1.安裝和配置 IDS 軟件 Snort並查看網卡信息
從返回的結果可知主機上有哪個物理網卡正在工作及該網卡的詳細信息。圖中顯示此計算機只有1個網卡,且該網卡具有物理地址。
2.輸入 snort –v –i1命令啟用 Snort並捕捉到一些流量
3. 配置snort
3.1打開 snort配置文件, 設置 Snort 的內部網絡和外部網絡網絡檢測范圍。將 Snort.conf 文件中的 var HOME_NET any 語句的 any 改為自己所在的子網地址,即將Snort 監測的內部網絡設置為所在的局域網。我實驗的機器ip地址為192.168.1.131,故子網地址應該為192.168.1.0/24
3.2配置網段內提供網絡服務的 IP 地址,只需要把默認的$HOME_NET 改成對應的主機地址即可。
var DNS_SERVERS $HOME_NET
var SMTP_SERVERS $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var TELNET_SERVERS $HOME_NET
var SNMP_SERVERS $HOME_NET
3.3配置動態預處理器庫
# path to dynamic preprocessor libraries
dynamicpreprocessor directory c:\Snort\lib\snort_dynamicpreprocessor
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dce2.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dns.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_sdf.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dll
dynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssl.dll
dynamicengine c:\Snort\lib\snort_dynamicengine\sf_engine.dll
3.4修改配置文件 classification.config 和 reference.config的路徑:
include c:\Snort\etc\classification.config
include c:\Snort\etc\reference.config
其 中 classification.config 文 件 保 存 的 是 規 則 的 警 報 級 別 相 關 的 配 置 ,
reference.config 文件保存了提供更多警報相關信息的鏈接。
4. 操作與測試
(1) Snort 嗅探器模式
使 Snort 只將 IP 和 TCP/UDP/ICMP 的包頭信息輸出到屏幕上。如果要看到應用層的數據,可以輸入如下命令:snort -v -e –i1
( 2)數據包記錄器模式
上面的命令只是在屏幕上輸出,如果要記錄在 LOG 文件上,需要預先建立一個 Log目錄。輸入下面的命令數據包記錄器模式:
snort -dve -i1 -l c:\Snort\log -h 192.168.1.0/24 -K ascii
其中: -l 選項指定了存放日志的文件夾;-h 指定目標主機,這里檢測對象是局域網段內的所有主機,如不指定-h,則默認檢測本機;-K 指定了記錄的格式,默認是 Tcpdump 格式,此處使用 ASCII 碼。在命令行窗口運行了該指令后,將打開保存日志的目錄。
在 Log 目錄下自動生成了許多文件夾和文件,文件夾是以數據包主機的 IP 地址命名的,每個文件夾下記錄的日志就是和該外部主機相關的網絡流量。
(3) NIDS(入侵檢測(IDS)功能)
A.網絡 IDS 模式,該模式是 snort 的最重要的實現形式。相對於數據包記錄器模式,該模式只是增加了一個選項“ -c”,用於指明所使用的規則集 snort.conf(在 IDS 模式下必須指定規則集文件)。 使用任一文本編輯軟件打開\etc\snort.conf。對 snort 的配置文件進行修改:
(1)檢測的內外網范圍
ipvar => var
HOME_NET any => HOME_NET 192.168.1.0/24
(2) 增加並修改 PATH 部分為
var TEST_PATH c:\Snort\test
var RULE_PATH rules
(3)文件路徑的格式修改為 Windows 下的格式
所有 / 改為 \
(4) 定制自己的規則
include $TEST_PATH\test.rules
(5)注釋掉沒有使用的選項。
B 創建自己的規則
(1)d:\Snort 目錄下創建目錄 test
(2) 使用純文本編輯器編輯 test.rules
(3) 輸入自己創建的規則
C.啟動 snort 的入侵檢測模式:
snort -i1 -dev -l c:\snort\log -c c:\snort\etc\snort.conf
另外打開一個DOS窗口ping www.baidu.com,snort窗口記錄下這些數據包如下:
