网络信息安全实验报告：Snort的安装与使用

1、实 验 报 告（ 20 / 20 学年第学期）课程名称网络信息安全a 实验名称实验一 snort的安装与使用实验时间2014 年5 月16 日指导单位计算机学院信息安全系指导教师陈伟学生姓名陈松健班级学号11001024 学院 ( 系) 通达学院专业计算机科学与技术（信息安全）1 实 验 报 告实 验 名称snort 的安装与使用指导教师陈伟实 验 类型验证实验学时2 实验时间2014.5.16 一、 实验目的和要求1. 通过实验掌握轻量级入侵检测系统snort 的安装。2. 掌握 snort 的配置与使用方法，理解基于误用检测的入侵检测系统工作原理。二、实验环境 ( 实验设备 ) 1. 安装

2、 windows 2000/2003/xp 操作系统并连接网络的一台pc机。2. 软件： winpcap, snort 三、实验原理及内容实验题目 1： 在 windows 环境下安装和使用snort 。 要求给出使用的snort 的命令参数。实验题目2：使用另外一台电脑对snort 所在主机发起一次端口扫描攻击，将snort捕获结果复制到实验报告中。 （思考： snort 检测结果的准确率如何？如何提高snort的检测速度与准确率）实验解答：1、在 windows 环境下安装和使用snort 。要求给出使用的snort 的命令参数。1）安装 winpcap_4.0.2 2) 安装 snort

3、_2_8_2_installer 3）将规则文件（.rules）复制到snort 安装目录的rules/目录下4）将配置文件 (snort.conf) 将其复制到snort 的 /etc/目录2 5） cmd 打开执行命令：c:snortbinsnort w /选择正确的物理网卡号4 c:snortbinsnort i 4 c .etcsnort.conf l .log /进入检测模式2：使用另外一台电脑对snort 所在主机发起一次端口扫描攻击，将snort 捕获结果复制到实验报告中。用另一台主机发起扫描后，打开log 文件夹下的 alert.ids搜寻“ - 10.20.79.158” （

4、也就是我的主机 ip）扫描字段 , 看看是否有识别的 nmap scan 扫描。发现以下记录：检测到了 nmap xmas（圣诞树）扫描。扫描攻击方的ip 地址为 10.20.79.141 ，被扫描方也就是我的主机： 10.20.79.158 ，nmap 扫描的端口号为： 53914 扫描我的 1 端口，数据包的 urg 、psh 、fin 被置位，从而判断是典型的xmas 扫描。但是除了这个包外再没有发现其他的明确是nmap扫描的数据包了。在看圣诞树扫描前后的记录：3 攻击方的 ip 地址和被攻击方的ip 地址与前面的相同。第一个包是针对162 端口的刺探，如果snmp 服务开启的话，这个端

5、口会开放，同样161端口也必须开启；所以猜测这个记录也是nmap 发起的一个针对snmp 的扫描。很遗憾 snort没有识别。第二个包是一个 snmp agentx/tcp 请求包，同样是探测snmp 服务的。继续往下看，果然发现了针对端口161的探测，记录结果如下：同样，发现了攻击方对3389的访问，记录结果如下：3389 是 windows 著名的远程访问服务端口， 如果这个端口能够进行访问的话，攻击者很容易能够远程控制本地计算机。思考： snort 检测结果的准确率如何？如何提高snort 的检测速度与准确率1）snort 成功发现了部分扫描动作，nmap 的 xmas 圣诞树扫描成功被

6、识别，但对于其他端口的探测如 161、 162、 705、 3389 等端口的被作为警告记录了下来但没有识别，还有对 135、445 等端口的扫描没有被发现。 总体感觉， 准确率中等 （优秀、良好、中等、较差四级别）。2）可以通过编写更好的规则来提高准确率，可以给规则定下更多的前提条件。可以通过修改 libpcap下的伯克利包过滤器的过滤规则筛选出更明显的存在问题的数据包，并将buffer缓冲区扩大，采用多线程技术提高处理速度。4 四、实验小结（包括问题和解决方法、心得体会、意见与建议等）1、通过这次实验，我学会了snort 的安装与使用。2、初步掌握 snort 的配置与使用方法，理解基于误

7、用检测的入侵检测系统工作原理。3、通过试图把自己计算机接入实验室机房学会了linux下网卡的配置。4、通过分析 alert下的记录，了解到了更多关于各种重要服务的端口的知识。如 snmp 服务端口： 161、162 snmp agentx 扩展协议服务端口： 705 windows 远程登录服务端口： 3389 5、在考虑准确率和检测速度的时候进一步了解了入侵检测系统。6、通过这次实验进一步了解了libpcap下伯克利包过滤器的工作原理。bpf 过滤使用了新的基于寄存器的预过滤机制，它的缓存机制也对整体效率提高有很大作用。 bpf 在核心设置了过滤器，预先可对数据包进行过滤，并且只将用户需要的数据提交给用户进程。每个bpf都有一个 buff