2024年3月12日发(作者:)

实验八 入侵检测系统snort的安装与使用

一、实验序号:8

二、实验学时:2

三、实验目的

(1)理解入侵检测的作用和检测原理。

(2)理解误用检测和异常检测的区别。

(3)掌握Snort的安装、配置。

(4)掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。

四、 实验环境

每2位学生为一个实验组,使用2台安装Windows 2000/XP的PC机,其中一台上安装

Windows平台下的Snort 2.9软件;在运行snort的计算机上,安装WinpCap4.1.2程序。

五、 实验要求

1、实验任务

(1)安装和配置入侵检测软件。

(2)查看入侵检测软件的运行数据。

(3)记录并分析实验结果。

2、实验预习

(1)预习本实验指导书,深入理解实验的目的与任务,熟悉实验步骤和基本环节。

(2)复习有关入侵检测的基本知识。

六 实验背景

1 基础知识

入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中的

若干关键点收集信息并对其进行分析,从中发现网络或者系统中是否有违反安全策略的行为

和被攻击的迹象。入侵检测系统(Intrusion Detection System, IDS)是完成入侵检测功

能的软件和硬件的集合。

随着网络安全风险系数不断揭帖,防火墙作为最主要的安全防范手段已经不能满足人们

对网络安全的需求。作为对防火墙极其有益的补充,位于其后的第二道安全闸门IDS能够帮

助网络系统快速发现网络攻击的发生,有效扩展系统管理员的安全管理能力及提高信息安全

基础结构的完整性。

1

IDS能在不影响网络及主机性能的情况下对网络数据流和主机审计数据进行监听和分

析,对可疑的网络连接和系统行为进行记录和报警,从而提供对内部攻击、外部攻击和误操

作的实时保护。

2 入侵检测软件Snort简介

Snort是一款免费的NISD,具有小巧、易于配置、检测效率高等我,常被称为轻量级的

IDS。Snort具有实时数据流量分析和IP数据包日志分析能力,具有跨平台特征,能够进行

协议分析和对内容的搜索或匹配。Snort能够检测不同的攻击行为,如缓冲区溢出、端口扫

描和拒绝服务攻击等,并进行实时报警。

Snort可以根据用户事先定义的一些规则分析网络数据流,并根据检测结果采取一定的

行动。Snort有3种工作模式:

嗅探器(同sniffer)

 数据包记录器

 NIDS (网络入侵检测系统)

嗅探器模式仅从网络上读取数据包并作为连续不断的数据流显示在终端上;数据包记录

器模式把数据包记录到硬盘上,以备分析之用;NIDS模式功能强大,可以通过配置实现。

七 实验步骤

1 安装和配置IDS软件Snort

由于需要对网络底层进行操作,安装Snort前需要预先安装WinpCap4.1.1以上版本

(WIN32平台上网络分析和捕获数据包的链接库)。(由于之前做Sniffer实验时已经安装了,

可不必再安装)

(1)从教师信息门户的教学软件栏目下载Windows平台下的Snort2.9.2.2安装程序和

WinpCap4.1.2程序:

 双击Snort2.9.2.2安装程序进行安装,选择安装目录为D:Snort

 进行到选择日志文件存时,为简单起见,选择不需要数据库支持,或者选择Snort

默认的MySQL和OCBC数据库的方式。

(2)从教师信息门户的教学软件栏目下载Windows平台下的WinpCap4.1.2程序。双击进行

默认安装就可以。

(3)单击“开始”菜单,选择“运行”命令,输入cmd并按回车键,在命令行方式下输入

如下命令:

C:Documents and SettingsAdministrator> D:

2