《snort入侵检测系统.doc》由会员分享,可在线阅读,更多相关《snort入侵检测系统.doc(32页珍藏版)》请在三一办公上搜索。
1、甘肃政法学院入侵检测课程设计题 目 snort入侵检测系统 学院 专业 2011 级 班学 号: 姓 名: 指导教师: 成 绩:_完成时间: 2013年 12月 Snort入侵检测系统 一、课程设计目的(1)通过实验深入理解入侵检测系统的原理和工作方式。(2)熟悉入侵检测工具snort在Windows操作系统中的安装和配置方法二课程设计的原理 入侵检测系统(Intrusion Detection System,简称IDS)是一种从计算机网络或计算机系统中的若干关键点收集入侵者攻击时所留下的痕迹,如异常网络数据包与试图登录的失败记录等信息,通过分析发现是否有来自于外部或内部的违反安全策略的行为或
2、被攻击的迹象。全国的很多企业或团体都很重视自己内部保密文件的泄露与盗取,但网络传输方式有的就存在着漏洞,很多的黑客就是通过一个企业或团体的所拥有的网站通过这些漏洞来拿到这个企业的服务器,竟而获得它的内部保密文件,但是安全部门也通过电脑审计功能或其它的各种方式来对于入侵公司的“人员”获得他们入侵的记录,做出相应的法律措施,来保证每一个企业或团体的文件安全。 随着网络技术的快速发展, 网络入侵行为也越来越严重,本论文主要讨论snort入侵检测系统。Snort是一个免费的IDS(入侵监测系统)软件。它的一些源代码是从著名tcpdump软件发展而来的。它是一个基于libpcap包的网络监控软件,可以作
3、为一个十分有效的网络入侵监测系统。Snort首先根据远端的ip地址建立目录,然后将检测到的包以tcpdump的二进制格式记录或者以自身的解码形式存储到这些目录中.这样一来,你就可以使用snort来监测或过滤你所需要的包. 三、入侵检测系统的起源和发展随着网络的普及,每个人都通过不同的方式来访问网络,尤其是在B/S模式的网络结构中,比如很多的公司机密资料、广大人群的购物交易、安全部门为人们了解国家所发布的文章都是通过网络来传输,有很多的“不良分子”在利益的驱使下,通过攻击web的漏洞,来获取的自己所要的东西,已达到自己不可告人的目的。Snort是一个轻量级的入侵检测系统,它具有截取网络数据报文,
4、进行网络数据实时分析、报警,以及日志的能力。snort的报文截取代码是基于libpcap库的,继承了libpcap库的平台兼容性。它能够进行协议分析,内容搜索/匹配,能够用来检测各种攻击和探测,例如:缓冲区溢出、隐秘端口扫描、CGI攻击、SMB探测、OS指纹特征检测等等。snort使用一种灵活的规则语言来描述网络数据报文,因此可以对新的攻击作出快速地翻译。snort具有实时报警能力。可以将报警信息写到syslog、指定的文件、UNIX套接字或者使用WinPopup消息。snort具有良好的扩展能力。它支持插件体系,可以通过其定义的接口,很方便地加入新的功能。snort还能够记录网络数据,其日志
5、文件可以是tcpdump格式,也可以是解码的ASCII格式。而且,Snort对硬件没有特殊的要求,对Snort来说,硬件系统的处理器频率越高越好,不同网络使用的网卡和硬盘空间大小会制约Snort捕捉数据包和存储数据包的功能。主要来说,Snort作为一个基于网络的入侵检测系统(NIDS),在基于共享网络上检测原始的网络传输数据,通过分析捕获的数据包,匹配入侵行为的特征或者从网络活动的角度检测异常行为,进而采取入侵的告警或记录。从检测模式而言,Snort属于是误用检测,即对已知攻击的特征模式进行匹配。从本质上来说,Snort是基于规则检测的入侵检测工具,即针对每一种入侵行为,都提炼出它的特征值并按
6、照规范写成检验规则,从而形成一个规则数据库。其次将捕获得数据包按照规则库逐一匹配,若匹配成功,则认为该入侵行为成立。同时snort还是一个自由、简洁、快速、易于扩展的入侵检测系统,已经被移植到了各种UNIX平台和Win98,Win2000上。它也是目前安全领域中,最活跃的开放源码工程之一。在Snort.org上几乎每天都提供了最新的规则库以供下载,由于snort本身是自由的源码开放工程所以在使用snort时除了必要的硬件外软件上基本上不需要有任何额外的开销。这相对于少则上千多则上万的商业入侵检测系统来说,无疑是最好的替代产品之一。Snort入侵系统概述Snort作为一个基于网络的入侵检测系统(
7、NIDS),在基于共享网络上检测原始的网络传输数据,通过分析捕获的数据包,匹配入侵行为的特征或者从网络活动的角度检测异常行为,进而采取入侵的告警或记录。从检测模式而言,Snort属于是误用检测,即对已知攻击的特征模式进行匹配。从本质上来说,Snort是基于规则检测的入侵检测工具,即针对每一种入侵行为,都提炼出它的特征值并按照规范写成检验规则,从而形成一个规则数据库。其次将捕获得数据包按照规则库逐一匹配,若匹配成功,则认为该入侵行为成立。 Snort系统的特点 1)Snort是一个轻量级的入侵检测系统它虽然功能强大,但是代码却极为简洁、短小,其源代码压缩包不到2兆。 2)Snort的可移植性很好
8、 Snort的跨平台性能极佳,目前已经支持Linux,Solaris,BSD,IRIX, HP-UX,windows等系统。采用插入式检测引擎,可以作为标准的网络入侵检测系统、主机入侵检测系统使用;与Netfilter结合使用,可以作为网关IDS (Gateway IDS)等系统指纹识别工具结合使用,可以作为基于目标的IDS(Targetbased IDS)。 3) Snort的功能非常强大 Snort具有实时流量分析和日志IP网络数据包的能力。能够快速地检测网络攻击,及时地发出报警。Snort的报警机制很丰富,例如:syslog、用户指定的文件、一个UNIX套接字,还有使用SAMBA协议向W
9、indows客户程序发出WinPopup消息。利用XML插件,Snort可以使用SNML(简单网络标记语言, simple network markup language)把日志存放到一个文件或者适时报警。Snort能够进行协议分析,内容的搜索/匹配。现在Snort能够分析的协议有TCP,UDP,ICMP等。将来,可能提供对ARP、ICRP、GRE、OSPF、 RIP、IPXIPX等协议的支持。它能够检测多种方式的攻击和探测,例如:缓冲区溢出、秘密端口扫描、CGI攻击、SMB探测、探测操作系统指纹特征的企图等等。 Snort的日志格式既可以是Tcpdump式的二进制格式,也可以解码成ASCH字
10、符形式,更加便于用户尤其是新手检查。使用数据库输出插件,Snort可以把日志记入数据库,当前支持的数据库包括: Postagresql、MySQL、oraCle、任何UNIXODBC数据库等。使用TCP流插件(TcpStream),Snort可以对TCP包进行重组。Snort能够对IP包的内容进行匹配,但是对于TCP攻击,如果攻击者使用一个程序,每次发送只有一个字节的TCP包,完全可以避开Snort的模式匹配。而被攻击的主机的TCP协议栈会重组这些数据,将其送给在目标端口上监听的进程,从而使攻击包逃过Snort的监视。使用TCP流插件,可以对TCP包进行缓冲,然后进行匹配,使Snort具备了对
11、付上面这种攻击的能力。使用SPADE(Statistical Packet Anomaly Detection Engine)插件,Snort能够报告非正常的可疑包,从而对端口扫描进行有效的检测。 4) 扩展性能较好,对于新的攻击威胁反应迅速 作为一个轻量级的网络入侵检测系统, Snort有足够的扩展能力。它使用一种简单的规则描述语言。最基本的规则只是包含四个域:处理动作、协议、方向、注意的端口。还有一些功能选项可以组合使用,实现更为复杂的功能。Snort支持插件,可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展。Snort当前支持的插件包括:数据库日志输出插件、碎数据包检测插件、端
12、口扫描检测插件、HTTP URI Normalization插件、XML插件等。同时,它支持多种格式的特征码规则输入方式,如数据库、XML等。Snort的规则语言非常简单,能够对新的网络攻击做出很快的反应。发现新的攻击后,可以很快根据其特征码,写出检测规则。因为其规则语言简单,所以很容易上手,节省人员的培训费用。 5) 多用途性 Snort系统不但可以作为入侵检测系统,还可以作为数据包嗅探器、数据包记录器使用。 6) 遵循公共通用许可证GPL Snort遵循GPL,所以任何企业、个人、组织都可以免费使用它作为自己的入侵检测系统。但是,Snort系统也有很大的局限性,其系统结构决定了其检测规则只
13、能使用落后的简单模式匹配技术,适应目前不断出现的新的攻击方式的能力有限:并且它在网络数据流量很大的时候容易产生漏报和误报,这对于目前的宽带潮流是一个很大的缺点。 四、Windows下Snort的集成式安装(一) 安装Snort和Wincap包Snort安装1Snort安装2Snort安装3Snort安装4(2) Winpcap 的安装界面Winpcap 安装1Winpcap 安装2Winpcap 安装3Winpcap 安装42.安装AppServ启动AppServ安装文件后,出现如图所示的设置服务器信息界面:在Server Name中输入域名localhost:Administrators E
14、mail Address 中输入邮箱地址:1298785661监听端口设为8080。点击next,进入下一界面:在出现的界面中输入密码(123):Character Sets and Collations选择GB 2312Simplified Chinese,先将C:Appservphp5目录下的php.ini-dist 文件改名为php.Ini,然后启动Apache和MySql。点击finish。在控制面板管理服务 中查看服务,确保Apache和MySql已启动。安装完成后可以查看Apache和MySql是不是可以正常运行。Mysql正常运行在浏览器中输入http:/localhost:80
15、80/ Apache运行成功(2)测试AppServ首先查看控制面板/管理/服务,确保Apache和MySQL已经启动,然后,在浏览器中输入http:/localhost:8080/phpinfo.php,(下图)可以了解php的一些信息。最后打开浏览器,输入http:/localhost:8080/phpMyAdmin/index.php下图)输入用户名root和密码,可以浏览数据库内容。(3) 配置AppServ第一步,编辑Apache服务器配置文件。打开C:AppServApache2.2conf文件中的httpd.conf,检查相应的一些值进入Apache服务器配置文件需要检查一下一些
16、值:LoadModule php5_module C:/AppServphp5php5apache2_2.dllServerName localhost:8080DocumentRoot C:/AppServ/www第二步,编辑phpMyAdmin中的关键文件。打开C:AppServwwwphpMyAdminlibraries目录下的config.default.php文件。设置phpMyadmin的URL,$cfgPmaAbsoluteUri = http:/localhost:8080/phpmyadmin/$cfgblowfish_secret = 123$cfgDefaultLang
17、= zh-gb2312$cfgDefaultCharset = gb2312$cfgServers$iauth_type = cookie第三步,为安全起见,还必须删除Mysql安装后默认的any%、anylocalhost和root%帐号。delete from db where user= and host=%delete from tables_priv where user= and host=%delete from columns_priv where user= and host=%delete from user where user= and host=localhostde
18、lete from db where user= and host=localhostdelete from tables_priv where user= and host=localhostdelete from columns_priv where user= and host=localhostdelete from user where user=root and host=%delete from db where user=root and host=%delete from tables_priv where user=root and host=%delete from co
19、lumns_priv where user=root and host=%注意,上面的是两个单引号而不是一个双引号。这样只允许root从localhost连接。第四步,配置php.ini。打开C:WINDOWS|php.ini文件。修改后的值如下图:123第五步,对Mysql进行修改。首先需要建立Snort运行必需的Snort 库和Snort_archive库:Crete database snort;Create database snort_archive1) 使用C:AppServSnortschemas目录下的create_MySQL脚本建立Snort运行必需的数据表。在snort数据
20、库中运行创建的表然后再把创建表的语句进行修改。运行创建表修改前修改后创建成功2) 可以通过MySQL提示符下运行SQL语句show tables来检验配置的正确性。首先进入snort数据库。如下图第七步,必须在Appache服务器主机上建立ACID和Snort用户,并且设置权限和密码mysql grant usage on *.* to acidlocalhost identified by acidtest;mysql grant usage on *.* to snortlocalhost identified by snorttest;mysql grant select,insert,
21、update,delete,create on *.* to snortlocalhost id entified by snorttest;mysql grant select,insert,update,delete,create,alter on snort. * to acidlocalhost;mysql grant select,insert on snort. * to snortlocalhost;mysql grant select,insert,update,delete,create,alter on snort_archive. * to acidlocalhost;m
22、ysql set password for snortlocahost=password(123);mysql set password for acidlocahost=password(123);设置权限和密码安装Adodb,jpGraph和ACID移动文件adodb jpgraph acid 得到: Adodb生成目录:C:AppServphp5adodbjpgraph生成目录:C:AppServphp5jpgraphacid 生成目录:C:AppServwwwacid修改C:AppServwwwacid中的 acid-conf.php文件1 )移动文件adodb到C:AppServph
23、p5目录下,如图3.2.13.2.2所示。2) 移动文件jpgraph到C:AppServphp5目录下,如图3.3.33.3.4所示。3)移动文件acid 到C:AppServwww目录下,如图3.3.53.3.6所示。4) 修改C:AppServwwwacid中的 acid-conf.php文件$alert_dbname = snort;$alert_host = localhost;$alert_port = ;$alert_user = acid;$alert_password = 123;/* Archive DB connection parameters */$archive_d
24、bname = snort_archive;$archive_host = localhost;$archive_port = ;$archive_user = acid;$archive_password = 123;在mysql命令端输入如下命令,如果显示OK表示已配置好在最后在浏览器中输入http:/localhost:8080/acid/acid_db_setup.php出现如下界面:说明成功。3.3 配置Snort 1)将主配置文件snort.conf的相对路径改为绝对路径进行调整,修改C:snortetcsnort.conf 主要改绝对路径:修改后:include c:Snorte
25、tcclassification.configinclude c:Snortetcreference.config修改前:修改后:dynamicpreprocessor directory C:snortlibsnort_dynamicpreprocessor# path to base preprocessor enginedynamicengine C:snortsnort_dynamicenginesf_engine.dll设置snort 输出alert 到mysql server1把“# var HOME_NET 10.1.1.0/24”改成“var HOME_NET 192.168.
26、0.4/24”你自己LAN内的地址,把前面的#号去掉。2把“var RULE_PATH ./rules”改成“var RULE_PATH /etc/snort”3把“# output database: log, mysql, user=root password=test dbname=db host=localhost”改成“output database: log, mysql, user=root password=123 dbname=snort host=localhost”把前面的#号去掉。4把“# include $RULE_PATH/web-attacks.rules# in
27、clude $RULE_PATH/backdoor.rules# include $RULE_PATH/shellcode.rules# include $RULE_PATH/policy.rules# include $RULE_PATH/porn.rules# include $RULE_PATH/info.rules# include $RULE_PATH/icmp-info.rulesinclude $RULE_PATH/virus.rules# include $RULE_PATH/chat.rules# include $RULE_PATH/multimedia.rules# in
28、clude $RULE_PATH/p2p.rules”前面的#号删除。修改完毕后,保存退出。(5)、系统测试 1)、phpMyAdmin测试Snort系统全部安装完以后,用户将可以使用root、acid、snort3个账户ID登录phpMyAdmin。这3个用户能否顺利登陆关系到整个snort系统能否顺利运行,因此必须进行检测。登陆时先后输入3个用户名和密码,输入网址http:/localhost:8080/phpMyAdmin/index.php如图: 2)、命令行界面测试用户可以使用如下命令测试snort是否正常工作:首先进入目录。cdC:snortbin然后使用以下命令。snort -c
29、C:snortetcsnort.conf -1 C:snortlog -d -e -X重新启动snort后,经过一系列初始化,如果看到“小猪”,就标志着snort已经正常启动了。然后用另外一台主机ping 本机,snort 即可监控到如下图的情况:snort成功捕捉数据包,输入网址:http:/localhost:8080/acid/acid_main.php出现以下截图,表示运行成功。2、Windows下Snort的使用 IDScenter是一款Windows平台下基于Snort的界面工具。它虽然简化了Snort的的使用,但我们仍然必须掌握Snort和网络的相关知识。他不但具有省去了敲代码的
30、繁琐工作,而且提供了管理功能。主要特点有:支持Snort的2.0,1.9,1.8,1.7。支持Snort服务模式。Snort配置向导,包括设置Snort变量,配置预处理插件,输出插件,指定规则集。规则编辑器,支持Snort2.0的所有规则选项,还可以从文件和web站点导入现存的规则集监视,允许监视多达10报警文件和MySQL数据库信息。日志回收功能,允许根据指定的时间表压缩和备份日志文件。集成的日志查看器,可查看文件日志,XML日志和HTML日志。一 安装snort界面工具IDScenter安装到默认路径。表示安装成功。五、结束语在信息快速发展的时代,网络安全也变的尤为重要,但关于网络安全的人才是非常的匮乏,特别是在2011年CSDN,天涯等大型数据库泄露后,每个公司和安全部门都更加需要这方面的人才,可想而知从事入侵检测这方面人员的就业是非常的有前景,学习入侵检测当然没有也不是高不可攀的,只要确定这个方向,持之以恒,不断进行试验和研究,终将成为一名高手,通过黑客可以看出,学习入侵检测系统,也与学历无关,很多高水平的黑客也都连大学都没上过。从事网络安全工作,也势必将会成为21世纪的计算机界的新话题。
