：snort入侵检测系统配置使用

甘肃交通职业技术学院信息工程系

《信息安全技术》

实 训 报 告 四

专 业： 智控（物联网方向）

班 级： 物联1201班

姓 名： 李永霞

学 号： 0623120116

时 间： 2014年5月28日

snort入侵检测系统配置使用

一、项目概述

1、项目目的：了解snort入侵检测系统的原理；了解snort入侵检测系统的主要功能；掌握snort入侵检测系统的基本安装与配置方法。

2、知识与技能考核目标：能够掌握PHP网站服务器的搭建，能完成snort入侵检测系统的安装与配置；能利用snort入侵检测系统的三种模式展开简单的检测和分析。

3、设备： 微型计算机。

4、工具：网络数据包截取驱动程序：WinPcap_4_1_2.zip ；Windows 版本的Snort 安装包 ；Windows 版本的Apache Web 服务器 ；ACID（Analysis Console for Intrusion Databases）基于PHP的入侵检测数据库分析控制台 ；snort 规则包：rules20090505.tar.gz；Adodb（Active Data Objects Data Base）PHP库－－adodb504.tgz；PHP图形库。

二、项目内容：

1、项目内容

snort入侵检测系统的安装；PHP网站服务器的搭建；基于mysql的snort用来存储报警数据的数据库创建；snort入侵检测系统的配置及使用。

2、方案设计

通过观摩指导老师的操作来掌握snort入侵检测系统的安装与配置。

3、实施过程（步骤、记录、数据、程序等）

（1）安装数据包截取驱动程序。

双击安装文件winpcap.exe，一直单击“NEXT”按钮完成安装。

（2）安装snort入侵检测系统：

运行snort.exe，按照安装向导提示完成安装。其中在installation options窗口中选择第一个选项，表示不将报警数据日志写入到数据库或将日志写入到snort支持的windows版本的数据库MYSQL和其他ODBC数据库中。在choose components窗口中，建议将三个组件都选中。

（3）安装the appserv open object：

运行appserv.exe，按照安装向导提示完成安装。其中apache HTTP Server窗口中输入WEB服务器的域名主机名称和IP地址、管理员的EMAIL地址、WEB服务的端口号。在弹出的MYSQL Database窗口中输入MYSQL的相关信息，MYSQL数据库用户的用户和密码等。

安装完成后，WWW目录为默认的WEB页的发布目录。在开始菜单中启动APACHE服务器和MYSQL数据库服务器，在本地计算机的浏览器中输入http://127.0.0.1，若出现教材中图7-16的窗口表示APACHE服务器工作正常。

（4）ACID软件包的安装：

解压缩acid.rar数据包，解压缩到c:\\appserv\\www\\acid目录中。

（5）ADODB软件包的安装：

解压缩adodb.rar数据包，解压缩到c:\\appserv\\www\\adodb目录中。

（6）PHP图形库的安装：

解压缩jpgraph.rar数据包，解压缩到c:\\appserv\\www\\jpgraph目录中。

（7）mysql数据库的配置：

C:\\snort\\schames目录中存放了SQL脚本，用来建立数据库和表以存储报警数据。复制 \\snort\\schames 文件夹下的create_mysql 文件到\\mysql\\bin文件夹下，然后将该文件导入到两个数据库snort和 snort_archive中。具体的建立可以通过mysql操作符命令和mysql管理界面来完成，下面详细介绍其过程：

①．mysql命令行方式

通过开始菜单进行“MySQL Command Line Client”，打开mysql命令行客户端，输入正确的root密码即可出现命令行。分别输入以下命令完成数据库的创建：

Create database snort; // 作用；创建数据库snort

Use snort; // 作用：选择snort数据库

Source create_mysql; // 作用：导入SQL脚本文件

Snort_archive数据库的创建与此类似，不再赘述。

②． mysql管理界面方式

在本地计算机的浏览器中输入http://127.0.0.1，选择“phpMyAdmin Database Manager Version 2.10.2”，输入正确的用户名和密码，登录到mysql管理界面。在“创建一个新的数据库”下面的文本框中输入要创建的数据库名称，点击“创建”，在新页面中选择“IMPORT”导入该SQL脚本文件即可。

（8）ACID的配置与运行：

打开C:\\AppServ\\www\\acid目录中的配置文件acid_conf.php，修改以下参数，完成snort软件的配置。

$DBlib_path=\"C:\\AppServ\\www\\adodb\";

$DBtype=\"mysql\";

$alert_dbname =\"snort\";

$alert_host = \"localhost\";

$alert_port =\"\";

$alert_user=\"root\";

$alert_password=\"123\"; \\\\您的实际密码

$archive_dbname=\"snort_archive\";

$archive_host=\"localhost\";

$archive_port=\"\";

$archive_user=\"root\";

$archive_password=\"123\"; \\\\您的实际密码

$ChartLib_path=\"c:\\AppServ\\www\\jpgraph\\src\";

ACID配置完成后，可以在本地计算机的浏览器中输入http://127.0.0.1/acid或在其联网的计算机的浏览器中输入http://你的IP/acid，即可看到入侵检测分析控制台的界面。

（8）snort入侵检测系统的使用：

在snort的安装目录中有一些重要文件，c:\\snort\\bin目录中存放可执行文件snort.exe，在c:\\snort\\ect\\目录中存入snort的主要配置文件snort.conf，在c:\\snort\\rules\\目录中存放各种入侵特征数据库文件；在c:\\snort\\log\\目录中存入snort的日志文件。

snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。

嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。首先，我们从最基本的用法入手。如果你只要把TCP/IP包头信息打印在屏幕上，只需要输入下面的

命令：

./snort -v

使用这个命令将使snort只输出IP和TCP/UDP/ICMP的包头信息。如果你要看到应用层的数据，可以使用：

./snort -vd

这条命令使snort在输出包头信息的同时显示包的数据信息。如果你还要显示数据链路层的信息，就使用下面的命令：

./snort -vde

注意这些选项开关还可以分开写或者任意结合在一块。例如：下面的命令就和上面最后的一条命令等价：

./snort -d -v –e

数据包记录器模式把数据包记录到硬盘上。如果要把所有的包记录到硬盘上，你需要指定一个日志目录，snort就会自动记录数据包：

./snort -dev -l ./log

当然，./log目录必须存在，否则snort就会报告错误信息并退出。当snort在这种模式下运行，它会记录所有看到的包将其放到一个目录中，这个目录以数据包目的主机的IP

地址命名，例如：192.168.10.1

网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。

snort最重要的用途还是作为网络入侵检测系统(NIDS)，使用下面命令行可以启动这种模式：

./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf

snort.conf是规则集文件。snort会对每个包和规则集进行匹配，发现这样的包就采取相应的行动。如果你不指定输出目录，snort就输出到/var/log/snort目录。

4、结论（结果、分析）

Snort是一套非常优秀的开放源代码网络监测系统，用作监视小型TCP/IP网的嗅探器、日志记录和侵入探测器。snort有三种工作模式：嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上；数据包记录器模式把数据包记录到硬盘上；网络入侵检测模式是最复杂的，而且是可设置的。我们能让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。

本项目以网络安全界有着非常广泛应用的snort为使用工具，使同学们掌握了snort入侵检测系统的安装与配置方法，了解了snort入侵检测系统的原理、主要功能和工作过程。