实验目的
理解入侵检测的作用和原理,掌握snort入侵检测规则格式
实验原理
理解snort入侵检测规则格式
实验内容
在Windows平台建立基于Snort的IDS,编写入侵检测规则,以下以UDP作为简单的例子。
实验环境描述
1、学生机与实验室网络直连
2、VPC1与实验室网络直连
3、学生机与VPC1物理链路连通
实验步骤
1、点击开始实验进入实验环境
2、安装WinPcap_4_1_2.exe(按照向导提示安装即可)
3、安装Snort_2_9_1_2_Installer.exe(默认安装即可)
4、安装完成后单击“开始”“运行”,输入“cmd”,打开命令行
5、使用下面命令检测安装是否成功:
cd C:\snort\bin (回车)
Snort –W
如果出现小猪的形状就说明安装成功了。
6、将D:\tools\snortrules-snapshot-2903下文件夹下的文件全部拷贝覆盖到c:\Snort下,遇到有重复的文件或者文件夹,全部替换,修改snort配置文件 etc里面的snort.conf文件。
原: var RULE_PATH ../rules
改为: var RULE_PATH C:\Snort\rules
原: #dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
改为:dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor(后面一定不要有/)
原: #dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
改为:dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll
原:dynamicdetection directory /usr/local/lib/snort_dynamicrules
改为:dynamicdetection directory C:\Snort\lib\snort_dynamicrules
然后将C:Snort\so_rules\precompiled\FC-9\x86-64\2.9.0.3里的所有文件拷贝到C:\Snort\lib\snort_dynamicrules(该snort_dynamicrules文件夹需要自己新建)
继续修改c:\tools\snort配置文件 etc里面的snort.conf文件
原: include classification.config
改为: include C:\Snort\etc\classification.config
原: include reference.config
改为: include C:\Snort\etc\reference.config
原: # include threshold.conf
改为: include C:\Snort\etc\threshold.conf
原:#Does nothing in IDS mode
#preprocessor normalize_ip4
#preprocessor normalize_tcp: ips ecn stream
#preprocessor normalize_icmp4
#preprocessor normalize_ip6
#preprocessor normalize_icmp6
原:preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 20480 decompress_depth 20480
改为:preprocessor http_inspect: global iis_unicode_map C:\Snort\etc\unicode.map 1252 compress_depth 65535 decompress_depth 65535(因为在windows下unicode.map这个文件在etc文件夹下。将compress_depth 和decompress_depth 设置compress_depth 65535 decompress_depth 65535)
将所有的ipvar修改为var
将#include $RULE_PATH/web-misc.rules注释掉。
进入dos,在\snort\bin目录用snort -W查看系统可用网络接口。记住需要监视的网卡的编号,比如为1,那么在以后的使用中,用-i 1就可以选择对应的网卡。
7、运行命令snort –i 1 -c "c:\Snort\etc\snort.conf" -l "c:\snort\log"
,此时为攻击检测模式。
8、ctrl+c停止检测后,到c:\snort\log目录下可以查看日志报告。名为alert的文件即为检测报告。
9、(1) 在本地添加udp.rules文件规则。
(2)使用命令snort –c “c:\snort\etc\snort.conf” –l “c:\snort\log” –i 1进行检测,ctrl+c停止检测,检测完毕后用包记录模式记录报告,在c:\snort\log下可以找到警告日志文件 alert(若文件内无内容,多次重复执行上述命令,停止检测,直到文件有内容即可),发现满足要求的数据包都写入了警告文件。
10、根据自己编写的规则分析日志文件。