Windows下Snort的配置

<?xml:namespace prefix = o />

 

eqmcc@BMY

<?xml:namespace prefix = st1 />2006-12-3

 

 

Windows下Snort的配置................................................................................................... 1

前言：...................................................................................................................... 1

软件准备(红色为这次实验使用的软件，其它是可选组件)：....................................... 1

安装软件：............................................................................................................... 2

配置：...................................................................................................................... 5

测试：.................................................................................................................... 14

结语........................................................................................................................ 15

附录........................................................................................................................ 15

 

 

 

 

 

 

 

 

 

 

 

 

前言：

Snort 是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP 网络数据包的能力，能够进行协议分析，对内容进行搜索/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。Snort 可以运行在*nix/Win32 平台上。

软件准备(红色为这次实验使用的软件，其它是可选组件)：

1. 操作系统：WindowsXP

2. acid  http://www.cert.org/kb/acid

基于php 的入侵检测数据库分析控制台

3. adodb.zip  http://php.weblogs.com/adodb

ADOdb（Active Data Objects Data Base）库for PHP

4. apache  http://www.apache.org

Windows 版本的Apache Web 服务器

5. jpgraph  http://www.aditus.nu/jpgraph

OO 图形库for PHP

6. mysql  http://www.mysql.com

Windows 版本的Mysql 数据库服务器

7. php  http://www.php.net

Windows 版本的php 脚本环境支持

8. Snort_2_4_5_Installer.exe

http://www.snort.org/dl/binaries/win32/old/Snort_2_4_5_Installer.exe

Windows 版本的Snort 安装包

9. WinPcap_3_1.exe http://winpcap.polito.it/

网络数据包截取驱动程序

10. idscenter11rc4.zip

http://www.snort.org/dl/contrib/front_ends/ids_center/idscenter11rc4.zip

   配置和运行Snort的图形界面

11. phpmyadmin  http://www.phpmyadmin.net

基于php 的Mysql 数据库管理程序

安装软件：

一、安装WinPcap_3_1

<?xml:namespace prefix = v />

二、安装Snort_2_4_5

三、安装idscenter11rc4.zip

装完之后，右下角会出现这样一个图表 ，表示安装完毕但是没有运行，右击会出现如下菜单

配置：

选择最上面的 菜单，出现如下界面：

在General－>Configuration里面配置如下：

在General－>Snort options里面配置如下：

在Wizards－>Output plugin里面设置如下：

点击Add：

在Wizards－>Rules里面设置如下：

选中

点击下面的 之后如下：

然后在c:/Snort/rules下面建立文件local.rules，之后选择该文件加入规则集：

然后双击该规则集：

点击左下角的 ，配置如下：

点击左下角的

再加入如下一条规则

这两条规则实现对202.117.15.143到202.117.35.70的ftp服务器的20和21端口数据包的监听

local.rules里面内容如下：

alert tcp 202.117.15.143 any -> 202.117.35.70 21 (msg:"tcp_rule_CMD_PORT"; sid: 100001; rev: 5;)

alert tcp 202.117.15.143 any -> 202.117.35.70 20 (msg:"tcp_rule_DATA_PORT"; sid: 100001; rev: 5;)

 

下面在Logs－>Options配置：

在下面的 填入你机器上网卡的编号

通过命令C:/Snort/bin>snort.exe -v -i 4可以探测出，从1开始，如果在某个编号下看到右很多数据包被截获，则该编号就是可用网卡的编号，填入：

然后在Alerts－>Alert detection配置如下

点击

 

在所有都配置完毕后点击右上角的 检查配置

查看General－>Overview

如果 里面没有错误出现，则配置可以了

表示实际执行的命令

测试：

点击左上角的 运行snort

    然后启动命令行连接202.117.35.70的ftp服务器

在监测时右下角的图表如下

然后点击左上角的 或者中间的 查看截获的信息

里面的内容见附录

同时这些内容也会出现在C:/Snort/log/ alert.ids文件里面

结语

加以其它辅助工具，还可以实现将记录的警告数据放入数据库，利用相关软件进行分析，根据分析的结果自动生成和调整规则集，并给出更为直观和图表化的结果。

附录

[**] [1:100001:5] tcp_rule_CMD_PORT [**]

[Priority: 0]

12/03-19:30:46.063214 202.117.15.143:2080 -> 202.117.35.70:21

TCP TTL:64 TOS:0x0 ID:63287 IpLen:20 DgmLen:64 DF

******S* Seq: 0x82212B  Ack: 0x0  Win: 0xFFFF  TcpLen: 44

TCP Options (9) => MSS: 1460 NOP WS: 3 NOP NOP TS: 0 0 NOP NOP

TCP Options => SackOK

 

[**] [1:100001:5] tcp_rule_CMD_PORT [**]

[Priority: 0]

12/03-19:30:46.065279 202.117.15.143:2080 -> 202.117.35.70:21

TCP TTL:64 TOS:0x0 ID:63322 IpLen:20 DgmLen:40 DF

***A**** Seq: 0x82212C  Ack: 0x18AC8769  Win: 0xB5C9  TcpLen: 20

 

[**] [1:100001:5] tcp_rule_CMD_PORT [**]

[Priority: 0]

12/03-19:30:46.189060 202.117.15.143:2080 -> 202.117.35.70:21

TCP TTL:64 TOS:0x0 ID:63324 IpLen:20 DgmLen:40 DF

***A**** Seq: 0x82212C  Ack: 0x18AC877D  Win: 0xB5C7  TcpLen: 20

 

[**] [1:100001:5] tcp_rule_CMD_PORT [**]

[Priority: 0]

12/03-19:30:50.114976 202.117.15.143:2080 -> 202.117.35.70:21

TCP TTL:64 TOS:0x0 ID:63351 IpLen:20 DgmLen:52 DF

***AP*** Seq: 0x82212C  Ack: 0x18AC877D  Win: 0xB5C7  TcpLen: 20

 

[**] [1:100001:5] tcp_rule_CMD_PORT [**]

[Priority: 0]

12/03-19:30:50.302180 202.117.15.143:2080 -> 202.117.35.70:21

TCP TTL:64 TOS:0x0 ID:63354 IpLen:20 DgmLen:40 DF

***A**** Seq: 0x822138  Ack: 0x18AC879F  Win: 0xB5C2  TcpLen: 20

 

[**] [1:100001:5] tcp_rule_CMD_PORT [**]

[Priority: 0]

12/03-19:30:55.383869 202.117.15.143:2080 -> 202.117.35.70:21

TCP TTL:64 TOS:0x0 ID:63386 IpLen:20 DgmLen:58 DF

***AP*** Seq: 0x822138  Ack: 0x18AC879F  Win: 0xB5C2  TcpLen: 20

 

[**] [1:100001:5] tcp_rule_CMD_PORT [**]

[Priority: 0]

12/03-19:30:55.719448 202.117.15.143:2080 -> 202.117.35.70:21

TCP TTL:64 TOS:0x0 ID:63390 IpLen:20 DgmLen:40 DF

***A**** Seq: 0x82214A  Ack: 0x18AC87C0  Win: 0xB5BE  TcpLen: 20

 

[**] [1:100001:5] tcp_rule_CMD_PORT [**]

[Priority: 0]

12/03-19:30:58.449921 202.117.15.143:2080 -> 202.117.35.70:21

TCP TTL:64 TOS:0x0 ID:63403 IpLen:20 DgmLen:66 DF

***AP*** Seq: 0x82214A  Ack: 0x18AC87C0  Win: 0xB5BE  TcpLen: 20

 

[**] [1:100001:5] tcp_rule_CMD_PORT [**]

[Priority: 0]

12/03-19:30:58.453092 202.117.15.143:2080 -> 202.117.35.70:21

TCP TTL:64 TOS:0x0 ID:63405 IpLen:20 DgmLen:46 DF

***AP*** Seq: 0x822164  Ack: 0x18AC87F3  Win: 0xB5B8  TcpLen: 20

 

[**] [1:100001:5] tcp_rule_DATA_PORT [**]

[Priority: 0]

12/03-19:30:58.454933 202.117.15.143:2082 -> 202.117.35.70:20

TCP TTL:64 TOS:0x0 ID:63406 IpLen:20 DgmLen:64 DF

***A**S* Seq: 0x6D8ACD9D  Ack: 0x19638596  Win: 0xFFFF  TcpLen: 44

TCP Options (9) => MSS: 1460 NOP WS: 3 NOP NOP TS: 0 0 NOP NOP

TCP Options => SackOK

 

[**] [1:100001:5] tcp_rule_CMD_PORT [**]

[Priority: 0]

12/03-19:30:58.458818 202.117.15.143:2080 -> 202.117.35.70:21

TCP TTL:64 TOS:0x0 ID:63407 IpLen:20 DgmLen:40 DF

***A**** Seq: 0x82216A  Ack: 0x18AC8832  Win: 0xB5B0  TcpLen: 20

 

[**] [1:100001:5] tcp_rule_DATA_PORT [**]

[Priority: 0]

12/03-19:30:58.458841 202.117.15.143:2082 -> 202.117.35.70:20

TCP TTL:64 TOS:0x0 ID:63408 IpLen:20 DgmLen:52 DF

***A**** Seq: 0x6D8ACD9E  Ack: 0x19638877  Win: 0xB56D  TcpLen: 32

TCP Options (3) => NOP NOP TS: 1863612 78446301

 

[**] [1:100001:5] tcp_rule_DATA_PORT [**]

[Priority: 0]

12/03-19:30:58.538235 202.117.15.143:2082 -> 202.117.35.70:20

TCP TTL:64 TOS:0x0 ID:63410 IpLen:20 DgmLen:52 DF

***A***F Seq: 0x6D8ACD9E  Ack: 0x19638877  Win: 0xB56D  TcpLen: 32

TCP Options (3) => NOP NOP TS: 1863613 78446301

 

[**] [1:100001:5] tcp_rule_CMD_PORT [**]

[Priority: 0]

12/03-19:31:02.686456 202.117.15.143:2080 -> 202.117.35.70:21

TCP TTL:64 TOS:0x0 ID:63448 IpLen:20 DgmLen:50 DF

***AP*** Seq: 0x82216A  Ack: 0x18AC8832  Win: 0xB5B0  TcpLen: 20

 

[**] [1:100001:5] tcp_rule_CMD_PORT [**]

[Priority: 0]

12/03-19:31:02.842190 202.117.15.143:2080 -> 202.117.35.70:21

TCP TTL:64 TOS:0x0 ID:63453 IpLen:20 DgmLen:40 DF

***A**** Seq: 0x822174  Ack: 0x18AC8853  Win: 0xB5AC  TcpLen: 20

 

[**] [1:100001:5] tcp_rule_CMD_PORT [**]

[Priority: 0]

12/03-19:31:05.260218 202.117.15.143:2080 -> 202.117.35.70:21

TCP TTL:64 TOS:0x0 ID:63488 IpLen:20 DgmLen:66 DF

***AP*** Seq: 0x822174  Ack: 0x18AC8853  Win: 0xB5AC  TcpLen: 20

 

[**] [1:100001:5] tcp_rule_CMD_PORT [**]

[Priority: 0]

12/03-19:31:05.265287 202.117.15.143:2080 -> 202.117.35.70:21

TCP TTL:64 TOS:0x0 ID:63490 IpLen:20 DgmLen:46 DF

***AP*** Seq: 0x82218E  Ack: 0x18AC8886  Win: 0xB5A5  TcpLen: 20

 

[**] [1:100001:5] tcp_rule_DATA_PORT [**]

[Priority: 0]

12/03-19:31:05.267161 202.117.15.143:2085 -> 202.117.35.70:20

TCP TTL:64 TOS:0x0 ID:63491 IpLen:20 DgmLen:64 DF

***A**S* Seq: 0x871DAE5D  Ack: 0x19D69993  Win: 0xFFFF  TcpLen: 44

TCP Options (9) => MSS: 1460 NOP WS: 3 NOP NOP TS: 0 0 NOP NOP

TCP Options => SackOK

 

[**] [1:100001:5] tcp_rule_CMD_PORT [**]

[Priority: 0]

12/03-19:31:05.268895 202.117.15.143:2080 -> 202.117.35.70:21

TCP TTL:64 TOS:0x0 ID:63492 IpLen:20 DgmLen:40 DF

***A**** Seq: 0x822194  Ack: 0x18AC88C5  Win: 0xB59E  TcpLen: 20

 

[**] [1:100001:5] tcp_rule_DATA_PORT [**]

[Priority: 0]

12/03-19:31:05.268916 202.117.15.143:2085 -> 202.117.35.70:20

TCP TTL:64 TOS:0x0 ID:63493 IpLen:20 DgmLen:52 DF

***A**** Seq: 0x871DAE5E  Ack: 0x19D69C74  Win: 0xB56D  TcpLen: 32

TCP Options (3) => NOP NOP TS: 1863680 78446982

 

[**] [1:100001:5] tcp_rule_DATA_PORT [**]

[Priority: 0]

12/03-19:31:05.373628 202.117.15.143:2085 -> 202.117.35.70:20

TCP TTL:64 TOS:0x0 ID:63497 IpLen:20 DgmLen:52 DF

***A***F Seq: 0x871DAE5E  Ack: 0x19D69C74  Win: 0xB56D  TcpLen: 32

TCP Options (3) => NOP NOP TS: 1863681 78446982

 

[**] [1:100001:5] tcp_rule_CMD_PORT [**]

[Priority: 0]

12/03-19:31:10.627192 202.117.15.143:2080 -> 202.117.35.70:21

TCP TTL:64 TOS:0x0 ID:63560 IpLen:20 DgmLen:46 DF

***AP*** Seq: 0x822194  Ack: 0x18AC88C5  Win: 0xB59E  TcpLen: 20

 

[**] [1:100001:5] tcp_rule_CMD_PORT [**]

[Priority: 0]

12/03-19:31:10.631880 202.117.15.143:2080 -> 202.117.35.70:21

TCP TTL:64 TOS:0x0 ID:63561 IpLen:20 DgmLen:40 DF

***A**** Seq: 0x82219A  Ack: 0x18AC88D4  Win: 0xB59C  TcpLen: 20

 

[**] [1:100001:5] tcp_rule_CMD_PORT [**]

[Priority: 0]

12/03-19:31:10.636711 202.117.15.143:2080 -> 202.117.35.70:21

TCP TTL:64 TOS:0x0 ID:63563 IpLen:20 DgmLen:40 DF

***A***F Seq: 0x82219A  Ack: 0x18AC88D4  Win: 0xB59C  TcpLen: 20