实验目的
理解入侵检测的作用和原理,掌握snort入侵检测的数据包记录的方法。
实验原理
入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
实验内容
在Windows平台建立基于Snort的IDS,进行数据包记录实验并分析数据包
实验环境描述
1、学生机与实验室网络直连
2、VPC1与实验室网络直连
3、学生机与VPC1物理链路连通
实验步骤
1、点击开始实验进入实验环境
2、输入默认账号administrator,密码123456,进入目标主机桌面。
3、打开d:\tools目录,安装WinPcap_4_1_2.exe(按照向导提示安装即可)
安装wireshark(按照向导默认安装即可)
安装Snort_2_9_1_2_Installer.exe(默认安装即可)
4、安装完成后单击“开始”“运行”,输入“cmd”,打开命令行,
5、使用下面命令检测安装是否成功:
cd C:\snort\bin (回车)
Snort –W
如果出现小猪的形状就说明安装成功了,此时,snort已经可以用于嗅探模式了。
6、输入嗅探模式命令snort –i 1(此处选择1是网卡选择,由上图可以看出1号网卡有可用的IP地址) 
7、Snort数据包记录器模式
上面介绍的嗅探器模式只是把信息显示在屏幕上,如果要把这些数据信息记录到硬盘上并制定到一个目录中,那就需要使用数据包记录器模式。
进入dos界面,C:\snort\bin目录下运行命令(具体过程见4、5步):
snort –i 1 –de –l “c:\Snort\log”
8、进入Snort包记录器模式。可以到c:\Snort\log 下查看Snort记录的数据包(用wireshark查看):snort.log.** 文件。
9、以上就是通过Snort获取的数据包,可简单分析日志记录的数据包。
10、实验完成,关闭程序和虚拟机。