入侵檢測規則填寫實驗
實驗目的
理解入侵檢測的作用和原理,掌握snort入侵檢測規則格式
實驗原理
理解snort入侵檢測規則格式
實驗內容
在Windows平臺建立基於Snort的IDS,編寫入侵檢測規則,以下以UDP作為簡單的例子。
實驗環境描述
1、學生機與實驗室網路直連
2、VPC1與實驗室網路直連
3、學生機與VPC1物理鏈路連通
實驗步驟
1、點選開始實驗進入實驗環境
2、安裝WinPcap_4_1_2.exe(按照嚮導提示安裝即可)
3、安裝Snort_2_9_1_2_Installer.exe(預設安裝即可)
4、安裝完成後單擊“開始”“執行”,輸入“cmd”,開啟命令列
5、使用下面命令檢測安裝是否成功:
cd C:\snort\bin (回車)
Snort –W
如果出現小豬的形狀就說明安裝成功了。
6、將D:\tools\snortrules-snapshot-2903下資料夾下的檔案全部拷貝覆蓋到c:\Snort下,遇到有重複的檔案或者資料夾,全部替換,修改snort配置檔案 etc裡面的snort.conf檔案。
原: var RULE_PATH ../rules 改為: var RULE_PATH C:\Snort\rules 原: #dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/ 改為:dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor(後面一定不要有/) 原: #dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so 改為:dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll 原:dynamicdetection directory /usr/local/lib/snort_dynamicrules 改為:dynamicdetection directory C:\Snort\lib\snort_dynamicrules 然後將C:Snort\so_rules\precompiled\FC-9\x86-64\2.9.0.3裡的所有檔案拷貝到C:\Snort\lib\snort_dynamicrules(該snort_dynamicrules資料夾需要自己新建) 繼續修改c:\tools\snort配置檔案 etc裡面的snort.conf檔案 原: include classification.config 改為: include C:\Snort\etc\classification.config 原: include reference.config 改為: include C:\Snort\etc\reference.config 原: # include threshold.conf 改為: include C:\Snort\etc\threshold.conf 原:#Does nothing in IDS mode #preprocessor normalize_ip4 #preprocessor normalize_tcp: ips ecn stream #preprocessor normalize_icmp4 #preprocessor normalize_ip6 #preprocessor normalize_icmp6 原:preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 20480 decompress_depth 20480 改為:preprocessor http_inspect: global iis_unicode_map C:\Snort\etc\unicode.map 1252 compress_depth 65535 decompress_depth 65535(因為在windows下unicode.map這個檔案在etc資料夾下。將compress_depth 和decompress_depth 設定compress_depth 65535 decompress_depth 65535) 將所有的ipvar修改為var 將#include $RULE_PATH/web-misc.rules註釋掉。
進入dos,在\snort\bin目錄用snort -W檢視系統可用網路介面。記住需要監視的網絡卡的編號,比如為1,那麼在以後的使用中,用-i 1就可以選擇對應的網絡卡。
7、執行命令snort –i 1 -c "c:\Snort\etc\snort.conf" -l "c:\snort\log",此時為攻擊檢測模式。
8、ctrl+c停止檢測後,到c:\snort\log目錄下可以檢視日誌報告。名為alert的檔案即為檢測報告。
9、(1) 在本地新增udp.rules檔案規則。
(2)使用命令snort –c “c:\snort\etc\snort.conf” –l “c:\snort\log” –i 1進行檢測,ctrl+c停止檢測,檢測完畢後用包記錄模式記錄報告,在c:\snort\log下可以找到警告日誌檔案 alert(若檔案內無內容,多次重複執行上述命令,停止檢測,直到檔案有內容即可),發現滿足要求的資料包都寫入了警告檔案。
10、根據自己編寫的規則分析日誌檔案。