_PATH ../rules
改为: var RULE_PATH C:\Snort\rules

原: #dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
改为:dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor(后面一定不要有/)

原: #dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
改为:dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll

原:dynamicdetection directory /usr/local/lib/snort_dynamicrules
改为:dynamicdetection directory C:\Snort\lib\snort_dynamicrules

然后将C:Snort\so_rules\precompiled\FC-9\x86-64\2.9.0.3里的所有文件拷贝到C:\Snort\lib\snort_dynamicrules(该snort_dynamicrules文件夹需要自己新建)

继续修改c:\tools\snort配置文件 etc里面的snort.conf文件

原: include classification.config
改为: include C:\Snort\etc\classification.config

原: include reference.config
改为: include C:\Snort\etc\reference.config

原: # include threshold.conf
改为: include C:\Snort\etc\threshold.conf 

原:#Does nothing in IDS mode
#preprocessor normalize_ip4
#preprocessor normalize_tcp: ips ecn stream
#preprocessor normalize_icmp4
#preprocessor normalize_ip6
#preprocessor normalize_icmp6

原:preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 20480 decompress_depth 20480
改为:preprocessor http_inspect: global iis_unicode_map C:\Snort\etc\unicode.map 1252 compress_depth 65535 decompress_depth 65535(因为在windows下unicode.map这个文件在etc文件夹下。将compress_depth 和decompress_depth 设置compress_depth 65535 decompress_depth 65535)

将所有的ipvar修改为var
将#include $RULE_PATH/web-misc.rules注释掉。

进入dos,在\snort\bin目录用snort -W查看系统可用网络接口。记住需要监视的网卡的编号,比如为1,那么在以后的使用中,用-i 1就可以选择对应的网卡。

7、运行命令snort –i 1 -c "c:\Snort\etc\snort.conf" -l "c:\snort\log",此时为攻击检测模式。

图片描述

8、ctrl+c停止检测后,到c:\snort\log目录下可以查看日志报告。名为alert的文件即为检测报告。

9、(1) 在本地添加udp.rules文件规则。

图片描述

(2)使用命令snort –c “c:\snort\etc\snort.conf” –l “c:\snort\log” –i 1进行检测,ctrl+c停止检测,检测完毕后用包记录模式记录报告,在c:\snort\log下可以找到警告日志文件 alert(若文件内无内容,多次重复执行上述命令,停止检测,直到文件有内容即可),发现满足要求的数据包都写入了警告文件。

图片描述 10、根据自己编写的规则分析日志文件。

posted @ 2020-09-15 14:31  kalibb  阅读(469)  评论(0编辑  收藏  举报