教学环境中snort 入侵检测系统的部署

2015-01-23□张峰

产业与科技论坛 2015年19期

□张峰

一、Snort 简介

Snort 是一个免费的IDS(入侵检测系统)软件，它的一些源代码是从著名的tcpdump 软件发展而来的。它是一个给予libpcap 包的网络监控软件，可以作为一个十分有效的网络入侵检测系统。Snort 是一个轻量级的入侵检测系统，它具有截取网络数据报文，进行网络数据实时分析、报警，以及日志的能力。Snort 的报文截取代码是给予libpcap 库的，继承了libpcap 库的平台兼容性。简单说，Snort 是数据包的嗅探器，也是数据包记录器，还是NIDS。提供数据包嗅探和记录功能只是Snort 的部分功能，Snort 的特点就是其入侵检测功能——根据入侵规则匹配数据包中的内容。

二、工作原理

Snort 首先根据远端的IP 地址建立目录，然后将检测到的包以tcpdump 的二进制格式记录或者以自身的解码形式存储到这些目录中个，这样一来，就可以使用snort 来检测或者过滤所需要的包。Snort 可提供协议分析、内容查找和匹配，可以用来检测各种攻击和探测，如缓冲区溢出、隐蔽端口扫描、CGI 攻击、SMB 探测、操作系统指纹识别尝试等，其中的包嗅探、数据包记录和入侵检测是其重要功能。Snort 的结构决定了它的各种功能，构架图如图1 所示。而Snort 架构由以下4 个基本模块构成:嗅探器、预处理器、检测引擎和输出模块。

图1 snort 架构图

三、实验环境搭建

实验中测试环境图2 所示。入侵检测系统测试环境由Snort 传感器、Snort 服务器、分析控制台组成，其中终端计算机采用Windows XP 操作系统，实验中所需软件包括Snort、Mysql、WinPcap、ACID、adodb、Apache、PHP 等，这些软件都是开源的，因此，在实验过程中可以完整体现Snort 入侵检测系统的功能。

图2 入侵检测环境实验拓扑

(一)安装Snort 以及winpcap。入侵检测系统采用Winpcap 对网络数据包进行捕获，安装在c:/ids/wincap 目录下，过程简单，且无需进行配置。Snort 安装到c:/ids/snort 目录下，cmd 命令行利用snort —W 命令测试，如出现小猪形状，则证明snort 安装成功。并下载snort 规则文件覆盖snort 相应原文件，修改snort 配置文件snort.conf。

(二)安装Apache 服务器及其组件php、adodb。在实验环境中选择一台性能较好的终端，在其上安装Apache 服务器。入侵检测系统选择Apache 与PHP 搭建Web 平台，将安装目录设置为c:/ids/apache，需要注意的是，安装Apache 需要开启80，如果以前已经安装过IIS，会出现冲突情况，务必更改端口或者停止IIS 服务。为保证图形化界面，进一步PHP 和Adodb，并对apache 配置文件httpd.conf 进行修改，增加php 模块，对PHP 配置文件进行相应修改，使得Apache 能够支持PHP，PHP 能够支持Mysql。在apache 网页目录下编写php 脚本，http://localhost/a.php 测试apache 是否支持php。Adodb 是用于PHP 的数据库连接插件，无需安装，直接复制即可。

(三)安装Mysql。Mysql 数据库是为了记录警告信息数据，便于进行分析并对入侵检测信息进行相应调整。将Mysql 安装在c:/ids/Mysql 下，记录mysql 登录密码，便于以后使用。在cmd 命令行下建立snort 数据库、snort_archive 数据库，并使用数据库和snort 安装目录下的create_mysql 脚本。图形组件jpgraph 安装过程较为简单，把jpgraph 复制到php 目录下即可。

(四)安装分析控制台acid。将acid 复制到在apache 目录下，并对acid.conf 进行修改，例如alert_dbname、alert_host、alert_user、alert_password 等修改为与mysql 中创建的数据库一致。ChartLib_path 更改为jpgraph 下的src 等。