入侵检测软件Snort的使用实验

1.安装和配置 IDS 软件 Snort并查看网卡信息

从返回的结果可知主机上有哪个物理网卡正在工作及该网卡的详细信息。图中显示此计算机只有1个网卡,且该网卡具有物理地址。

2.输入 snort –v –i1命令启用 Snort并捕捉到一些流量

3. 配置snort

3.1打开 snort配置文件, 设置 Snort 的内部网络和外部网络网络检测范围。将 Snort.conf 文件中的 var HOME_NET any 语句的 any 改为自己所在的子网地址,即将Snort 监测的内部网络设置为所在的局域网。我实验的机器ip地址为192.168.1.131,故子网地址应该为192.168.1.0/24

3.2配置网段内提供网络服务的 IP 地址,只需要把默认的$HOME_NET 改成对应的主机地址即可。

var DNS_SERVERS $HOME_NET

var SMTP_SERVERS $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var TELNET_SERVERS $HOME_NET
var SNMP_SERVERS $HOME_NET

3.3配置动态预处理器库

# path to dynamic preprocessor libraries
dynamicpreprocessor directory c:\Snort\lib\snort_dynamicpreprocessor
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dce2.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dns.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_sdf.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssl.dll
dynamicengine c:\Snort\lib\snort_dynamicengine\sf_engine.dll

3.4修改配置文件 classification.config 和 reference.config的路径:

include c:\Snort\etc\classification.config
include c:\Snort\etc\reference.config
其 中 classification.config 文 件 保 存 的 是 规 则 的 警 报 级 别 相 关 的 配 置 ,
reference.config 文件保存了提供更多警报相关信息的链接。

4. 操作与测试

(1) Snort 嗅探器模式

使 Snort 只将 IP 和 TCP/UDP/ICMP 的包头信息输出到屏幕上。如果要看到应用层的数据,可以输入如下命令:snort -v -e –i1

( 2)数据包记录器模式

上面的命令只是在屏幕上输出,如果要记录在 LOG 文件上,需要预先建立一个 Log目录。输入下面的命令数据包记录器模式:
snort -dve -i1 -l c:\Snort\log -h 192.168.1.0/24 -K ascii
其中: -l 选项指定了存放日志的文件夹;-h 指定目标主机,这里检测对象是局域网段内的所有主机,如不指定-h,则默认检测本机;-K 指定了记录的格式,默认是 Tcpdump 格式,此处使用 ASCII 码。在命令行窗口运行了该指令后,将打开保存日志的目录。
在 Log 目录下自动生成了许多文件夹和文件,文件夹是以数据包主机的 IP 地址命名的,每个文件夹下记录的日志就是和该外部主机相关的网络流量。

(3) NIDS(入侵检测(IDS)功能)

A.网络 IDS 模式,该模式是 snort 的最重要的实现形式。相对于数据包记录器模式,该模式只是增加了一个选项“ -c”,用于指明所使用的规则集 snort.conf(在 IDS 模式下必须指定规则集文件)。 使用任一文本编辑软件打开\etc\snort.conf。对 snort 的配置文件进行修改:

(1)检测的内外网范围

ipvar => var
HOME_NET any => HOME_NET 192.168.1.0/24

(2) 增加并修改 PATH 部分为
var TEST_PATH c:\Snort\test
var RULE_PATH rules
(3)文件路径的格式修改为 Windows 下的格式
所有 / 改为 \

(4) 定制自己的规则
include $TEST_PATH\test.rules
(5)注释掉没有使用的选项。

B 创建自己的规则
(1)d:\Snort 目录下创建目录 test
(2) 使用纯文本编辑器编辑 test.rules
(3) 输入自己创建的规则

C.启动 snort 的入侵检测模式:

snort -i1 -dev -l c:\snort\log -c c:\snort\etc\snort.conf

另外打开一个DOS窗口ping www.baidu.com,snort窗口记录下这些数据包如下:

原文地址:https://www.cnblogs.com/chuanzi/p/10525454.html

时间: 2024-10-10 21:47:32

入侵检测软件Snort的使用实验的相关文章

搭建开源入侵检测系统Snort并实现与防火墙联动

Snort作为一款优秀的开源主机入侵检测系统,在windows和Linux平台上均可安装运行.BT5作为曾经的一款经典的渗透神器,基于 Ubuntu,里面已经预装很多的应用,比如Mysql.Apache.Snort等等.Guardian是snort的插件,通过读取snort报警日 志将入侵IP加入到Iptables中.Iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统. 本文详细介绍了BT5中安装snrot NIDS并实现与iptables防火墙联动的过程.

linux系统centos搭建入侵检测系统snort及问题总结与解答

一.环境准备 1.安装Centos6(安装选择开发环境,这样可以少装一些开发包),设置NAT获取,让系统可以上网,外加一台XP用于测试(可用可不). 2.安装wget(本身不带) 3.更换源(也可以不换,有的源有时候一些软件没有和速度很慢,自行选择) #mv /etc/yum.repos.d/CentOS-Base.repo/etc/yum.repos.d/CentOS-Base.repo.backup #wget -O /etc/yum.repos.d/CentOS-Base.repo htt

六:入侵检测技术实战

入侵检测技术可实时监控网络传输,自动检测可疑行为,分析来自网络外部入侵信号和内部的非法活动,在系统受到危害前发出警告,对攻击做出实时的响应,并提供补救措施,最大程度地保障系统安全. 6.1 入侵检测概述 所谓入侵检测是指试图监视和尽可能阻止有害信息的入侵,或其他能够对用户的系统和网络资源产生危害的行为.简单地 说,它是这样工作的:用户有一个计算机系统,它与网络连接着,也许也同互联网连接.由于一些原因,允许网络上的授权用户访问该计算机.比如说,有一个连接 着互联网的Web服务器,允许自己的客户.员

SNORT入侵检测系统

0x00 一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:"Web Access"; sid:1) alert:表示如果此条规则被触发则告警 tcp:协议类型 ip地址:源/目的IP地址 any/80:端口号 ->:方向操作符,还有<>双向. msg:在告警和包日志中打印消息 sid:Snort规则id - 这条规则看字面意思就很容易理解.Snort就是利用规则来匹配数据包进行实时流量分析,网络

构建基于Suricata+Splunk的IDS入侵检测系统

一.什么是IDS和IPS? IDS(Intrusion Detection Systems):入侵检测系统,是一种网络安全设备或应用软件,可以依照一定的安全策略,对网络.系统的运行状况进行监视,尽可能发现各种攻击企图.攻击行为或者攻击结果,并发出安全警报. IPS(Intrusion Prevention System):入侵防御系统,除了具有IDS的监控检测功能之外,可以深度感知检测数据流量,对恶意报文进行丢弃,以阻止这些异常的或是具有伤害性的网络行为. NSM:网络安全监控系统,用于收集.检

基于网络(NIDS)的入侵检测系统

入侵(Instruction)是个 广义的概念,不仅包括被发起攻击的人取得超出合法权限的系统的控制权,也包括搜集漏洞信息,造成拒绝访问(Denial of service)等对计算机系统造成危害的行为. 通过被动地监测网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件.此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台:配置简单,不需要任何特殊的审计和登录机制:可检测协议攻击.特定环境的攻击等多种

五大免费企业网络入侵检测工具(IDS)

Snort一直都是网络入侵检测(IDS)和入侵防御工具(IPS)的领导者,并且,随着开源社区的持续发展,为其母公司Sourcefire(多年来,Sourcefire提供有供应商支持和即时更新的功能齐全的商业版本Snort,同时仍然免费提供功能有限的免费版本Snort)持续不断的支持,Snort很可能会继续保持其领导地位. 虽然Snort"称霸"这个市场,但也有其他供应商提供类似的免费工具.很多这些入侵检测系统(IDS)供应商(即使不是大多数)结合Snort或其他开源软件的引擎来创建强大

【Linux 入侵检测】

检查linux系统是否被入侵或者中毒的步骤? 一.检查操作系统 (1)检查带宽,查看网卡流量 (2)检查系统登录登出日志,安全日志,和/etc/passwd是否被修改过 (3)查看系统是否存在异常进程: pwdx -- 查看进程的路径: lsof  --  查看系统打开的库文件 百度异常进程的名字 (4)查看开机启动服务和定时任务: /etc/rc.local 和 crontab –l (5)分析系统日志 二.检查应用是否存在漏洞,检查应用的版本信息(日志和进程) 三.常用的入侵检测工具 PSA

入侵检测技术考点

第一章.入侵检测概述 入侵检测定义:入侵是指在非授权得情况下,试图存取信息.处理信息或破坏以使系统不可靠.不可用的故意行为. 入侵检测的基本原理:主要分为四个阶段: 1.      数据收集:数据收集是入侵检测的基础,采用不同的方法进行分析. 2.      数据处理:从原始数据中除去冗余.杂声,并且进行格式化以及标准化处理. 3.      数据分析:检查数据是否正常,或者显示是否存在入侵. 4.      响应处理:发现入侵,采取措施进行保护,保留入侵证据并且通知管理员. 1.4 入侵检测的