入侵检测linux下课程设计指导书2

  • 格式:doc
  • 大小:332.00 KB
  • 文档页数:12

课程设计指导书二 1. 用Snort构建实用的入侵检测系统 1.1 实验目的 (1) 网络数据获取与分析是网络入侵检测系统的基础。通过实验让同学们掌握网络数据获取及数据还原的方法和实现。 (2) 通过实验让同学们加深对网络数据获取原理的理解。 (3) 通过实验让同学们初步了解在linux下的程序开发过程、开发环境。 (4) 为利用第三方软件分析进一步分析数据打下基础。 1.2 实验内容 (1) 安装除snort以外的其它软件,如Apach、PHP、mysql、acid的安装等相关软件。 (2) 完成相应的配置文件的配置,如配置数据库输出插件、制订入侵防范策略等 (3) 能利用下载的检测规则,检测入侵。 (4) 自已完成一条规则的编写,并进行正确性测试。 (5) 完成对检测规则的压力测试。 1.3 实验要求 (1) 认真完成所规定的实验内容。 (2) 将配置文件的的改动部分存储下来,传送到系ftp服务器上。文件名命名规则是Lab2_学号 (3) 所操作的重要步骤和结果用截屏的方法和文件的方式保存和存储,并送到ftp服务器上 (4) 认真完成每一个实验步骤,并做好记录。 (5) 根据所做的全部实验做一个简单总结。 1.4 实验准备 (1) 熟悉linux基本命令 (2) 熟悉linux系统的安装配置 (3) 熟悉虚拟机的安装和操作 (4) 理解入侵检测系统的基本原理和实现技术 (5) 理解Snort的工作原理 (6) 参考教材参考资料及网上有关资料

- 从 http://httpd.apache.org/ 下载Apache软件 - 从 http://php.net/下载php软件 - 从 http://www.mysql.cn/下载mysql数据库软件 - 从 http://www.cert.org/kb/acid下载ACID软件 - 从 http://www.tcpdump.org下载libpcap 库

-从 http://www.pcre.org下载libpcre库 -从 http://www.snort.org下载snort软件 -从 http://adodb.sourceforge.net 下载adobd -从 http://www.aditus.nu/jpgraph 下载jpgraph 1.5 实验过程 1.5.1平台的搭建 首先是对此入侵检测系统所在的平台进行搭建,本文采用的是RedHat 9.0为内核的Linux操作系统,可以采用直接硬盘分区的安装方式,也可以采用Vmware虚拟机进行安装。以Snort为核心搭建的入侵检测系统是支持多平台了的,由于Linux是开源系统并且安全性也比较好,所以这里采用了它。 在安装RedHat 9.0需要的一些注意事项主要在网络配置方面,需要取消“使用Bootd/DHCP”,针对公司的网段填写“IP地址”、“子网掩码”、“预设网关器的IP地址”以及“第一个名称服务器地址”。这样配置的原因是最好不要让在手工配置snort.conf中的home_net值是一个动态IP,如果只能使用DHCP进行上网,那么在运行Snort之前要修改snort.conf中的地址。主机名称配为localhost,方便以后的配置。防火墙设置为中安全性,允许进入的服务为SSH和WWW。对于系统需要安装的套件组群可以选择为: X Windows System Gnome Desktop Environment KDE Desktop Environment(不安装) Editors Engineering and Scientific(不安装) Graphical Internet Text based internet Office/Productivity(不安装) Sound and Video(不安装) Authoring and Publishing(不安装) Graphics Games and Entertainment(不安装) Server(全不安装) Development tools Kernel development X Software Development Gnome Software Development(不安装) KDE Software Development(不安装) Administration(不安装) System Tools Printing support(不安装) 安装完成后,入侵检测系统所需的平台已经基本搭建完成,如果是用虚拟机进行安装的还可以装一下Vmware-tools方便使用。安装Vmware-tools的方法:点击虚拟机VM菜单下的Install Vmware-tools,然后Vmware-tools安装包就会挂在mnt/cd-rom下,解压rpm包,安装后重启系统,在终端中输入Vmware-config.pl然后按照提示点击回车确定就可以了。 1.5.2 服务器的建立 需要下载的软件有Zlib(有些RedHat9中已经安装了Zlib,可以使用rpm -qa|grep zlib进行查询是否安装)、MYSQL、Apache、PHP。然后可以将下载的文件放入usr/local/src目录下方便安装以及进行管理。 安装zlib 1.2.3:zlib是很多应用程序都在使用的压缩库,可提供数据压缩/解压例程。 #tar –zxvf zlib-1.2.3.tar.tar //对压缩文件解压缩 #cd zlib-1.2.3 #./configure; make test //默认路径,测试编译 #make install #cd ..

安装MYSQL:MySQL是比较广泛使用的开放源代码的SQL数据库软件,相对与其他的数据库系统来说,MySQL具有快速、可靠并且易于使用的优点,可以用它处理比较大的数据库,比较适合中小型企业入侵检测系统所产生的大量报警信息。 首先建立MySQL使用者和群组: #groupadd mysql #useradd –g mysql mysql 在/root底下找到檔名叫 “.bash_profile”需要对MYSQL的路径进行配置,使用文本编辑软件找到PATH这行并且改为PATH=$PATH:$HOME/bin:/usr/local/mysql/bin 然后回到usr/local/src目录下进行安装 #tar –zxvf mysql-4.1.18.tar.gz #cd mysql-4.1.18 #./configure --prefix=/usr/local/mysql //该命令的作用是MYSQL的安装路径 #make //编译 #make install 在安装完毕后需要进行配置 #scripts/mysql_install_db #chown –R root /usr/local/mysql //将该目录下的所有文件的的拥有者改为root #chown –R mysql /usr/local/mysql/var #chgrp –R mysql /usr/local/mysql #cp support-files/my-medium.cnf /etc/my.cnf 然后修改conf文件,编辑/etc/ld.so.conf,加入两行/usr/local/mysql/lib/mysql和/usr/local/lib 在root目录下搜索新的动态链接库: root# ldconfig –v 下面通过增加启动进程来设定MYSQL自动开机执行 #cd usr/local/src/mysql-4.1.18/support-files 首先将mysql.server复制到自启动文件夹中 #cp mysql.server /etc/init.d/mysql 在3级启动项下创建软连接: #cd /etc/rc3.d #ln –s ../init.d/mysql S85mysql #ln –s ../init.d/mysql K85mysql 在5级启动项下创建软连接: #cd /etc/rc5.d #ln –s ../init.d/mysql S85mysql #ln –s ../init.d/mysql K85mysql #cd ../init.d 改变MySQl的访问权限,文件主人(u)为可执行可写可读,同组人(g)其他人(o)都为可执行可读。 #chmod 755 mysql 假如安装到这边都没有发生过错误,请利用指令“ps –ef |grep mysql”测试看看你安装的MySQL运作正不正常。如果出现下面这两个服务则表示MYSQL安装成功。 root 3201 0 11 9:35 pts/0 00:00:00 /bin/sh/usr/local/mysql/bin/mysqld_safe --user=mysql mysql 3241 3201 3 9:35 pts/0 00:00:00 /usr/local/mysql/lib/mysqld --basedir=/usr/local/mysql --datadir=/usr/local/mysql/var --user=mysql --pid-file=/usr/local/mysql/var/patrick-redhat.pid –skiplocking

安装Apache:Apache是世界上使用最广泛的Web服务器,与Snort一样Apache也是开放源代码的,Snort服务器还有很多其他组件需要用到Apache源代码,并且控制台也需要Web服务器的支持才能正确运行。 在根目录下使用mkdir www建立一个文件夹www,将Apache、PHP以及PHP组件都安装在这个目录下,方面对服务器进行管理。 #tar –zxvf httpd-2.2.6.tar.gz //解压缩 #cd httpd-2.2.6 #./configure --prefix=/www –enable-so //设置安装路径为www #make #make install 执行 “/www/bin/apachectl start”确定apache有正常启动执行,在上网浏览器中输入本主机的IP地址,通常使用127.0.0.1进行本地测试,如果网页中出现It works!则证明Apache安装成功,httpd服务启动成功。然后执行 “/www/bin/apachectl stop”来终止Apache服务,以方便后续软件的安装。 安装PHP:PHP是一个应用程序服务器,用来处理由PHP程序设计语言编写的代码,是目前非常常用的嵌入html脚本语言。控制台ACID就是用PHP语言编写的,将传感器收集的入侵数据制作成动态网页,此外ACID的接口都是PHP编写的,所以说要使用ACID就必须安装PHP应用程序服务器。 #tar -xvzf php-4.4.8.tar.gz