实验目的与要求
- 了解snort与其基础环境的安装配置。
- 了解嗅探器模式
实验环境
CentOS6.5:192.168.1.2 PC 192.168.1.3
实验原理
嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。
Snort能够对网络上的数据包进行抓包分析,但区别于其它嗅探器的是,它能根据所定义的规则进行响应及处理。Snort 通过对获取的数据包,进行各规则的分析后,根据规则链,可采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警),Pass(忽略),Log(不报警但记录网络流量)五种响应的机制。
Snort有数据包嗅探,数据包分析,数据包检测,响应处理等多种功能,每个模块实现不同的功能,各模块都是用插件的方式和Snort相结合,功能扩展方便。
例如,预处理插件的功能就是在规则匹配误用检测之前运行,完成TIP碎片重组,http解码,telnet解码等功能,处理插件完成检查协议各字段,关闭连接,攻击响应等功能,输出插件将得理后的各种情况以日志或警告的方式输出。
实验内容
- 实现snort与其基础环境的安装配置。
- 实现嗅探器模式
实验步骤与结果
一、了解snort与其基础环境的安装配置。
1. 安装snort+barnyard2
1.1 进入/home/software目录,解压libpcap-1.0.0.tar.gz。
1.2 进入目录libpcap-1.0.0的目录执行“./configure”命令进行配置。
1.3 执行命令“make && make install”,进行libpcap的编译安装。
1.4 进入目录“/home/software”,ls查看文件,执行命令“tar zxvf daq-2.0.4.tar.gz”,解压daq-2.0.4.tar.gz文件。
1.5 使用cd命令切换到daq-2.0.4的目录下。
1.6 执行命令“./configure”对daq-2.0.4进行配置。
1.7 得到如下反馈信息说明,可以进行正确安装。
1.8 执行命令“make && make install”进行安装。
1.9 得到如下信息说明安装成功。
1.10 返回上级目录,解压snort-2.9.7.0。
1.11 并使用命令“cd snort-2.9.7.0”进入snort的目录, 执行命令“./configure”对snort-2.9.7.0进行配置。
1.12 进入snort-2.9.7.0目录。执行命令“make && make install”。
1.13 安装完成。
2、配置snort和barnyard2
2.1 依次执行以下命令。
2.2 编辑snort的配置文件,执行命令“vim /etc/snort/snort.conf”。修改路径变量
2.3 设置log目录,执行命令“vim /etc/snort/snort.conf”。
2.4 配置输出插件。
2.5 解压/home/software下的rules文件。
2.6 解压后,将文件sid-msg.map复制到/etc/snort目录下。
2.7 输入命令“snort -T -i eth0 -c /etc/snort/snort.conf”,进行测试。“-T参数为测试的意思,-i指定接口,-c 指定配置文件”。(如果提示失败缺少libsfbpf.so.0依赖,那么先执行命令“ldconfig”,然后再次执行snort的测试命令)。
2.8 得到返回“successful”字样说明,安装及配置成功。
二、了解嗅探器模式
1. 嗅探模式
1.1 打开192.168.1.2主机上的终端。输入命令“snort -v”,进行snort的启动。
1.2 启动snort会得到回显。会显示当前运行的模式。
1.3 初始化输出插件部分。
1.4 snort版本及版权信息。
1.5 数据包控制台的部分。
2.实例分析
2.1 登录客户机192.168.1.3,打开终端输入命令“ping 192.168.1.2 –c 5000”(若客户机为windows操作系统,在cmd下执行命令"ping 192.168.1.2 -t"即可)。
2.2 切换到192.168.1.2的主机,打开终端输入命令“snort -i eth0 -vde”命令。
2.3 截取完整数据包进行分析。
2.4 数据包中包含的信息有包捕获的时间。
2.5 源MAC地址及目的MAC地址。
2.6 数据帧所负载的上层协议类型为IP(0x800),总长度为(0x62)。
2.7 源IP地址为192.168.1.3,目的地址为192.168.1.2。
2.8 IP头中的TTL值是64,TOS值为0。IP长度为20,IP载荷是84字节。
2.9 包的传输协议为ICMP。
实验结论
通过此次实验,熟悉了基础环境的搭建和snort的安装配置以及snort的工作模式。
同时,也明白了二者的原理,嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上,而Snort能够对网络上的数据包进行抓包分析,它能根据所定义的规则进行响应及处理。
(by 归忆)