课程设计题目:Snort入侵检测系统平台的构建
学院:
专业:计算机科学与技术
班级:
组长:
小组成员:
指导老师:
2011年1月6日
目录
一总体设计 3
1.开发背景3
2. 设计内容4
3. 设计目的4
4. 设计意义4
二入侵检测系统的介绍4
1.什么是入侵检测4
2.入侵检测基础5
三入侵检测系统分类 6
四Snort的介绍 6
1.Snort简介6
2. Snort的相关特性7
3. Snort的功能架构7
4. Snort的工作模式8
5. 分布式Snort的体系结构8
6. Snort规则8
五课程设计的内容10
1.Snort的安装平台10
2.安装所需要的软件包10
3.详细安装步骤10
六课程设计分析与结果26
1. snort的启动与测试实验26
七课程设计心得与体会29
附录一30
一总体设计
1.开发背景
随着科学技术的发展,互联网给人类社会带来了前所未有变化,对经济、文化、生产、生活等人类社会各领域都有重大的影响,并逐渐成为人们日常工作和生活的一部分,如电子商务、远程教育、信息共享、休闲娱乐等都逐步走入我们的生活,影响着我们的生活。任何事物都具有两面性,互联网在给人类社会带来进步的同时,也存在许多问题。在这些问题中,计算机网络安全问题首当其冲,且日益显现,目前比较突出的安全问题是病毒事件侵袭和恶意软件的干扰。
据最新统计数据显示,各种网络安全事件每年都呈明显增长趋势,2007年上半年,全国计算机感染台数75,967,19台,与去年同期相比增长了12.2%。随着网络用户和网络资源的大量增加,以及各种系统漏洞的大量存在和不断发现,使得网络安全问题变得更加错综复杂,并呈现出新的趋势:
(1)发现安全漏洞的周期越来越短,漏洞覆盖面越来越广;
(2)攻击工具越来越复杂;
(3)攻击自动化程度和攻击速度提高,杀伤力逐步提高;
(4)越来越高的防火墙渗透率;
(5)对基础设施将形成越来越大的威胁。加之网络攻击行为日趋复杂,各种方法相互融合,使得网络安全防御更加困难。
对于这些安全问题,人们想出了各种各样的解决办法。在2006年,防火墙、防病毒以及入侵检测系统等“老三样’’安全产品仍然占据了安全市场的大部分份额,也是目前比较流行的安全问题解决方案组合。但防火墙无法阻止协议漏洞发起的入侵,如蠕虫、垃圾邮件、病毒传播以及拒绝服务的侵扰。另外,防火墙本身的缺陷也是影响内部网络安全的重要问题,当黑客绕过防火墙攻击到内部时,防火墙形同虚设。在这种情况下,网络入侵检测技术应运而生。入侵检测系统的作用是监控网络和计算机系统是否出现被入侵或误用的征兆,它被安置在防火墙之后,不需要人工干预就可以不间断地运行,能够发现异于正常行为的操作。入侵检测系统IDS ( Intrusion Detection System),是用于检测任何损害或企图损害系统的保密性、完整性、可用性行为的系统。它通过监控受保护系统的状态和活动,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效手段的一种网络安全技术,在网络安全形式日益严峻的背景下,如何提供更易于使用、更智能化的网络安全产品是网络安全领域面临的重大挑战,只有充分发挥不同网络安全设备或功能之间的合力,充分利用不同网络安全设备的资源,加以关联、分析、整合,形成行之有效的安全策略,并自动实施,甚至与网络设备密切协同配合,才能更好地保障网络的整体安全。
然而,Snort 作为一个强大的轻量级的网络入侵检测系统,它具有实时数据流量分析和日志IP 网络数据包的能力,能够进行协议分析,对内容进行搜索匹配。而随着入侵手段的不断翻新,单纯的防火墙技术已经不能满足网络安全的需求,因为攻击者有可能绕过防火墙,或就在防火墙内。由于防火墙技术不能提供实时的人侵检测,因此人们常常将其称为被动的网络安全防御。Snort是入侵检测系统的核心,对snort的研究和认识是当前网络安全发展的大趋势。
2. 设计内容
Snort入侵检测系统平台的构建
3. 设计目的
近年来计算机技术水平飞速发展,网络信息安全越来越受到重视.网络技术飞速发展的同时,各种网络技术漏洞和各种意图的网络攻击者也越来越多,网络入侵和攻击的现象仍然是屡见不鲜,而网络攻击者的技术和知识也日趋专业成熟,攻击工具与手法日趋复杂多样.计算机网络安全、信息安全已经成为一个国际性的问题,每年全球因计算机网络的安全问题而造成的经济损失高达数百亿美元,且这个数字正在不断增加.传统的加密和防火墙技术等被动防范技术已经不能完全满足现今的安全需要,想要保证网络信息和网络秩序的安全,就必须要更强有力和更完善的安全保护技术。目前,入侵检测技术以其强有力的安全保护功能进入了人们的视野,也在研究领域形成了热点.
Snort是一种开放源码的入侵检测系统,具有良好的扩展性和可移植性,可支持Linux、windows等多种操作系统平台,在本实验中,主要介绍snort在windows操作系统中的安装和测试使用方法,有助于我们对入侵检测系统的深入理解。我们对snort进行的安装配置和测试实验,以此来了解Snort入侵检测系统平台的构建的方法。
4. 设计意义
Snort是一个著名的免费而又功能强大的轻量级入侵检测系统,具有使用简便、轻量级以及封堵效率高等特点,本文从实用操作的角度介绍了如何用Snort 保证上网主机的安全。
入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施之后的新一代安全保障技术。它对计算机和网络资源上的恶意使用行为进行识别和响应,它不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动。而且,随着网络服务器对安全性要求的不断增大,如何在Windows环境下抵御黑客入侵和攻击,切实保证服务器的安全具有重大的实践意义。
二入侵检测系统的介绍
1.什么是入侵检测
入侵检测是指用来检测针对网络及主机的可疑活动的一系列技术和方法。入侵检测系统基本可以分为两大类:基于特征的入侵检测系统和异常行为检测系统。入侵者常具有用软件可以检测到的特征,如病毒。入侵检测系统将检测包含已知入侵行为特征或者异常于IP协议的数据包。基于一系列的特征及规则,入侵检测系统能够发现并记录可疑行为并产生告警。基于异常的入侵检测系统通常
是分析数据包中协议头部的异常,在某些情况下这种方式要比基于特征的入侵检测系统要更好一些。通常情况下,入侵检测系统在网络上捕获数据包与规则比对或者检测其中的异常。Snort基本上是一个基于规则的IDS,但是input插件可以分析协议头部异常。
入侵检测系统作为一种积极主动的网络安全防护技术,提供对内部网络攻击、外部网络攻击与误操作实时保护,在网络系统体系受到危害之前作出响应入侵,入侵检测系统能很好的弥补防火墙技术的不足,至今为止,软件技术还不可能百分之百的保证系统中不存在安全漏洞,针对日益严重的网络安全问题和安全需求,适应网络安全模型与动态安全模型应运而生,入侵检测系统在网络安全技术中占有重要的地位。
2.入侵检测基础
目前通常说的入侵就是指对系统资源的非授权操作,可造成系统数据的丢失和破话、甚至会造成系统具绝对合法用户服务等问题.Smaha从分类的角度将入侵描述成尝试性闯入、伪装攻击、安全控制系统渗透、泄露、拒绝服务、恶意使用等六类.入侵者通常可分为外部入侵者,例如黑客等系统的非法用户,和内部入侵者,即越权使用系统资源的用户.
入侵检测技术是近年来飞速发展起来的一种动态的集监控、预防和抵御系统入侵行为为一体的新型安全机制.作为传统安全机制的补充,入侵检测技术不再是被动的对入侵行为进行识别和防护,而是能够提出预警并实行相应反应动作.美国国际计算机安全协会(ICSA)将入侵检测定义为:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术.违反安全策略的行为有入侵和滥用.通常来说入侵检测是对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程,具有智能监控、实时探测、动态响应、易于配置等特点.入侵检测的目标就是通过检查操作系统的安全日志或网络数据包信息来检测系统中违背安全策略或危及系统安全的行为或活动,从而保护信息系统的资源免受拒绝服务攻击、防止系统数据的泄漏、篡改和破坏.传统安全机制大多针对的是外部入侵者,而入侵检测不仅可以检测来自外部的攻击,同时也可以监控内部用户的非授权行为.作为新型的安全机制,入侵检测技术的研究、发展和应用加强了网络与系统安全的保护纵深,使得网络、系统安全性得到进一步的提高.目前在入侵检测系统中常用的检测方法有:
(1)模式匹配Pattern Matching
(2)统计分析Statistical Analysis
(3)专家系统Expert System
(4)神经网络ANN
(5)模糊系统Fuzzy Systems
(6)遗传算法GA
(7)免疫系统Immune System
(8)数据挖掘Data Mining
(9)数据融合Fusion
(10)Protocol分析Protocol Analysis
三入侵检测系统分类
入侵检测系统由控制台(Console)与传感器(Sensor)两部分组成,控制台起到中央管理作用,传感器则负责采集数据与分析数据并生成安全事件的作用。
目前的入侵检测系统主要分为两类:
⑴基于主机的入侵检测系统:主要用于保护某一台主机的资源不被破坏。
⑵基于网络的入侵检测系统:主要用户保护整个网络不被破坏。
美国国防部高级研究计划署(DARPA)提出了CIDF(公共入侵检测框架),阐述了一个入侵检测系统的通用模型,可将入侵检测系统分为四个组件:事件产生器、事件分析器、响应单元、事件数据库。现在的入侵检测系统多采用分布式体系结构,使用代理和移动代理技术。
入侵检测系统通用模型事件产生器负责原始数据采集,对数据流和日志文件进行追踪,将搜集到的原始数据转换为事件,提供给系统其他部分.事件分析器接收事件并进行分析,判断为入侵行为或异常现象后转换为警告信息.事件数据库存放各种中间和最终数据,响应单元根据警告信息作出反应,是入侵检测系统中的主动武器.
1 主机入侵检测系统HIDS
基于主机入侵检测通过全面监测主机的状态与用户操作进行检测分析,可以检测到主机、进程或用户异常行为,在受保护主机上有专门的检测代理系统,通过对系统日志和审计记录不间断监视与分析来发现系统的攻击,及时发送警告信息和采取相应的措施来阻止攻击作用,其主要目的是在事件发生之后,能够提供足够分析来阻止进一步的攻击的用途。
2 网络入侵检测系统NIDS
基于网络入侵检测系统放置在网络中比较重要的位置,可以不间断的监测网段中各种数据包,并且可以对每一个数据包或者可疑数据包进行特征分析与研究,网络入侵检测系统是可以使用原始网络数据包作为数据源,进行保护网络正常运行,如果这些数据包与产品内置某些规则相吻合,则入侵检测系统就会发出警报甚至于直接切断网络连接来进行防御,目前入侵检测系统大部分产品是基于网络的。
四Snort的介绍
1.Snort简介
Snort是一个基于Libpcap的数据包嗅探器并可以作为一个轻量级的网络入侵检测系统(NIDS)。所谓的轻量级是指在检测时尽可能低地影响网络的正常操作,
一个优秀的轻量级的NIDS应该具备跨系统平台操作,对系统影响最小等特征并且管理员能够在短时问内通过修改配置进行实时的安全响应,更为重要的是,能够成为整体安全结构的重要成员。Snort在逻辑上可以分成多个模块,这些模块共同工作,来检测特定的攻击,并产生符合特定要求的输出格式。一个基于Snort 的IDS包含下面的主要模块:包解码器、预处理器、检测引擎、Et志和报警系统、输出模块。
2. Snort的相关特性
⑴Snort具有实时数据流量分析和检测IP网络数据包的能力,能够进行Protocol 分析,对内容进行搜索/匹配。
⑵Snort的报警机制很丰富,如syslog、用户指定的文件、一个Unix套接字,以及使用SAMBAProtocol向客户程序发出警告消息。
⑶Snort能够进行Protocol分析,内容的搜索和匹配,目前Snort可以对多种Protocol进行解析能检测多种方式的攻击和探测,如缓冲区溢出、端口扫描CGI 攻击、SMB探测、探测操作系统指纹特征的企图等。
⑷Snort的日志格式可以是tcp dump式的二进制格式,也可以解码成ASCⅡ字符形式,便于用户尤其是新手检查。
⑸Snort有很好的扩展性,由于其规则描述语言简单,能够快速对新的网络攻击作出反应。
⑹Snort支持插件,可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展。
⑺Snort的可移植性好,它有极佳的跨平台性,支持Linux,Solaris,BSD,IRIX,HP-UX,Windows系列,ScoOpenserver,Unixware等。
⑻Snort遵循公共通用许可证GPL.Snort遵循GPL,所以任何企业、个人、组织都可以免费使用它作为自己的NIDS。
3. Snort的功能架构
Snort可提供Protocol分析、内容查找和匹配,可以用来检测各种攻击和探测,如缓冲区溢出、隐蔽端口扫描、CGI攻击、SMB探测、操作系统指纹识别尝试等.其中的包嗅探、数据包记录和入侵检测是其重要功能.Snort的架构决定了它的各种功能,而Snort架构由以下4个基本模块构成:
⑴嗅探器
⑵预处理器
⑶检测引擎
⑷输出模块
Snort的最简单形式就是包嗅探器,但当Snort获取到数据包后会将数据包传送到与处理模块,然后通过检测引擎判断这些数据包是否违反了某些预定义规则。
Snort的预处理器、检测引擎和报警模块都以插件形式存在.插件就是符合Snort接口定义的程序,这些程序曾经是Snort内核代码的一部分,现在独立出来使内核部分的修改变得简单可靠.
包嗅探器用来监听数据网络,可以是硬件也可以是软件.一个网络嗅探器使应用
程序或者硬件设备能够监听网络上的数据流.互联网多是IP数据流,在本地局域网或传统网络中多是IPX或AppleTalk数据流.具体来说,包嗅探器不仅可以进行网络分析及错误处理、性能分析及基准测量、监听明文密码及其他感兴趣的数据.
预处理器得到原始数据包,使用不同的插件检测数据包,这些插件检测数据包的某些特定行为.一旦数据包被确认具有某些特定行为,就会被送到检测模块.插件可以根据需要在与处理层被启用或停用,从而更具网络优化级被分配计算资源并生成报警,插件是入侵检测系统的一个非常有用的功能.
检测引擎接收预处理器及其插件穿送来的数据,然后根据一系列的规则对数据进行检测.如果这些规则和数据包中的数据相匹配,就将数据包传送给报警处理器.当数据通过检测引擎后,Snort会对其数据进行不同的处理.如果数据和检测引擎的规则相匹配,Snort就会触发报警.报警可以通过网络连接、UNIX的套接字或Windows Popup(SMB),甚至SNMP陷阱机制发送到日志文件.也可以使用Snort的一些附加工具来通过Web接口显示日志内容,包括一些perl、PHP和Web服务器的插件等.日志可以存储在文本文件中.报警和日志都可以记录到数据库中,如MySQL或Postgree等.另外,Snort报警可以通过系统日志工具如SWATCH发送电子邮件及时通知系统管理员,是系统不需要由专人24小时监控.
4. Snort的工作模式
Snort有3种工作模式:嗅探器模式、数据包记录器、网络入侵检测模式。嗅探器模式仪仅从网络上读取数据包并作为连续不断的流量显示在终端上。数据包记录器模式把数据包记录到日志中。网络入侵检测模式是Snort最主要的功能,是可配置的。
5. 分布式Snort的体系结构
分布式Snort体系结构如果上千兆数据必须存储在Snort运行的机器上,计算机的处理能力就是一个实际的问题。所以Snort采用了3层体系结构。Snort 的3层体系结构传给第二层。第二层是服务器,它从传感器收集报警数据并且将其转换成用户可读的形式。第三层是分析员控制台,数据在这一层显示。
6. Snort规则
Snort是一个基于特征的入侵检测系统,而Snort正是通过大量的规则集实现基于特征的入侵检测系统的功能.这些规则集按照不同的类别进行分类,如木马、缓冲区溢出、访问不同的应用程序等,并进行定期的更新。
所有的Snort规则都可以分为两个逻辑组成部分:规则头部和规则选项。规则的头部包含规则所做动作的信息,也包含与包所比对的一些条件。选项部分通常包含一个报警消息以及包的哪个部分被用来产生这个消息。一条规则可以用来探测一个或多个类型的入侵活动,一个好的规则可以用来探测多种入侵特征。动作是当发现一个数据包满足规则中的指定属性时,Snort将做什么。规则动作有5种缺省的行为:报警)、记日志(1og)、忽略(pass)、启动(activate)、动态(dynamic)。协议部分用来在一个特定协议的包上应用规则。地址用来指定需要监控的源或目的地址。端口号用来指定需要监控的源或目的地址的端口号。方向符用一>或<一> 表示。
Snort的规则存储在文本文件中,并可以用文本编辑器修改。规则以类别分组。不同类别的规则存储在不同的文件中。最后,这些文件被一个叫做snort.conf 的主配置文件引用。Snort在启动时读取这些规则,并建立内部数据结构或链表以用这些规则来捕获数据。发现入侵特征并利用规则捕获它们是一项具有技巧性的工作,因为在实时检测中你应用越多的规则,那么你将需要越多的处理能力,所以用尽量少的规则来捕获尽量多的特征是非常重要的。Snort已经预先定义了许多入侵检测规则,并且你可以自由添加自定义的规则。同时,你也可以移除一些内建规则以防止错误告警。
6.1 规则的组成
⑴规则头:规则头包含了规则的基本动作(记录日志或是报警)、网络数据包的类型(TCP、UDP、ICMP等)、源和目的IP地址.源和目的端口。
⑵规则可选项:可选项中指定了数据包中规则匹配的具体内容。
Snort使用特定的语法来定义这些规则.规则的语法涵盖了Protocol的类型、内容、长度、Protocol头及很多其他元素,类如定义缓冲区溢出规则的填充字节等。
6.2 规则头
规则头定义了规则的行为(Action)、所匹配网络包的Protocol、源地址、目标地址、源端口和目标端口等信息,其作用主要是定义网络数据包分组中的报头路由特征.规则头格式如下:
规则行为Protocol 源地址源端口方向操作符目的地址目的端口
⑴规则行为(Rule Action)
规则行为指示了数据包与规则匹配时该做什么,此字段有五个选项:alert、log、pass、activate、dynamic.其语义如下:
①alert:使用设定的警告方法生成警告信息,并记录这个报文.
②log:使用设定的记录方法记录这个报文.
③pass:忽略该报文.
④activate:进行alert,然后激活对应的一个dynamic规则.
⑤dynamic:等待被一个对应的activate规则激活,然后进行log.
其中activate和dynamic规则必须成对出现,已完成特定任务.当某种攻击发生后需要记录两个或多个包时,activate规则激活对应的dynamic规则记录后继的若干个包.
⑵Protocol字段(Protocol):目前Snort主要支持TCP、UDP、ICMP三种Protocol,
对应的值为tcp、udp和icmp.
⑶方向操作符(Direction):指示规则所适用的流量方向.“->”表示从左端到右端的数据包,“<-”反之,“<>”表示匹配双向流量.
⑷地址和端口信息地址可以是一个主机地址或者网络地址.可以用关键字any来指定所有的地址.目的地址必须用CIDR表示法表示.CIDR表示法如下:
IP地址后面用斜线来附加一个数字,表示掩码的位数.比如192.168.2.0/24代表一个C类网络192.168.2.0,其子网掩码是255.255.255.0.一些子网掩码:
①如果子网掩码是24位,它是一个C类网络.
②如果子网掩码是16位,它是一个B类网络.
③如果子网掩码是24位,它是一个A类网络.
④表示一个主机用32位掩码.
根据CIDR的支持,可以用任何位数的掩码.
五课程设计的内容
1.Snort的安装平台
安装平台:Windows XP + My SQL + Apache + PHP5
2.安装所需要的软件包
Snort_2_8_6_1_Installer.exe Windows 版本的Snort 安装包
2)snortrules-snapshot-CURRENT.tar.gz snort规则库
3)winpcap4.1.2网络数据包截取驱动程序
4)acid-0.9.6b23.tar.gz 基于php 的入侵检测数据库分析控制台
5)mysql-5.1.zip Windows 版本的mysql安装包
6)apache.zip Windows 版本的vapache 安装包
7)jpgraph-2.1.4.tar.gz 图形库for PHP
8)adodb465.zip ADOdb(Active Data Objects Data Base)库for PHP
9)php-5.3.4Win32.zip Windows 版本的php 脚本环境支持
3.详细安装步骤
1. 安装Apache服务器
2. 安装PHP5语言
3. 安装Winpcap 网络驱动
4. 安装Snort 入侵检测系统
5. 安装和设置Mysql数据库
6. 安装adodb组件
7. 安装jpgraph组件
8. 安装acid
9. 建立acid 运行必须的数据库
10. 解压snortrules-snapshot-CURRENT.tar.gz到c:\snort目录下
3.1 安装Apache
为了保证Apache 能够正常的安装与运行,安装的时候注意,如果你已经安装了IIS 并且启动了Web Server,因为IIS WebServer 默认在TCP 80 端口监听,所以会和Apache WebServer 冲突,在安装前应先把IIS 的服务关闭,以免造成端口冲突。确保IIS 服务已经禁用和关闭自启动。.或者修改Apache WebServer为其他端口。也可修改IIS的端口。
Apache的安装配置:把IIS 服务关了后,就可以正常安装Apahce 服务了,具体操作如图:1-1(省略无图则默认下一步)
图1-1 安装Apache
图1-2 填写服务相关信息
图1-3 选择安装路径
图1-4 完成Apache的安装
httpd.conf是apache的配置文件。在安装目录etc目录下可以找到。
安装完Apache 之后我们可以在浏览器中输入图1-5 所示的地址(http://localhost/)测试Apache 安装是否成功,出现图1-5 所示字样,则表示Apache 安装成功。
图1-5 测试Apache 安装成功
3.2 安装PHP5语言
首先解压PHP 文件到c:\ids\php5 文件夹,如图1-6
图1-6 安装PHP 到c:\ids\php 目录下
复制c:\ids\php5 目录下php5ts.dll 文件到c:\windows\system32 目录下。如图1-7
图1-7
复制php5 目录下的php.ini-dist 到c:\windows 下,并重命名为php.ini,如图1-8、图1-9 所示。
图1-8 图1-9
复制c:\ids\php5\ext 文件夹下php_gd2.dll 文件到c:\windows 文件夹下,如图1-10
图1-10
进行相关配置后,我们重启下Apache,然后在Apache网页存放目录下c:\ids\apache\htdocs文件夹下编写test.php文件,内容为,然后我们打开浏览器,输入http://localhost/test.php,如果浏览到php的信息页面则说明一切正常。如果浏览test.php页面出现下载提示,原因是addtype那句话有错误,检查后修改就可以了。
图1-11 php的安装
图1-12
图1-13 路径的选择
图1-14 完成php的安装
3.3 安装Winpcap
WinPcap 的安装很简单,只要连续单击Next 按钮即可。这样,WinPcap 就可随时运行了。按向导提示完成即可(有时会提示重启计算机。)使网卡处于混杂模式,能够抓取数据包。
如图1-15所示。
图1-15 3.4 安装snort
采用默认安装完成即可,如图1-16 所示。
图1-16
将snort安装到c:\ids\snort目录下后,在CMD下进入Snort程序运行目录cd c:\ids\snort\bin,然后输入snort –W( 大写W)回车进行测试,如果安装成功则会出现一个可爱的小猪,如图1-17
图1-17 成功安装snort
3.5 安装和设置Mysql数据库
设置数据库实例流程:安装Mysql 数据库时,需要进行相关设置如图1-18(省略无图则默认下一步)
图1-18 选择自定义安装
图1-19 完成Wizard的安装
图1-20 选择继续安装
图1-21
Windows平台下基于snort的入侵检测系统安装详解 序言:最近公司网络总是不间断出现点问题,也搭建了一些流量监控服务器进行监控和分析;也一直在关注网络安全方面的知识。看到snort IDS是一个开源的软件,突然想学习下。就有了搭建Windows下Snort IDS的想法。一下内容参考网络上的资料。 1.软件准备 Apache,php,mysql,winpcap,snort,acid,adodb,jpgraph等 2.软件安装 window平台:windows xp sp3 (1)apache的安装 一路下一步,具体配置如下图:
安装完成后验证web服务是否运行正常 (2)mysql安装
(3)php安装 解压php压缩包到C盘下并命名为php 复制c:\php\phpini-dist到c:\windows下并重命名为php.ini 复制c:\php\php5ts.dll,c:\php\libmysql.dll 到 c:\windows\system32下复制c:\php\ext\php_gd2.dll到c:\windows\system32下 修改 c:\apache\conf\httpd配置文件 添加LoadModule php5_module c:/php/php5apache2_2.dll AddType application/x-httpd-php .php 重启apache服务 在c:\apache\htdocs\下新建test.php http://x.x.x.x/test.php验证php能否工作
实验:入侵检测系统(Snort)的安装与配置 一、实验目的 学会WINDOWS下SNORT的安装与配置 二、实验环境 WinXP虚拟机 三、实验步骤与结果 一.在“我的电脑”中C盘中建立文件夹“zhangxiaohong” 二.安装WinPcap,运行WinPcap_4_1_2.zip,默认安装。 三.安装mysql,运行mysql-5.0.22-win32.zip,选择自定义安装选择安装路径 C:\zhangxiaohong\mysql 下,安装时注意:端口设置为3306(以后要用到),密码本实验设置成123 四.安装apache 1.运行apache_ 2.2.4-win32-x86-no_ssl.zip,安装到c:\zhangxiaohong\Apache 2.安装Apache,配置成功一个普通网站服务器 3.出现Apache HTTP Server 2.0.55的安装向导界面,点“Next”继续 4.确认同意软件安装使用许可条例,选择“I accept the terms in the license agreement”,点“Next”继续 5.将Apache安装到Windows上的使用须知,请阅读完毕后,按“Next”继续 6.选择安装类型,Typical为默认安装,Custom为用户自定义安装,我们这里选 择Custom,有更多可选项。按“Next”继续 7.出现选择安装选项界面,如图所示,左键点选“Apache HTTP Server 2.0.55”,
选择“This feature, and all subfeatures, will be installed on local hard drive.” 8.即“此部分,及下属子部分内容,全部安装在本地硬盘上”。点选 “Change...”,手动指定安装目录。 9.我这里选择安装在“C:\zhangxiaohong\Apache”,各位自行选取了,一般建议 不要安装在操作系统所在盘,免得操作系统坏了之后,还原操作把Apache配置文件 也清除了。选“OK”继续。 10.返回刚才的界面,选“Next”继续。 11.好了现在我们来测试一下按默认配置运行的网站界面,在IE地址栏打 “.0.1”,点“转到”,就可以看到如下页面,表示Apache服务器已安装成功。 12. 五.安装和配置PHP53、安装winpcap 1.解压php-5. 2.5-Win32到c:\zhangxiaohong\php 2.添加gd图形库支持 复制c:\zhangxiaohong\php\php5ts.dll和c: \zhangxiaohong\php\libmysql.dll文件到 C:\Windows\system32 复制c: \zhangxiaohong\php\php.ini-dist到C:\Windows文件夹并重命名为php.ini, 修改php.ini,分别去掉“extension=php_gd2.dll”和“extension=php_mysql.dll”前的分号, 3.并指定extension_dir="c:\zhangxiaohong\php\ext", 4.同时复制c:\zhangxiaohong\php\ext下的php_gd2.dll与php_mysql.dll到C:\Windows\system32 在C:\zhangxiaohong\apache\conf\httpd.conf中添加 LoadModule php5_module c:/zhangxiaohong/php/php5apache2.dll AddType application/x-httpd-php .php AddType application/x-httpd-php-source .phps AddType application/x-httpd-php .html AddType application/x-httpd-php .htm 5.重启Apache服务 在C:\zhangxiaohong\apache\htdocs目录下新建webinf.php(文件内容为:)并使用访问测试是否能够显示当前Apache服务器的信息,如果能够显示表明Apache和php工作基本正常 六.安装snort 1.运行Snort_2_9_0_5_Installer.exe 安装在C:\zhangxiaohong\Snort下即可, 运行C:\zhangxiaohong\Snort\bin\snort.exe或者在DOS中找到该位置, 如果安装Snort成功会出现一个可爱的小猪 2.并按照以下修改C:\zhangxiaohong\Snort\etc\snort.conf文件
入侵检测技术实验Snort网络入侵检测 学院: 班级: 姓名: 学号:
一、实验目的 1)掌握数据库的使用方法和MySQLfront的安装使用方法 2)掌握wireshark抓取数据包分析关键特征以及相关格式内容 3)掌握病毒的工作原理和通信过程,交互的信息 4)将这门课的内容结合实际进行分析和实践 二、实验原理 1)实验环境: WinPcap_4_1_2.exe 网络数据包截取驱动程序 Snort_2_9_1_Installer.exe Windows 版本的Snort 安装包 mysql-5.5.18-win32.msi Windows 版本的mysql安装包 MySQL_Front_Setup.1765185107.exe mysql数据库可视化软件 snortrules-snapshot-CURRENT.tar.gz Snort规则库 Wireshark-win32-1.12.0.1410492379.exe抓包分析工具 2)实验环境的搭建 按照所给文档“Windows XP下安装配置Snort”的提示安装所需的软件,下面几个图片是成功安装的图片:
图(1)建立snort库 图(2)成功建立snort库
图(3)成功启动snort进行检测 至此,实验环境搭配成功。 三、实验内容 1)测试检测效果 测试虽然成功启动snort,但不能确定是否成功,故此测试任意IP端口 进行测试 配置此时的规则,修改local.rules文件,改规则为:alert ip any any -> any any (msg: "IP Packet detected";sid:1000000;) 此时结果如下图:
Snort入侵检测系统 赵鹏通信一团技术室 摘要本文介绍了Snort入侵检测系统的结构、功能。具体介绍了Snort入侵检测系统各部件的功能,并分析了Snort入侵检测系统的优缺点。 关键词IDS 特征检测规则分析预处理净荷 1 概述 Snort是由一个简单的网络管理工具发展分布式入侵检测系统,被用于各种与入侵检测相关的活动,可以用作嗅探器、包记录器或者网络入侵检测系统NIDS。 作嗅探器时,Snort对发往同一个网络其他主机的流量进行捕获。嗅探器利用了以太网的共享特性。它将网路上传输的每一个包的内容都显示在你的监视器上,包括包头和包载荷。 以包记录器模式运行时,Snort以和嗅探器相似的方式抓包,不同的是将收集的数据记入日志而不是显示在屏幕上。 当Snort以网络入侵检测系统(NIDS)模式运行时,Snort也抓取并存储网络上传输的每一个包,关键的不同在于NIDS模式能对数据进行处理。这种处理不是简单的将数据写入文件或是显示在屏幕上,而是对每一个包进行检查以决定它的本质是良性的还是恶意的。当发现看似可疑的流量是,Snort就会发出报警。 NIDS因其能监控大片网段而比其他类型的IDS更受欢迎,这里要关注的是NIDS模式的Snort。 2 Snort入侵检测系统的组成 Snort有5个主要部件:捕包程序库libpcap、包解码器、预处理程序、检索引擎、输出组件。 图1 Snort组件数据流程图 捕包装置把包以原始状态捕获后送给解码器。解码器是进入Snort的第一步,它将特殊协议元素翻译成内部数据结构。它的目的是剥落包头。利用TCP-IP栈解码并且将包放入
一个数据结构中。在最初的捕包和解码完成后,有预处理程序处理流量。许多插入式预处理程序对包进行检查或操作后将它们交给下一个组件——检索引擎。检索引擎对每一个包的一个方面进行简单的检验以检测入侵。最后一个组件是输出插件,它对可疑行为产生报警。 2.1 捕包程序库libpcap和包解码器 大规模的应用程序很少采用单机模式,Snort通常采用分布式体系对网络进行入侵检测。最典型的安装方式是三层体系,即传感器层、服务器层、分析员控制台。 捕包程序库libpcap和包解码器运行在传感器上,负责对抓来的包进行解释并传递警报。由于传感器必须放置在要监控入侵的网段,为了保证安全,通常只安装Snort和它在之上运行的支撑应用程序。建议Linux或BSD等UNIX类型的操作系统。传感器的两块网卡一块用作捕包接口不分配IP,一块用作管理接口分配IP。捕包程序库libpcap运行在Libpcap平台上,由于Libpcap平台的独立性使得Snort可以被移植到任何地方,成为一个真正与平台无关的应用程序。 2.2 预处理程序 预处理是Snort的一类插件。它在检测引擎之前对数据进行处理,并且努力与不断变化的漏洞和攻击保持同步。可以添加新的协议为Snort提供支持。它既能对数据包操作以便检测引擎能正确分析包,又能检测特征检测所不能单独发现的可疑流量。按功能可以分为三类:数据标准化,协议分析和非特征匹配检测。 数据标准化 新的攻击方法和IDS躲避技术不断涌现,以至Snort的检测引擎要么不能检测,要么检测效率不高。预处理程序可以将数据标准化以便检测引擎能正确对其分析。 多态病毒是为了躲避反病毒程序的特征匹配引擎而将病毒代码任意改造和变异。同样的技术也被用于远程利用,shell代码具有多种形态。Fnord预处理程序能检测出变异的NO-OP sled,从而避免了由于缓冲区溢出使处理器强制执行恶意代码导致的程序崩溃。No-op sled能被许多IDS轻易地检测到,除非它在每次被使用时都做修改。如果没有Fnord预处理,Snort将无法检测多态shell代码。 协议分析 由于检测引擎能分析的协议很少,所以用协议处理程序来协助检测。ASNI_decode就能检测ASNI(Abstract Syntax Notation抽象语法标记)协议中的不一致性。较高的协议比如SNMP、LDAP和SSL都依赖ASNI。几乎所有起用SNMP的设备都受到缓冲区溢出或是拒绝服务(DoS)攻击的影响。 非特征匹配检测 这类预处理程序利用不同特征匹配的方法来捕获恶意流量。例如所谓的侦察攻击通常只是一个报警信号,无法确定是不是攻击。信息收集尝试利用了不合规格的流量,但这些流量通常在性质上是无害的。Portscan2和stream4就能发现这类流量和一些恶意黑客使用的躲避技术。 2.3 检测引擎 检测引擎是Snort的一个主要部件,有两个主要功能:规则分析和特征检测。检测引擎通过分析Snort规则来建立攻击特征。Snort规则被载入到检测引擎并以树形数据结构分
甘肃交通职业技术学院信息工程系《信息安全技术》 实训报告四 专业:智控(物联网方向) 班级:物联1201班 姓名:李永霞 学号:0623120116 时间: 2014年5月28日
snort入侵检测系统配置使用 一、项目概述 1、项目目的:了解snort入侵检测系统的原理;了解snort入侵检测系统的主要功能;掌握snort入侵检测系统的基本安装与配置方法。 2、知识与技能考核目标:能够掌握PHP网站服务器的搭建,能完成snort 入侵检测系统的安装与配置;能利用snort入侵检测系统的三种模式展开简单的检测和分析。 3、设备:微型计算机。 4、工具:网络数据包截取驱动程序:WinPcap_4_1_2.zip ;Windows 版本的Snort 安装包;Windows 版本的Apache Web 服务器;ACID(Analysis Console for Intrusion Databases)基于PHP的入侵检测数据库分析控制台;snort 规则包:rules20090505.tar.gz;Adodb(Active Data Objects Data Base)PHP库--adodb504.tgz;PHP图形库。 二、项目内容: 1、项目内容 snort入侵检测系统的安装;PHP网站服务器的搭建;基于mysql的snort 用来存储报警数据的数据库创建;snort入侵检测系统的配置及使用。 2、方案设计 通过观摩指导老师的操作来掌握snort入侵检测系统的安装与配置。 3、实施过程(步骤、记录、数据、程序等) (1)安装数据包截取驱动程序。 双击安装文件winpcap.exe,一直单击“NEXT”按钮完成安装。
入侵检测系统安装和使 用 Document number:NOCG-YUNOO-BUYTT-UU986-1986UT
入侵检测系统安装和使用 【实验目的】 通过安装并运行一个snort系统,了解入侵检测系统的作用和功能 【实验内容】 安装并配置appahe,安装并配置MySQL,安装并配置snort;服务器端安装配置php脚本,通过IE浏览器访问IDS 【实验环境】 硬件 PC机一台。 系统配置:操作系统windows 10 。 【实验步骤】 1、安装appache服务器 启动appache服务器 测试本机的80 端口是否被占用, 2、安装配置snort
查看 Snort 版本 2、安装最新版本程序
安装MySql配置mysql
运行snort
1、网络入侵检测snort的原理 Snort能够对网络上的数据包进行抓包分析,但区别于其它嗅探器的是,它能根据所定义的规则进行响应及处理。Snort 通过对获取的数据包,进行各规则的分析后,根据规则链,可采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警),Pass(忽略),Log(不报警但记录网络流量)五种响应的机制。? Snort有数据包嗅探,数据包分析,数据包检测,响应处理等多种功能,每个模块实现不同的功能,各模块都是用插件的方式和Snort相结合,功能扩展方便。例如,预处理插件的功能就是在规则匹配误用检测之前运行,完成TIP碎片重组,http解码,telnet解码等功能,处理插件完成检查协议各字段,关闭连接,攻击响应等功能,输出插件将得理后的各种情况以日志或警告的方式输出。
Snort入侵检测系统分析 2015年12月6日 Snort入侵检测系统分析 简介 Snort的一些源代码是从著名的TCPDUMP软件发展而来的。snort是一个基于LIBPCA包的网络监控软件,可以作为一个十分有效的网络入侵监测系统。它运行在一个“传感器”主机上,监听网络数据。这台机器可能是一台简陋的运行FREEBSD系统的Pentium100 PC,并且至少有一个网卡。 Snort首先根据远端的IP地址建立目录,然后将检测到的包以TCPDUMP的二进制格式记录或者以自身的解码形式存储到这些目录中.这样一来,你就可以使用snort来监测或过滤你所需要的包.Snort是一个轻量级的入侵检测系统,它具有截取网络数据报文,进行网络数据实时分析、报警,以及日志的能力。snort的报文截取代码是基于LIBPCA库的,继承了LIBPCA库的平台兼容性。它能够进行协议分析,内容搜索/匹配,能够用来检测各种攻击和探测,例如:缓冲区溢出、隐秘端口扫描、CGI 攻击、SMB探测、OS指纹特征检测等等。snort使用一种灵活的规则语言来描述网络数据报文,因此可以对新的攻击作出快速地翻译。snort具有实时报警能力。可以将报警信息写到syslog、指定的文件、UNIX套接字或者使用Winpopup消息。snort具有良好的扩展能力。它支持插件体系,可以通过其定义的接口,很方便地加入新的功能。snort还能够记录网络数据,其日志文件可以是TCPDUMP格式,
也可以是解码的ASCII格式。简单的说,Snort是数据包的嗅探器,也是数据包记录器,还是NIDS。提供数据包嗅探和记录功能只是Snort的部分功能,Snort 的特点就是其入侵检测功能—根据入侵规则匹配数据包中的内容。Snort还是一个自由,简介,快速,易于扩展的入侵检测系统,已经被移植到了各种UNIX平台和winY2k上。同时,它也是目前安全领域中,最活跃的开放源码工程之一。 体系结构 Snort有5个主要部件:捕包程序库libpcap、包解码器、预处理程序、检索引擎、输出组件。 图1 Snort组件数据流程图 捕包装置把包以原始状态捕获后送给解码器。解码器是进入Snort的第一步,它将特殊协议元素翻译成内部数据结构。它的目的是剥落包头。利用TCP-IP 栈解码并且将包放入一个数据结构中。在最初的捕包和解码完成后,有预处理程序处理流量。许多插入式预处理程序对包进行检查或操作后将它们交给下一个组件——检索引擎。检索引擎对每一个包的一个方面进行简单的检验以检测入侵。最后一个组件是输出插件,它对可疑行为产生报警。大规模的应用程序很少采用单机模式,Snort通常采用分布式体系对网络进行入侵检测。最典型的安装方式是三层体系,即传感器层、服务器层、分析员控制台。 捕包程序库libpcap和包解码器运行在传感器上,负责对抓来的包进行解释并传递警报。由于传感器必须放置在要监控入侵的网段,为了保证安全,通常只安装Snort和它在之上运行的支撑应用程序。建议Linux或BSD等UNIX类型的操作系统。传感器的两块网卡一块用作捕包接口不分配IP,一块用作管理接口分配IP。捕包程序库libpcap运行在Libpcap平台上,由于Libpcap平台的独立性使得Snort可以被移植到任何地方,成为一个真正与平台无关的应用程序。预处理程序 预处理是Snort的一类插件。它在检测引擎之前对数据进行处理,并且努力与不断变化的漏洞和攻击保持同步。可以添加新的协议为Snort提供支持。它既
基于Snort的入侵检测系统 用Snort,Apache,MySQL,PHP及ACID构建高级IDS
第一章入侵检测系统及Snort介绍 在当今的企业应用环境中,安全是所有网络面临的大问题。黑客和入侵者已成功的入侵了一些大公司的网络及。目前已经存在一些保护网络架构及通信安全的方法,例如防火墙、虚拟专用网(VPN)、数据加密等。入侵检测是最近几年出现的相对较新的网络安全技术。利用入侵检测技术,我们可以从已知的攻击类型中发现是否有人正在试图攻击你的网络或者主机。利用入侵监测系统收集的信息,我们可以加固自己的系统,及用作其他合法用途。目前市场中也有很多弱点检测工具,包括商品化的和开放源码形式的,可以用来评估网络中存在的不同类型的安全漏洞。 一个全面的安全系统包括很多种工具: ●防火墙:用来阻止进入及走出网络的信息流。防火墙在商业化产品和开放源 码产品中都有很多。最著名的商业化防火墙产品有Checkpoint (.checkpoint.), Cisco (.cisco.)及Netscreen(.netscreen.)。最著名的开放源码防火墙是Netfilter/Iptables(https://www.doczj.com/doc/05527363.html,)。 ●入侵检测系统(IDS):用来发现是否有人正在侵入或者试图侵入你的网络。 最著名的IDS是Snort,可以在https://www.doczj.com/doc/05527363.html,下载。 ●弱点评估工具:用来发现并堵住网络中的安全漏洞。弱点评估工具收集的信 息可以指导我们设置恰当的防火墙规则,以挡住恶意的互联网用户。现在有许多弱点评估工具,比如Nmap(https://www.doczj.com/doc/05527363.html,/)和Nessus(https://www.doczj.com/doc/05527363.html,/). 以上这些工具可以配合使用,交互信息。一些产品将这些功能捆绑在一起,形成一个完整的系统。
《网络安全技术》实验报告 姓名系别实验地点A406 学号年级班实验时间2012-5-24 成绩评定教师签字 实验项目 一、实验目的 1. 通过实验进一步理解IDS的原理和作用; 2. 学习安装、配置和使用Snort入侵检测系统; 3. 学习分析Snort警报文件; 4. 结合指定的攻击特征,学习如何创建检测规则。 二、实验内容 1. 学习Snort基础知识; 2. 安装工具软件(snort、winpcap和nmap)扫描工具; 3. 使用snort进行Xmax扫描检测和目录遍历攻击; 4. 创建和测试规则; 三、实验步骤 (一)软件安装 1. 打开计算机安装nmap,安装时全部按照默认设置直至安装成功。 2. 如果计算机上没有安装winpcap4.1或以上版本,则需要安装,安装时全部按照默认设置直至安装成功。 3. 打开虚拟机,启动windows server 2003,安装snort,将snort安装在C盘,安装时全部按照默认设置直至安装成功。 4. 在虚拟机上安装winpcap,安装时全部按照默认设置直至安装成功。 (二)将snort用作嗅探器 snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。 在虚拟机上(IP:172.28.15.150): 1.单击[开始]-[运行]并输入cmd进入命令行。 2.在命令行中键入cd c:\snort\bin,回车确认。 3.键入snort –h,回车确认,这将显示可以与snort一起使用的命令行选项的帮助文件(认真看一下每一个选项的涵义)。
Snort 入侵检测系统实验
小组成员:09283012 09283025
1. 实验概述
Snort 是一套开放源代码的网络入侵预防软件与网络入侵检测软件。Snort 使用了以侦 测签章(signature-based)与通讯协定的侦测方法。 Snort 有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅 是从网络上读取数据包并作为连续不断的流显示在终端上。 数据包记录器模式把数据包记录 到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让 snort 分析网络数 据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。Snort 最重要的用途还 是作为网络入侵检测系统(NIDS)。 本次实验任务主要有: (1) 在虚拟机中的 ubuntu 上安装 Snort。 (2) 描述 Snort 规则并进行检测。
2. 实验环境
1. 2. 3. 4. 主机 CPU: Vmware 版本: Linux 发行版 : Linux 内核: Pentium 双核 T4300 @ 2.10GHz VMware Workstation Ubuntu 11.04 Linux 2.6.38
3. 实验过程
由于 Ubuntu 是 Debian 系的 Linux,安装软件非常简单,而且 Ubuntu 在中国科技大 学有镜像,在教育网和科技网下载速度非常快(2~6M/s),就省掉了出国下载安装包的麻烦, 只需要一个命令即可在几十秒钟内安装好所有软件。
具体实验步骤如下: 1、这里使用 Ubuntu 默认命令行软件包管理器 apt 来进行安装。
以下是代码片段: 以下是代码片段:
$ sudo apt-get install libpcap0.8-dev libmysqlclient15-dev mysql-client-5.1 mysql-server-5.1 bison flex apache2 libapache2-mod-php5 php5-gd php5-mysql libphp-adodb php-pear pcregrep snort snort-rules-default 需要注意的是在安装 MySQL 数据库时会弹出设置 MySQL 根用户口令的界面,临时设置其 为“test”。
实验:入侵检测系统(Snort的安装与配置 一、实验目的 学会WINDOW下SNORT勺安装与配置 二、实验环境 WinXP虚拟机 三、实验步骤与结果 一.在"我的电脑”中C盘中建立文件夹"zha ngxiaoh ong 二.安装WinPcap,运行,默认安装。 三.安装mysql,运行5.0.22,选择自定义安装选择安装路径C:\zhangxiaohong'mysql 下,安装时注意:端口设置为3306 (以后要用到),密码本实验设置成123 四.安装apache 1. 运行 2.2.4,安装到c:\zhangxiaohong\Apache 2. 安装Apache,配置成功一个普通网站服务器 3. 出现Apache HTTP Server 2.0.55 的安装向导界面,点“ Next”继续 4. 确认同意软件安装使用许可条例,选择"I accept the terms in the license agreeme nt”,点"Next ”继续 5. 将Apache安装到Windows上的使用须知,请阅读完毕后,按"Next”继续
6. 选择安装类型,Typical 为默认安装,Custom 为用户自定义安装, 我们这里选 择Custom ,有更多可选项。按"Next ”继续 7. 出现选择安装选项界面, 如图所示,左键点选"Apache HTTPServer 2.0.55 ”: 选择"This feature, and all subfeatures, will be in stalled on local hard drive. ” 8. 即“此部分,及下属子部分内容,全部安装在本地硬盘上”。点选 "Cha nge... ”,手动指定安装目录。 9. 我这里选择安装在“ C:\zhangxiaohong\Apache ",各位自行选取了,一般建 议不要安装在操作系统所在盘,免得操作系统坏了之后,还原操作把 Apache 配置文 件也清除了。选“ OK 继续。 10. 返回刚才的界面,选“ Next ”继续。 壷 这不艮條想頁见的貝面靶 ■I 细虬荊血十卿财网姑号證曲歧崖亍比询刪也■,曲雀底乩11?醴脚曲戌购人斷+如曲杵是土土即此对氨帅(唱匡冋 L 用*爵匚件叫卅〒卞TFUTF 刑二讯予忻啊七诃n 汁gm. 3 暫皿盟电快刼如君車善擋止『自由也他喝卞曲Bfi 皑片亠l tor 4 F~"/K 口 IH| ■£ 12. 五. 安装和配置 PHP53安装 winpcap 1. 解压 php-5.2.5-Win32 到 c:\zhangxiaohong\php 2. 添加gd 图形库支持 复制 和 文件到 C:\Windows\system32 复制 到C:\Windows 文件夹并重命名为, 修改,分别去掉“ extension= ”和“ extension= ”前的分号, 3. 并指定 extension_dir="c:\zhangxiaohong\php\ext" , 4. 同时复制 c:\zhangxiaohong\php\ext 下的与到 C:\Windows\system32 在 中添加 LoadModule php5_module c:/zha ngxiaoh ong AddType applicati on /x-httpd-php .php AddType applicati on /x-httpd-php-source .phps AddType applicati on /x-httpd-php .html AddType applicati on /x-httpd-php .htm 11. 好了现在我们来测试一下按默认配置运行的网站界面,在 IE 地址栏打 ,点“转到”,就可以看到如下页面,表示 Apache 服务器已安装成功。 曰11崔£世「瀆Mk ?fl 业竺 巳£刊5£1,髦可U 庖秦牛崖Ml 齐容,或苦把芝…天uutft 痒. “.0.1
实验五:入侵检测技术 一、实验目的 通过实验深入理解入侵检测系统的原理和工作方式,熟悉入侵检测系统的配置和使用。实验具体要求如下: 1.理解入侵检测的作用和原理 2.理解误用检测和异常检测的区别 3.掌握Snort的安装、配置和使用等实用技术 二、实验原理 1、入侵检测概念及其功能 入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(intrusion detection system,IDS)是完成入侵检测功能的软件和硬件的集合。 入侵检测的功能主要体现在以下几个方面: 1). 监视并分析用户和系统的活动。 2). 核查系统配置和漏洞。 3). 识别已知的攻击行为并报警。 4). 统计分析异常行为。 5). 评估系统关键资源和数据文件的完整性。 6). 操作系统的审计跟踪管理,并识别违反安全策略的用户行为。 2、入侵检测的分类 根据IDS检测对象和工作方式的不同,可以将IDS分为基于网络的IDS(简称NIDS)和基于主机的IDS(简称HIDS)。NIDS和HIDS互为补充,两者的结合使用使得IDS有了更强的检测能力。 1). 基于主机的入侵检测系统。 HIDS历史最久,最早用于审计用户的活动,比如用户登录、命令操作、应用程序使用资源情况等。HIDS主要使用主机的审计记录和日志文件作为输入,某些HIDS也会主动与主机系统进行交互以获得不存在于系统日志的信息。HIDS所收集的信息集中在系统调用和应用层审计上,试图从日志寻找滥用和入侵事件的线索。HIDS用于保护单台主机不受网络攻击行为的侵害,需要安装在保护的主机上。 2). 基于网络的入侵检测系统。 NIDS是在网络中的某一点被动地监听网络上传输的原始流量,并通过协议分析、特征、统计分析等分析手段发现当前发生的攻击行为。NIDS通过对流量分析提取牲模式,再与已知攻击牲相匹配或与正常网络行为原形相比较来识别攻击事件。 3、入侵检测系统 1). 入侵检测系统的特点: 入侵检测系统(Intrusion Detection System)是对防火墙有益的补充,它对网络和主机行为
1.1.1安装apache 选择custom安装,指定安装目录c:\apache,运行apache安装端,一直ne xt,直到安装完成。我们验证一下: 图3-1 apache安装成功界面 如出现图3-1这种情况,表明安装成功。 1.1.2安装php 解压php-5.2.4-Win32到c:\php。复制c:\php\php5ts.dll和c:\php\lib mysql.dll文件到c:\windows\system32,复制c:\php\php.ini-dist到c:\win dows\并重命名为php.ini,修改php.ini,分别删去“extension=php_gd2.dll”“extension=php_mysql.dll”前的分号,并指定extension_dir="c:\php\ext ",同时复制c:\php\ext下的php_gd2.dll与php_mysql.dll到c:\windows\sy stem32。 在C:\apache\conf\httpd.conf中添加在下面语句中后面添加(回车)#Load Module ssl_module modules/mod_ssl.so115行LoadModule php5_module "c:/ php/php5apache2_2.dll"和在下面语句中后面添加(回车)ScriptAlias /cgi-bi
n/ "C:/apache/cgi-bin/"385行AddType application/x-httpd-php .php(此处应注意空格),并重启Apache服务。在C:\apache\htdocs目录下新建webinf. php(文件内容为:)并使用http://127.0.0.1/webinf.php访问测试是否能够显示当前Apache服务器的信息,如果能够显示表明Apache和p hp工作基本正常重新启动apache服务,点stop再点击start,使用http://12 7.0.0.1/w e b i n f.p h p测试是否安装成功,成功的界面,如图3-2: 图3-2 安装成功界面 1.1.3安装winpcap与snort 按照向导提示安装一路默认安装即可,安装完成后使用下面命令测试是否安装成功。在命令控制台进入snort根目录,输入命令: c:\snort\bin> snort -W (W为大写) 当你看到左上角有个小猪图形,表明安装成功。如图3-3:
实验报告 学院:计算机院专业:信息安全班级: 姓名学号实验组实验 时间 指导教师成绩实验 项目 名称 Windows环境下snort的安装及使用 实验 目的 学会windows下面snort的安装和应用 实验内容1.安装Apache_2.0.46 2.安装PHP 3.安装snort 4.安装配置Mysql数据库5.安装adodb 6.安装配置数据控制台acid 7.安装jpgraph库 8.安装winpcap 9.配置并启动snort 10. 完善配置文件 11. 使用控制台查看结果 12. 配置snort规则 实验 原理 和 方法 Snort安装书流程及配置方法
实验环境1.PC机 2.Acid安装包 3.Adodb安装包 4.Apache安装包 5.Jpgraph安装包 6.Mysql安装包 7.Php安装包 8.Snort安装包 9.Winpcap安装包 实验 步骤 1.安装Apache_ 2.0.46: (1)安装在默认文件夹C:\apache下:
(2)打开配置文件,将其中的Listen 8080,更改为Listen 50080:
(3)进入命令行运行方式,转入C:\apache\apache\bin子目录,输入下面命令:C:\apache\apache2\bin>apache –k install: 2.安装PHP (1)解压缩 4.3.2至C:\php。
(2)复制C:\php下至%systemroot%\System32,至。 (3)添加gd图形支持库,在中添加extension=。如果有该句,将此句前面的“;” 注释符去掉