网络信息安全实验3入侵检测系统实验.pdf

实验报告



课程名称网络信息安全

实验名称实验三入侵检测系统实验

一、实验目的和要求

1.通过实验掌握轻量级入侵检测系统Snort的安装。

2.掌握Snort的配置与使用方法，理解基于误用检测的入侵检测系统工作原理。

二、实验环境(实验设备)

1.安装Windows操作系统并连接网络的一台PC机。

2.软件：Winpcap,Snort

三、实验原理及内容

实验一．在Windows环境下安装和使用Snort。要求给出使用的Snort的

命令参数。

1

1.使用snort–W显示网卡接口

可以看出，我电脑上的无线网卡的编号为5

2.测试Snort的嗅探器模式

2

使用snort-vde在输出包头信息的同时显示包的数据信息，还要显示数据链路层的信息

3.测试Snort的数据包记录器功能

如果要把所有的包记录到硬盘上，需要指定一个日志目录，snort就会自动记录数据包：

snort-dev-l../log

其中./log目录必须存在，否则snort就会报告错误信息并退出。当snort在这种模式

数据链路层、Tcp/IP报头及应用层信息写入当前目录log(log目录已建立)目录下的

snort.log.1638321536文件中，而且这是二进制文件。为什么不直接记录成方便阅读的

ASCII格式呢？因为系统本生记录的格式就是二进制的，如果再转换成我们能识别的ASCII

格式无疑会加重系统负荷，所以Snort在做IDS使用时理应采用二进制格式记录。

3

记录的日志文件如下

如果想查看二进制日志文件snort.log.1638321536，就得使用“r”参数

snort–dv-r../log/snort.log.1638321536

4

4.测试Snort作为网络入侵检测系统的功能

snort–i5-dev–c../etc/snort.conf–l../log/

其中snort.conf是规则集文件。snort会对每个包和规则集进行匹配，发现这样的包就

采取相应的行动。最好不要使用-v选项。因为使用这个选项，使snort向屏幕上输出一

些信息，会大大降低snort的处理速度，从而在向显示器输出的过程中丢弃一些包。此

外，在绝大多数情况下，也没有必要记录数据链路层的包头，所以-e选项也可以不用

这里-i5表示系统里面的第5块网卡，我最开始已经查看过我电脑里无线网卡的编号

为5。

snort有6种报警机制：full、fast、socket、syslog、smb(winpopup)和none。其

中有4个可以在命令行状态下使用-A选项设置。这4个是：

-Afast：报警信息包括：一个时间戳(timestamp)、报警消息、源/目的IP地址和

端口。

-Afull：是默认的报警模式。

-Aunsock：把报警发送到一个UNIX套接字，需要有一个程序进行监听，这样可以

实现实时报警。