网络攻防实验五.doc

甘肃政法学院本科生实验报告（五）姓名:米小莉学院:计算机科学学院专业:计算机科学与技术 班级:09计本班实验课程名称:网络攻击与防御技术实验日期:2012 年 6月 14日指导教师及职称:武光利实验成绩:开课时间：2011-2012学年 第二 学期甘肃政法学院实验管理中心印制实验题目Snort系统的安装与配置小组合作否姓名米小莉班级09计本班学 号200981010123一、实验目的熟悉入侵检测工具snort在Windows操作系统中的安装和配置方法二实验环境操作系统：windows xp软件：winpcap AppServ三、实验内容与步骤Windows环境下安装和配置snort（1）、安装Snort和Wincap包2.AppServ（1）安装AppServ启动AppServ安装文件后，出现如图所示的设置服务器信息界面：在Server Name中输入域名localhost：Administrators Email Address 中输入邮箱地址：694046703监听端口设为8080点击next，进入下一界面：在出现的界面中输入密码（123）：Character Sets and Collations选择GB 2312Simplified Chinese,下图所示：然后单击Install,进入安装过程，出现下图：安装完成后将C:Appservphp5目录下的php.ini-dist 文件改名为php.Ini，并启动Apache和MySql。（控制面板管理服务 确保Apache和MySql已启动）安装完成后可以查看（MySQL启动如下图）在浏览器中输入http:/localhost :8080 出现：表示安装成功！（2）测试AppServ首先查看控制面板/管理/服务,确保Apache和MySQL已经启动，然后，在浏览器中输入http:/localhost :8080/phpinfo.php,（下图）可以了解php的一些信息。最后打开浏览器，输入http:/localhost :8080/phpMyAdmin/index.php,下图）输入用户名root和密码，可以浏览数据库内容（3）配置AppServ第一步，编辑Apache服务器配置文件。打开Apache2.2conf文件中的httpd.conf,检查相应的一些值进入Apache服务器配置文件需要检查一下一些值：LoadModule php5_module C:/AppServphp5php5apache2_2.dll# ServerName gives the name and port that the server uses to identify itself.# This can often be determined automatically, but we recommend you specify# it explicitly to prevent problems during startup.# If your host doesnt have a registered DNS name, enter its IP address here.ServerName localhost:8080# DocumentRoot: The directory out of which you will serve your# documents. By default, all requests are taken from this directory, but# symbolic links and aliases may be used to point to other locations.DocumentRoot C:/AppServ/www第二步，编辑phpMyAdmin中的关键文件。打开C:AppServwwwphpMyAdminlibraries目录下的config.default.php文件设置phpMyadmin的URL，$cfgPmaAbsoluteUri = http:/localhost:8080/phpmyadmin/$cfgblowfish_secret = 123$cfgDefaultLang = zh-gb2312$cfgDefaultCharset = gb2312$cfgServers$iauth_type = cookie第三步，为安全起见，还必须删除Mysql安装后默认的any%、anylocalhost和root%帐号。delete from db where user= and host=%delete from tables_priv where user= and host=%delete from columns_priv where user= and host=%delete from user where user= and host=localhostdelete from db where user= and host=localhostdelete from tables_priv where user= and host=localhostdelete from columns_priv where user= and host=localhostdelete from user where user=root and host=%delete from db where user=root and host=%delete from tables_priv where user=root and host=%delete from columns_priv where user=root and host=%注意，上面的是两个单引号而不是一个双引号。这样只允许root从localhost连接。第四步，配置php.ini。打开C:WINDOWS|php.ini文件。修改后的值如下图：第五步，对Mysql进行修改。首先需要建立Snort运行必需的Snort 库和Snort_archive库：修改前修改后错误是因为没有启动mysql,第二次是因为）；被#，屏蔽了，修改后如下图：程序第一次运行就生成了event表和schema表，需要删除错误的表后才能重新创建表。经过多次排错，终于运行成功：第六步，使用C:Snortschemas目录下的create_MySQL脚本建立Snort运行必需的数据表。在此，可以通过MySQL提示符下运行SQL语句show tables来检验配置的正确性其中c:Snort为Snort的安装目录，打开命令提示符，运行以下命令：mysql -D Snort -u root -p c:Snortschemascreate_mysqlmysql -D Snort_archive -u root -p grant usage on *.* to acidlocalhost identified by acidtest;mysql grant usage on *.* to snortlocalhost identified by snorttest;mysql grant select,insert,update,delete,create on *.* to snortlocalhost identified by snorttest;mysql grant select,insert,update,delete,create,alter on snort. * to acidlocalhost;mysql grant select,insert on snort. * to snortlocalhost;mysql grant select,insert,update,delete,create,alter on snort_archive. * to acidlocalhost;mysql set password for snortlocahost=password(123);mysql set password for acidlocahost=password(123);在Appache服务器主机上建立ACID和Snort用户设置权限和密码设置结果如图所示：（3）、安装Adodb,jpGraph和ACID移动文件adodb jpgraph acid 得到： Adodb生成目录：C:AppServphp5adodbjpgraph生成目录：C:AppServphp5jpgraphacid 生成目录：C:AppServwwwacid修改C:AppServwwwacid中的 acid-conf.php文件$DBlib_path = C:AppServphp5adodb;$alert_dbname = snort;$alert_host = localhost;$alert_port = 3306;$alert_user = acid;$alert_password = 123;$archive_dbname = snort_archive;$archive_host = localhost;$archive_port = ;$archive_user = acid;$archive_password = 123;$ChartLib_path = C:AppServphp5jpggraphsrc;打开acid_conf.php文件修改并保存，结果如下图：在mysql命令端输入如下命令并回车，出现如下所示，表明运行成功：最后在浏览器中输入http:/localhost :8080/acid/acid-db-setup.php 出现如下界面：说明 安装成功（4）、配置snort修改C：snortetcsnort.conf 主要改绝对路径：修改前修改后然后还需要修改引用路径：dynamicpreprocessor directory C:/snort/lib/snort_dynamicpreprocessor/dynamicengine C:/snort/lib/snort_dynamicengine/libsf_engine.dll设置snort 输出alert 到mysql server1把“# var HOME_NET /24”改成“var HOME_NET /24”你自己LAN内的地址，把前面的#号去掉。2把“var RULE_PATH ./rules”改成“var RULE_PATH /etc/snort”3把“# output database: log, mysql, user=root password=test dbname=db host=localhost”改成“output database: log, mysql, user=root password=123 dbname=snort host=localhost”把前面的#号去掉。4把“# include $RULE_PATH/web-attacks.rules# include $RULE_PATH/backdoor.rules# include $RULE_PATH/shellcode.rules# include $RULE_PATH/policy.rules# include $RULE_PATH/porn.rules# include $RULE_PATH/info.rules# include $RULE_PATH/icmp-info.rulesinclude $RULE_PATH/virus.rules# include $RULE_PATH/chat.rules# include $RULE_PATH/multimedia.rules# include $RULE_PATH/p2p.rules”前面的#号删除。修改完毕后，保存退出。（5）、系统测试 1）、phpMyAdmin测试Snort系统全部安装完以后，用户将可以使用root、acid、snort3个账户ID登录phpMyAdmin。这3个用户能否顺利登陆关系到整个snort系统能否顺利运行，因此必须进行检测。登陆时先后输入3个用户名和密码，如图：如果用户不慎忘记数据库acid密码，可以通过程序组中的AppServ组内的重置密码命令恢复acid的密码，如图：phpMyAdmin重置密码界面1phpMyAdmin重置密码界面2 2）、命令行界面测试用户可以使用如下命令测试snort是否正常工作：C:snortbinsnort -cC:snortetcsnort.cong -l C:snortlog -d -e -X启动加载出错提示重新启动snort后，经过一系列初始化，如果看到“小猪”，就标志着snort已经正常启动了。然后用另外一台主机ping 本机，snort 即可监控到如下图的情况：snort成功捕捉数据包，四、实验过程与分析IDScenter是一款Windows平台下基于Snort的界面工具。它虽然简化了Snort的的使用，但我们仍然必须掌握Snort和网络的相关知识。他不但具有省去了敲代码的繁琐工作，而且提供了管理功能。主要特点有：支持Snort的2.0，1.9，1.8，1.7。支持Snort服务模式。Snort配置向导，包括设置Snort变量，配置预处理插件，输出插件，指定规则集。规则编辑器，支持Snort2