1、1网络安全与管理实 验 指 导 书适用专业: 网络工程、计算机科学与技术滁 州 学 院 计 算 机 工 程 与 信 息 学 院2012 年 8 月2目 录实验一 Sniffer Pro 的使用 .1实验二 非对称加密算法实验 8实验三 Windows Server 2003 的安全配置 10实验四 Windows Server 2003 的证书服务使用 .16实验五 网络流量监测的实现 20实验六 入侵检测系统 snort 的使用 233前 言网络安全与管理是计算机科学中一门重要的专业必修课。主要介绍网络操作命令及协议分析、密码学知识、操作系统的安全机制、Web 安全、电子邮件安全、防火墙技术
2、、计算机病毒及反病毒技术、网络攻防和入侵检测和网络管理原理及系统等。为了使学生更好地理解和深刻地把握这些知识,并在此基础上,训练和培养网络管理能力,一共设计了六个实验。由于网络安全与网络管理涉及知识点多,综合性强,本实验书的突出是通俗易懂,实例丰富,有利于学生快速入门。本实验指导用于网络工程专业和计算机科学与技术。1实验一 Sniffer Pro 的使用课时:2一、实验目的熟练掌握 Sniffer Pro 对数据包捕获的使用方法。利用 Sniffer Pro 进行数据包结构分析、进而理解协议对数据的封装。二、实验环境Windows XP、2003 Server 等系统,Sniffer Pro
3、软件。三、实验重点及难点重点:1) Sniffer Pro 对数据包捕获的使用方法。2) 利用 Sniffer Pro 进行密码捕获。难点:Sniffer Pro 包捕获选项设置。四、实验内容及过程第一部分:学习 sniffer1首先,打开 Sniffer Pro 程序,如果系统要求的话,还要选择一个适配器(使用哪个网卡)。打开了程序后,会看到图中的屏幕。图 1 浏览 Sniffer Pro 程序2打开 Sniffer Pro 程序后,选择 Capture(捕获)Start(开始),或者使用 F10 键,或者是工具栏上的开始箭头。因为捕获过程需要几分钟才能完成,这时我们可以先了解如何自定义 S
4、niffer Pro 高级与捕获窗口,这样后面就可以节省一点时间。23下面,在 Sniffer Pro 程序中,会看到高级系统被自动调用,如图 2 所示。打开这个窗口后,不会看到任何东西,除非停止捕获过程才可以查看内容。让捕获过程持续运行一段时间,这时可以自定义高级系统,这样就能实时地看到不断出现的问题。图 2 开始捕获过程时调用高级系统4浏览图 2 中的屏幕。高级窗口这时会滚动到窗口左边,只能看到工具栏,而没有任何详细资料。如果要查看详细资料,就要找到高级窗口对话框左上角的箭头,这个箭头在“层次”这个词的右边。单击这个箭头后,会显示出高级功能的另一部分窗口,如图 3 所示。5你可以看到我们能
5、自定义 Sniffer Pro 程序用于将来的捕获过程,所以我们在下面要对如何使用高级功能进行分析。如果要进一步自定义我们的 Sniffe Pro 高级功能,就要在一个视图中显示所有定义对象的详细资料。如果再看一次图 3,你会发现在高级对话框的最右边有两个卷标:一个是“总结”卷标,另一个是“对象”卷标。在图 4 中,你会看到这两个卷标都消失了,被两个窗口取代。如果要改变视图,只需要将鼠标停在图 4 中圈起的位置,这时箭头的形状会改变,然后可以将这一栏上移,就可以看到 Sniffer Pro 高级窗口中对象的所有详细资料了。3图 3 在高级系统中查看更多的细节图 4 浏览高级系统内的对象卷标6已
6、经完全了解如何自定义 Sniffer Pro 高级窗口后,使浏览更容易。现在,我们可以停止捕获过程。再次进入 Capture(捕获)菜单,然后选择 Stop(停止)或者按下 F10 键。还可以使用工具栏,选择黑方框图标来执行同样的功能。7停止了捕获过程后,屏幕上不会有任何反应。这时因为没有要求 Sniffer Pro 显示捕获的内容。还可以按 F9 键来执行“停止并显示”的功能,或者可以进入 Capture(捕获)菜单,选择“停止并显示”。也可以使用工具栏图标来执行同样的功能,这个图标的样子就像带望远镜的黑色的方盒。因为我们先停止了捕获过程,所以也可以在停止后选择Capture(捕获)菜单中的
7、“显示”,按下 F5 键,或者只使用工具栏中的“望远镜”。在这里,我们使用的是第一种方法,选择了“显示”后,Sniffer Pro 高级窗口会迅速地一直最小化,然后就会再次出现高级对话框,如图 5 所示。4图 5 选择显示后查看高级对话框8现在查看对话框(停止捕获过程后),会看到几个非常重要的变化。第一个变化是Sniffer Pro 高级窗口中不再增加内容了,可以说是因为停止了捕获过程,所以不再有对象增加了。第二个变化是对话框的标题栏。起初只简单地显示“ Expert”(高级)。现在显示的是捕获文件的名字,以及 Sniffer Pro 在捕获过程中观察到的帧的数目。 9另一个主要变化是对话框最
8、下角增加了一组窗口卷标,包括高级(当前查看的视图)等。10选择了解码卷标(Decode)时,屏幕显示如图 6,会看到 Sniffer Pro 缓冲器中的所有实际“数据”。图 6 查看解码卷标51.2详细资料窗格了解了帧的内容,现在让我们来看看从数据的表格视图中可以得到哪些信息。利用 sniffer 数据捕获功能捕获数据并进行数据桢解析分析,例如:图 8 专家分析系统(1)如上图所示,你会看到 IP 文件头的各部分内容。现在把它们与图中的数据相对应,结合我们在 tcp/ip 协议中学习到知识回答下面各个段的值: (根据自己的 Sniffer 专家分析系统的分析内容查看以下段的值:) 版本 IHL
9、 ToS ToS 位可以提供服务质量(QoS)信息(Sniffer Pro 会提供一些必要的信息) 总长度 ID 标记 分段差距 TTL 协议 校验和 SA DA 选项与 Padding 这里没有任何选项。在文件头中不一定必须有选项这部分内容。 数据(2) TCP 文件头可以分成几个部分。现在可以查看 TCP 文件头的所有详细内容。在 TCP 中,需要使用端口序号来识别并建立与上层协议之间的连接。这个文件头会像 IP 文件头一样被分解来查看各部分内容,现在我们来了其中各项的详细内容:6 来源端口 目的端口 顺序序号 顺序序号(和下一个期望顺序序号)用来进行顺序控制。 确认号 因为已经设定了 A
10、CK 字节(在下面几行中,确认字节设定为 1),确认号代表。 差距 数据差设定为 20 个字节,可以说明。 标记 标记为 10。 U 紧急指针(URG)设定为? A 确认字节(ACK)设定为? P 入栈程序(PSH)设定为? R 重新连接(RST)设定为? S 同步顺序号(SYN)设定为? F 释放连接(FIN)设定为? 窗口 窗口为? 校验和 校验和为? 选项Padding? 数据?这些信息会使我们更有兴趣深入了解这些内容,我们甚至还没有得到全部的负载内容。Sniffer Pro 是一种非常有价值的工具,可以用它来深入挖掘数据的详细资料,就像我们正在做的一样。我们还只是在查看一个数据帧而已!
11、即使你不能全部理解这些内容(关于协议代码的信息总量非常多),至少可以进行捕获过程,然后研究一些网络或者 RFC 中的信息,这样会发现正在解析的协议中的更多内容。直到现在,我们还只是在告诉你如何使用 Sniffer Pro 分析窗格(总结、详细资料和 Hex)来读取捕获的数据。(3) Hex 窗格Hex 窗格显示的内容最直观,同时也难以理解。Hex 窗格看上去就像是十六进制代码的信息集合。它的确如此,但是,在这里我们会提供一种更好的方法来理解这个窗格中的内容,这样就可以了解它们,并进行分析。图 9 在 Hex 窗格中查看捕获的文件在默认的情况下,Hex 窗格会以 ASCII 格式显示数据。如果想
12、的话,也可以把格式改变为 EBCDIC(IBM)代码,只需要在 Hex 窗格内单击鼠标右键,将选项改为 EBCDIC 即可。7现在已经进行了一个捕获过程,得到了一个帧,并在 Sniffer Pro 解码栏中用总结、详细资料和 Hex 窗格对这个帧进行了分析。第二部分:使用 sniffer1、 利用 sniffer 捕获用户名和密码按照上面学习的内容,登陆学校的 ftp(),捕获登陆 ftp 的账号和密码。你也可以在 http:/ post关键字所在的数据),查看是否能得到用户名和密码?2、 首先将自己的电脑设置成自动获取 IP 地址,利用 sniffer 学习 DHCP Client 和DHC
13、P 服务器的交换,画出二者交互的流程图,注明以下内容:DHCP 报文类型,双方 IP 地址的变化。如果在使用 ipconfig /realse,然后执行 ipconfig /renew 命令后报文有何变化?8实验二 非对称加密算法实验课时:4一、实验目的1) 掌握非对称加密算法在实际中的应用中优缺点。2) 对称加密算法和非对称加密算法的配合使用。二、 实验环境Windows 系统,eclipse。三、实验重点及难点重点:1) DES 和 RSA 的优缺点。2) RSA 在密钥传递中的使用。难点:编写 DES 和 RSA 组合程序。四、实验内容1、阅读毕博平台上的关于 DES 和 RSA 使用示
14、例代码,并对代码进行测试和修改,对比二者的加密速度并修改使其能够加密文件。2、如下图所示,Alice 和 Bob 分别有一对公私钥,如果 Alice 发送秘密文件给 Bob,结合应用实际,将如何设计该加密方案?设计完成该代码的编写。提示:对 DES 和 RSA 进行合并,完成如下目的,并将修改的代码写在实验报告上,(1) 利用 RSA 为 Alice 和 Bob 分别生成公私钥对,将公钥保存在 public_key 目录中,私钥保存在相应的 private_A 和 private_B 目录中。 并规定, public_key 目录可以公共访问,private 只有目录拥有者访问。(2) 利用
15、DES 加密文件,使用 RSA 加密 DES 密钥,可以将加密后的密钥附在加密后的文件中,也可以形成两个文件,然后写入目录 file 中。(3) 另外一个人,从目录 file 中读去文件,并进行解密。KApublicKApriveteKBpublicKBpriveteAlice BobKBpublic(M)9实验三 Windows Server 2003 的安全配置课时:2一、实验目的掌握 2003 的安全设置;二、实验环境已安装 Windows 2003 Server 的计算机三、实验重点及难点重点:理解设置服务器安全的基本原则:最少权限+最少服务+严格审核。难点:IP 策略的设置四、实验内
16、容1、 端口设置查看 windows 系统中端口的定义:Windows 2003 server 端口列表在 C:WINDOWSsystem32driversetcservices,写字板可打开。打开该文件查看系统对端口的定义。2、利用 IP 安全策略构建简易防火墙设置背景:服务器 hostA 开放了 23 号端口(telnet) ,但是只允许部分电脑访问(如左边的同学可以访问,而右边的同学不可访问) ,定制 IP 安全策略,实现上面的要求并进行测试。注意:如果设置有问题可以参考课本 P117。设置完成后对设置进行测试:(1) 启动 telnet 服务(默认 telnet 服务没有启动,另外还需
17、要启动 Secondlary Logon服务,服务器需要设置密码【同时按下 ALT+CTRL+Del】 ) ,利用另外一台进行 telnet 登陆测试,如:telnet 210.45.165.10 23。(2) 利用 netstat 命令查看端口是否打开(3) 利用 IP 规则,如上设置阻止 telnet 连接。(4) 再次测试测试 telnet 登陆。3、设置防火墙在 sever 2003 系统里,用 TCP/IP 筛选里的端口过滤功能,使用 FTP 服务器的时候,只开放 21 端口,在进行 FTP 传输的时候,FTP 特有的 Port 模式和 Passive 模式,在进行数据传输的时候,需
18、要动态的打开高端口,所以在使用 TCP/IP 过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在 2003 系统上增加的 windows 连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的 TCP/IP 过滤功能。(1)启用防火墙设置(在控制面板中)10(2)添加例外(3)选择应用范围11实验对话框中其他选项。4、 关闭不必要的服务12你能说出服务的启动类型:自动、手动及禁用的区别吗?根据自己的需要可以禁用以下服务,仅供参考:Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Messenge
19、r 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Distributed File System: 局域网管理共享文件,如果不需要禁用 Distributed linktracking client:用于局域网更新连接信息,如果不需要禁用 Error reporting service:禁止发送错误报告 Microsoft Serch:提供快速的单词搜索,如果不需要可禁用 NTLMSecuritysupportprovide:telnet 服务和 Microsoft Serch 用的,如果不需要禁用 PrintSpooler:如果没有打印机可禁用 Remote Registr
20、y :禁止远程修改注册表 Remote Desktop Help Session Manager:禁止远程协助 Workstation 关闭的话远程 NET 命令列不出用户组把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。5、 本地安全设置a) 账号策略的设置,如密码的要求,登陆锁定设置等;练习:设置密码复杂度要求,然后更改密码,看是否生效?b) 审核:比如可以进行如下审核设置: 13练习:对策略更改审核“成功”和“失败”事件,然后更改某个策略,利用系统查看器,查看安全性日志,查看日志的记录情况。下面示例是记录“审核
21、对象访问”的策略更改的日志记录:c) 用户权限的分配d) 安全选项,如:不显示上次登陆名等。6、 通过注册表更改设置(1)关闭 445 端口HKEY_LOCAL_MACHINESystemCurrentControlSetServicesnetBTParameters新建 “DWORD 值”值名为 “SMBDeviceEnabled” 数据为默认值“0”(2)禁止建立空连接14HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa新建 “DWORD 值”值名为 “RestrictAnonymous” 数据值为 “1” 2003 默认为 1(3)禁
22、止系统自动启动服务器共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters新建 “DWORD 值”值名为 “AutoShareServer” 数据值为 “0”(4)禁止系统自动启动管理共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters新建 “DWORD 值”值名为 “AutoShareWks” 数据值为 “0”(5)通过修改注册表防止小规模 DDOS 攻击HKEY_LOCAL_MACHINESYSTEMCur
23、rentControlSetServicesTcpipParameters新建 “DWORD 值”值名为 “SynAttackProtect” 数据值为 “1”(6)结合课本,如何通过修改注册表值锁定注册表及修改 TTL 值。7、相关命令的设置如果不需要,删除 format.exe 命令属性中的所有用户删除 cmd.exe 命令属性中除 Administrator 以外的用户另外的重要命令包括:net.exe tftp.exe netstat.exe regedit.exe at.exe attrib.exe等8、 加密文件设置如下:练习:新建用户 user1、user2,,注销系统后,以 u
24、ser1 登陆加密某个文件,然后测试能否打开文件;然后以 user2 登陆,看能否打开文件?结合课本 P113,你能解释上面的原因吗?原因是什么?15实验四 Windows Server 2003 的证书服务使用课时:2一、实验目的1) 掌握 Windows 2003 server 的证书服务的使用。2) 了解密码在网络服务中应用。二、实验环境Windows 系统三、实验重点及难点重点:Windows 2003 server 的证书的申请、颁发、吊销。难点:Windows 2003 server 独立根的创建。四、实验内容及过程1、 创建一个独立的根 CA(1) 管理员身份登陆(2) 打开控制
25、面板“添加/删除 Windows 组件”点击“证书服务” ,出现对话框:点击“是” ,继续;16下一步,填写相关信息;下一步,证书数据库和日志的的位置;点击“下一步” ,完成以后的步骤。2、 申请证书(1) 在 URL 中输入 http:/127.0.0.1/certsrv17点“下一步” ,完成以后的步骤。3、 颁发证书在管理工具里面,点击“证书颁发机构” ,打开“待定申请” ,找到刚才的证书申请,选中该申请, “操作”“所有任务”“颁发” 。参照课本 P102,完成后续步骤。试一试:当证书申请被批准后,在下载证书时,可以使用任何一个浏览器下载吗?为什么?4、 证书的导入在浏览器中, “工具
26、”“Internet 选项”“内容”“证书”“导入” ,即可打开证书导入向导。5、 吊销证书同步骤 3 进入“证书颁发机构” ,选中要吊销的证书,右击, “所有任务”“吊销证书” ,按照系统出现的对话框,选择相应的选项,进行证书吊销。6、 实例应用利用做好的证书服务器,完成以下内容:(1)参照 上关于安全服务器的设置或课本 P146-152,申请一个 Web 服务器证书,配置一个基于 SSL 的 Web 服务器并进行测试。(2)利用抓包工具 ethreal 或 sniffer,捕获客户端和服务器的交换数据,你能解释出每个交互参数的含义吗?如果把服务器端设置成要求客户端提供证书,那么客户端该如
27、何设置?(3)申请一个邮件证书,并设置 outlook,如何做到和旁边的同学发送加密的邮件?18实验五 网络流量监测的实现课时:4一、实验目的1) 掌握网络流量监测的实现的原理。2) 掌握利用 JPcap 库实现流量监测的方法。二、实验环境Windows 系统、eclipse 开发环境三、实验重点及难点重点:利用 JPcap 实现流量的方法。难点:利用 JPcap 实现流量的方法。四、实验内容及过程1. 网络流量监测的原理在共享式以太网中,所有的通讯都是广播的,也就是说通常在同一网段的所有网络接口都可以访问在物理媒体上传输的所有数据,使用 ARP 和 RARP 协议进行相互转换。在正常的情况下
28、,一个网络接口应该只响应两种数据帧:与自己硬件地址相匹配的数据帧和发向所有机器的广播数据帧。在一个实际的系统中,数据的收发由网卡来完成。每个以太网卡拥有一个全球难一的以太网地址。以太网地址是一个 48 位的二进制数。在以太网卡中内建有一个数据报过滤器。该数据报过滤器的作用是保留以本身网卡的 MkC 地址为通讯目的的数据报和广播数据报,丢弃所有其它无关的数据报,以免除 CPU 对无关的数据报作无谓的处理。这是以太网卡在一般情况下的工作方式。在这种方式下,以太网卡只将接收到的数据报中与本机有关部分向上传递。然而数据报过滤器是可以通过编程禁用的。禁用数据报过滤器后,网卡将把接收到的所有的数据报向上传
29、递,上一层的软件因此可以监听以太网中其它计算机之间的通讯,称这种工作模式为“混杂模式” 。通过将网卡设为“混杂模式”可以监测到网络上的数据流。2. JPcap 库介绍及安装Jpcap 是 2003 年日本开发的一套能够捕获、发送网络数据包的 java 类库。因为核心Java API 不能访问底层的网络数据,但 Jpcap 是一种提供在 Windows 或 UNIX 系统上进行这种访问的 Java API。Jpcap 不是一种纯粹的 Java 解决方案,它依赖本地库的使用。在Windows 或 UNIX 上,你必须有必要的第三方库,分别是 WinPcap 或 libpcap。要在 java中使用
30、 Jpcap 类库需要安装 Jpcap 的运行和开发环境。安装方法:(1)运行 JPcap 的安装文件(2)复制“libJpcap.dll”到“JRE directorybin” or “JRE directorylibextx86”。复制“libjpcap.jar”到“JRE directorylibext” 。(3)使用 eclipse 创建工程时添加 jpcap.jar 为外部扩展包。具体方法如下:第一步:创建一个工程,如命名为 JPcapTest第二步:点击“next” ,选择“libraries ”选项卡,点击“ add external JARs”,找到jpcap.jar,添加进去
31、即可。19第三步:点击“Finish” ,结束,则工程创建完毕,接着创建相应的类文件。3. JPcap 重要类及方法介绍(1)获取网络设备的方法 getDeviceList(),调用方法如下:NetworkInterface devices = JpcapCaptor.getDeviceList();得到的网络设备结果保存在名为 devices 的数组中。(2)打开指定的网卡20JpcapCaptor captor = JpcapCaptor.openDevice(devices1, 65535, false, 200);使用方法 openDevice()可以打开指定的网卡。具体参数的含义见示
32、例代码注释。(3)设置过滤器,这样可以捕获指定的类型的数据包,调用方法如下:captor.setFilter(“tcp“, true);该处捕获的是 tcp 类型的数据包。(4)数据包处理方法,captor 处理数据包有两种方法,第一种是 processPacket,第二种是 loopPacket,使用上述两种方法进行数据包处理时需要编写回调函数,实现PacketReceiver 下的 receivePacket 方法;具体使用方法见示例代码。captor.loopPacket(-1, new dumpPacket();此处,第一个参数指定捕获数据包的数目,第二个参数是回调函数句柄,为类名。4
33、 实验示例代码。请在 网络安全与管理实验,下载示例代码。5. 代码完善(1)结合注释,阅读示例代码,分析每句代码的功能。捕获登陆 ftp 的过程,你能得到登陆的账号和密码吗?(2)修改示例代码,完成网络数据包的分类捕获,并统计每类数据包的所占比例。(3)统计每个 IP 发送数据包的数量。6. 扩展JPcap 的功能很多,还可以实现数据包的生成和发送,如可以发送 TCP、UDP 、ICMP数据包;进而可以实现 ARP 数据包的构造和发送,tracert 命令等功能,更多功能介绍请访问 http:/netresearch.ics.uci.edu/kfujii/Jpcap/doc/index.ht
34、ml。21实验六 入侵检测系统 snort 的使用课时:2一、实验目的1) 理解入侵检测的作用和检测原理。2) 掌握 Snort 的安装、配置和使用等实用技术。二、实验环境Windows 系统、snort 软件、 nmap 软件三、实验重点及难点重点:入侵检测的工作原理。难点:snort 的配置文件的修改及规则的书写。四、实验内容【Snort 简介】Snort 是一套开放源代码的网络入侵预防软件与网络入侵检测软件。Snort 使用了以侦测签章(signature-based)与通讯协定的侦测方法。截至目前为止,Snort 的被下载次数已达到数百万次。Snort 被认为是全世界最广泛使用的入侵预
35、防与侦测软件。【实验步骤】1、 从 上下载所需要的软包,winpcap,snort,nmap 。安装软件前请阅读readme 文件。也可以到其官方网站下载最新版 http:/www.snort.org/。2、 注意安装提示的每一项,在选择日志文件存放方式时,请选择“不需要数据库支持或者 snort 默认的 MySQL 和 ODBC 数据库支持的方式”选项。3、 将 snort.exe 加入 path 变量中(该步骤可选,否则要切换到安装路径下执行命令) 。4、 执行 snort.exe,看能否成功执行,并利用“-W” (大写的)选项查看可用网卡。如下:22上例中共有两个网卡,其中第二个是可用
36、网卡,注意识别你自己机器上的网卡!注:snort 的运行模式主要有 3 种:嗅探器模式(同 sniffer) 、数据包记录器模式和网络入侵检测模式。5、 嗅探器模式嗅探器模式就是 snort 从网络上读出数据包然后显示在你的控制台上。可用如下命令启动该模式:snort v i2 /-i2 指明使用第二个网卡,该命令将 IP 和 TCP/UDP/ICMP 的包头信息显示在屏幕上。如果需要看到应用层的数据,使用以下命名:snort v d i2更多详细内容请参考 http:/ 数据包记录器模式该模式将在屏幕上的输出记录在 LOG 文件中(需要事先建立一个 log 目录) 。命令格式如下:snort
37、 vd i2 l d:log /将数据记录在 d 盘下的 log 目录下,-l 选项指定记录的目录运行该模式后,到 log 目录下查看记录的日志的内容。snort vd i2 h IP l d:log /IP:网段,-h 指定网段运行上述命令后,去 ping 另一台主机,查看日志,这个 ping 是否被记录下来?7、网络 IDS 模式,该模式是 snort 的最重要的实现形式。相对于数据包记录器模式,该模式只是增加了一个选项“-c” ,用于指明所使用的规则集 snort.conf(在 IDS 模式下必须指定规则集文件) 。打开etcsnort.conf,对 snort 的配置文件进行修改,包括
38、检测的内外网范围,以及文件路径的格式修改为 Windows 下的格式,注释掉没有使用的选项。参考修改如下:(1)打开/snort/etc/snort.conf,设置内外网范围。将 snort.conf 文件中的 var HOME_NET any 语句中的 Any 改成自己所在的子网地址,则 snort 将监控内部网络设置为本机所在的局域网。如 var HOME_NET 210.45.165.0/24。(2)对 dns,smtp,http 的服务器的 IP 地址进行修改(此处可选,也可不改)。(3)修改变量RULE_PATH到安装rules的绝对路径位置,如:var RULE_PATH C:Sn
39、ortrules(4)修改 Classification.conf 和 Reference.conf 路径,修改方法同上。可以参考给出的 snort.conf 文件,请根据具体情况修改, 切勿替换和 copy。8、下载更新规则集,放入 ruler 下面(实验中默认已经安装,无需下载) ,并对检查23snort.conf 中的指定的规则集( 在文件末尾)与下载的规则集一致,注释掉没有的规则。 (请查看下载的 snort.conf 文件中注释的方式) 。9、在任意盘下建立日志记录文件夹 log,比如 F 盘,f:log。10、启动 snort 的入侵检测模式,如:snort.exe i4 dev
40、l f:log c c:snortetcsnort.conf,检查 snort 能否正常启动,如有错误根据错误提示进行排错。注意:上面命令使用的是第 4 个网卡接口;记录应用层,数据链层的信息;日志记录在f:log 下;配置文件路径是 c:snortetcsnort.conf。11、snort 安装成功后,使用 nmap 扫描器,对安装 snort 的主机进行扫描,完成后查看 log日志下的 alert.ids 文件内容,并分析记录的内容。12、编辑自己的规则,如通过捕捉关键字“search”记录打开 Google 网页的动作,并将符合规则的数据包记录到 alert.ids 文件。步骤如下:首先打开 ruler 目录下的experimental.rules 文件,添加如下内容:alert tcp $HOME_NET any - any 80 (content:“search“;nocase;sid:100000;msg:“google search query“;),保存修改,启动snort 进行测试规则的有效性,并分析结果。13、学习 http:/ 网页内容,书写更多自己的规则。
