实验三入侵检测技术.doc

. . . . . 实验单元三. 网络扫描5.2 开发设计型实验一、 实验目的和要求1.windows平台上Snort的安装和使用2.检测外部网络远程登录内部网的非法请求 3.检测ICMP攻击报文二、实验内容和原理Snort能够对网络上的数据包进行抓包分析，但区别于其它嗅探器的是，它能根据所定义的规则进行响应及处理。Snort 通过对获取的数据包，进行各规则的分析后，根据规则链，可采取Activation（报警并启动另外一个动态规则链）、Dynamic（由其它的规则包调用）、Alert（报警），Pass（忽略），Log（不报警但记录网络流量）五种响应的机制。Snort有数据包嗅探，数据包分析，数据包检测，响应处理等多种功能，每个模块实现不同的功能，各模块都是用插件的方式和Snort相结合，功能扩展方便。例如，预处理插件的功能就是在规则匹配误用检测之前运行，完成TIP碎片重组，http解码，telnet解码等功能，处理插件完成检查协议各字段，关闭连接，攻击响应等功能，输出插件将得理后的各种情况以日志或警告的方式输出。Snort通过在网络TCP/IP的5层结构的数据链路层进行抓取网络数据包，抓包时需将网卡设置为混杂模式，根据操作系统的不同采用libpcap或winpcap函数从网络中捕获数据包；然后将捕获的数据包送到包解码器进行解码。网络中的数据包有可能是以太网包、令牌环包、TCP/IP包、802.11包等格式。在这一过程包解码器将其解码成Snort认识的统一的格式；之后就将数据包送到预处理器进行处理，预处理包括能分片的数据包进行重新组装，处理一些明显的错误等问题。预处理的过程主要是通过插件来完成，比如Http预处理器完成对Http请求解码的规格化，Frag2事务处理器完成数据包的组装，Stream4预处理器用来使Snort状态化，端口扫描预处理器能检测端口扫描的能力等；对数据包进行了解码，过滤，预处理后，进入了Snort的最重要一环，进行规则的建立及根据规则进行检测。规则检测是Snort中最重要的部分，作用是检测数据包中是否包含有入侵行为。例如规则alert tcp any any -/24 80（msg：”misc large tcp packet”；dsize：3000；）这条规则的意思是，当一个流入这个网段的TCP包长度超过3000B时就发出警报。规则语法涉及到协议的类型、内容、长度、报头等各种要素。处理规则文件的时候，用三维链表来存规则信息以便和后面的数据包进行匹配，三维链表一旦构建好了，就通过某种方法查找三维链表并进行匹配和发生响应。规则检测的处理能力需要根据规则的数量，运行Snort机器的性能，网络负载等因素决定；最后一步就是输出模块，经过检测后的数据包需要以各种形式将结果进行输出，输出形式可以是输出到alert文件、其它日志文件、数据库UNIX域或Socket等。三、实验项目（1）windows平台上Snort的安装和使用（2）检测外部网络远程登录内部网的非法请求 （3）检测ICMP攻击报文四、实验所需软硬件1）仪器设备条件：PC及其网络环境；2）物质条件：Windows、Linux、Snort；3）相关文献资料：教学网站所提供的电子文档。五、操作方法与实验步骤（1）Windows环境下Snort安装配置所需软件软件名称说明acid-0.9.6b23.taradodb465.zipappserv-win32-2.5.10.exeSnort_2_9_0_4_Installer.exeWinPcap_4_1_2.exejpgraph-3.5.0b1.tarsnortrules-snapshot-2903.tar1 安装appserv-win32-2.5.10.exe2 测试是否安装成功打开浏览器，地址为“http:/localhost:8080/test”3 安装WinPcap_4_1_2.exe4 安装Snort_2_9_0_4_Installer.exe默认即可，完成后打开命令行测试是否安装成功命令为“C:Snortbinsnort -W”(W大写)，如下图5 配置数据库打开浏览器，输入地址“http:/localhost:8080/”，如图所示创建snort和acid两个账户6 启用php对MySql的支持7 安装adodb465.zip8 安装jpgraph-3.5.0b1.tar9 安装acid-0.9.6b23.tar10 配置snort11 添加snort规则库snortrules-snapshot-2903.tar12 测试snort命令行中输入以下命令C:Snortbinsnort -c C:Snortetcsnort.conf -l C:Snortlog -d -e -X -i 2如果未报错则安装成功，如图所示打开浏览器，打开acid页面，效果如下点击Most frequent n Alert，效果如图这是用snort v命令所抓的包：（2）检测外部网络远程登录内部网的非法请求实验用的内部网络（/24）中开了telnet server，但是该server只让内部主机使用，不允许从外部网络访问。我开启服务的ip是01.编辑/tmp/snort-2.3.0RC2/rules/local.rules文件，在文件的最后添加如下规则:alert tcp !/24 any -/24 23(msg:External net attempt to access 192.168.0/24 telnet server;classtype:attempted-recon;)在/tmp/snort-2.3.0RC2/目录下面新建log目录以存放警告信息：rootlocalhost snort-2.3.0RC2#mkdir /tmp/snort-2.3.0RC2/log2.运行snort命令进行入侵检测：rootlocalhost snort-2.3.0RC2#snort -c ./etc/snort.conf -l log -D此时，运行ps -aux|grep snort 可看到snort已经在后台运行：rootlocalhost snort-2.3.0RC2#pa -aux|grep snortroot 11628 7.2 11.3 8404 7002 ? S 15:18 0.06 snort -c ./etc/snort.conf -l log -Droot 11631 6.0 1.1 2120 744 pts/1 S 15:19 0:00 snort snort可以发现，log目录下生成一个alert文件，但此时该文件大小为0rootlocalhost snort-2.3.0RC2#ls -l logtotal 0-rw - l root root 0 6月4 15:20 alert3.让处于不同子网内的同学试图telnet到机器上：进入log目录，记录log目录底下新产生的目录名字、该新产生目录底下的文件的文件名及其内容，并记录/etc/snort/log/alert文件大小是否改变。4.利用kill命令杀死snort进程，并清除/etc/snort/log目录底下的内容，以备后面的实验之需：rootlocalhost snort-2.3.0RC2#kill -9 11628rootlocalhost snort-2.3.0RC2#rm fr log/*（3）检测ICMP攻击报文ICMP报文对普通主机而言没什么意义，且容易被用以作为攻击，因此记录所有的ICMP报文，设计合适的规则。1. 编写IDS规则Alert icmp any any-$HOME_NET any(msg:”ICMP message received”;classtype:attempted-recon;)2. 建立日志目录（仅无此目录时需要）rootlocalhost snort-2.3.0RC2#mkdir log启动Snortrootlocalhost snort-2.3.0RC2#snort c ./etc/snort.conf l log D检查snort进程是否运行rootlocalhost snort-2.3.0RC2#ps aux|grep snort检查alert文件rootlocalhost snort-2.3.0RC2#ls l log六、实验结果与分析最后成功检测到外部网络远程登录内部网的非法请求，还能检测ICMP攻击报文。七、问题与建议Snort入侵检测系统适应多种平台，源代码开放，使用免费，受众多用户喜爱，但也有不少缺点。Snort之所以说他是轻量型就是说他的功能还不够完善，比如与其它产品产生联动等方面还有待改进；Snort由各功能插件协同工作，安装复杂，各软件插件有时会因版本等问题影响程序运行；Snort对所有流量的数据根据规则进行匹配，有时会产生很多合法程序的误报。感觉要配好一个入侵检测器太麻烦了，何况我们还只是加入了短短的几条检测语句，而且只是针对包来检测的，其实入侵检测还有很多内容，设计到的学科和只是也很多，只是我们现在的水平还达不到那个标准。比如说基于贝叶斯推理检测法，基于模式预测的检测法，基于统计的异常检测法，基于机器学习检测法，数据挖掘检测法，基于应用模式的异常检测法，基于文本分类的异常检测法，模式匹配法，专家系统法，基于状态转移分析的检测法。不过，经过这一次的环境配置，我对于包的检测有了更深的理解，相信对于以