zoukankan      html  css  js  c++  java
  • 入侵检测规则填写实验

    实验目的

    理解入侵检测的作用和原理,掌握snort入侵检测规则格式

    实验原理

    理解snort入侵检测规则格式

    实验内容

    在Windows平台建立基于Snort的IDS,编写入侵检测规则,以下以UDP作为简单的例子。

    实验环境描述

    1、学生机与实验室网络直连

    2、VPC1与实验室网络直连

    3、学生机与VPC1物理链路连通

    实验步骤

    1、点击开始实验进入实验环境 图片描述

    2、安装WinPcap_4_1_2.exe(按照向导提示安装即可)

    3、安装Snort_2_9_1_2_Installer.exe(默认安装即可)

    4、安装完成后单击“开始”“运行”,输入“cmd”,打开命令行

    5、使用下面命令检测安装是否成功:

      cd C:\snort\bin (回车)
       Snort –W
    

    如果出现小猪的形状就说明安装成功了。

    图片描述

    6、将D:\tools\snortrules-snapshot-2903下文件夹下的文件全部拷贝覆盖到c:\Snort下,遇到有重复的文件或者文件夹,全部替换,修改snort配置文件 etc里面的snort.conf文件。

    原: var RULE_PATH ../rules
    改为: var RULE_PATH C:\Snort\rules
    
    原: #dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
    改为:dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor(后面一定不要有/)
    
    原: #dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
    改为:dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll
    
    原:dynamicdetection directory /usr/local/lib/snort_dynamicrules
    改为:dynamicdetection directory C:\Snort\lib\snort_dynamicrules
    
    然后将C:Snort\so_rules\precompiled\FC-9\x86-64\2.9.0.3里的所有文件拷贝到C:\Snort\lib\snort_dynamicrules(该snort_dynamicrules文件夹需要自己新建)
    
    继续修改c:\tools\snort配置文件 etc里面的snort.conf文件
    
    原: include classification.config
    改为: include C:\Snort\etc\classification.config
    
    原: include reference.config
    改为: include C:\Snort\etc\reference.config
    
    原: # include threshold.conf
    改为: include C:\Snort\etc\threshold.conf 
    
    原:#Does nothing in IDS mode
    #preprocessor normalize_ip4
    #preprocessor normalize_tcp: ips ecn stream
    #preprocessor normalize_icmp4
    #preprocessor normalize_ip6
    #preprocessor normalize_icmp6
    
    原:preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 20480 decompress_depth 20480
    改为:preprocessor http_inspect: global iis_unicode_map C:\Snort\etc\unicode.map 1252 compress_depth 65535 decompress_depth 65535(因为在windows下unicode.map这个文件在etc文件夹下。将compress_depth 和decompress_depth 设置compress_depth 65535 decompress_depth 65535)
    
    将所有的ipvar修改为var
    将#include $RULE_PATH/web-misc.rules注释掉。
    
    进入dos,在\snort\bin目录用snort -W查看系统可用网络接口。记住需要监视的网卡的编号,比如为1,那么在以后的使用中,用-i 1就可以选择对应的网卡。
    

    7、运行命令snort –i 1 -c "c:\Snort\etc\snort.conf" -l "c:\snort\log",此时为攻击检测模式。

    图片描述

    8、ctrl+c停止检测后,到c:\snort\log目录下可以查看日志报告。名为alert的文件即为检测报告。

    9、(1) 在本地添加udp.rules文件规则。

    图片描述

    (2)使用命令snort –c “c:\snort\etc\snort.conf” –l “c:\snort\log” –i 1进行检测,ctrl+c停止检测,检测完毕后用包记录模式记录报告,在c:\snort\log下可以找到警告日志文件 alert(若文件内无内容,多次重复执行上述命令,停止检测,直到文件有内容即可),发现满足要求的数据包都写入了警告文件。

    图片描述 10、根据自己编写的规则分析日志文件。

  • 相关阅读:
    eclipse上运行spark程序
    Java实现高斯模糊算法处理图像
    Hadoop环境共享
    P1182 数列分段`Section II`
    NOIP2015题解
    镜面上的迷失之链 —— 二分判定性问题
    网络最大流
    [IOI2008]Island
    历史的进程——单调队列
    快速幂
  • 原文地址:https://www.cnblogs.com/lzkalislw/p/13672898.html
Copyright © 2011-2022 走看看