入侵檢測實驗報告

　 一 實驗環境搭建 1

　安裝 winpcap 按向導提示完成即可 （有時會提示重啟計算機。）使網卡處于混雜模式，能夠抓取數據包。

　2 安裝snort 采用默認安裝完成即可 安裝完成使用下列命令行驗證是否成功 C:\Snort\bin>snort.exe -W （也可以看到所有網卡的 Interface 列表）

　看到那個狂奔的小豬了嗎？看到了，就表示snort安裝成功。

　3 安裝和設置 mysql 設置數據庫實例流程：

　 建立 snort 運行必須的 snort 庫和 snort_archive 庫 C:\Program Files\MySQL\MySQL Server 5.0\bin>mysql -u root -p Enter password: （你安裝時設定的密碼，這里使用mysql這個密碼）

　mysql>create database snort; mysql>create database snort_archive; 使用C:\Snort\schemas目錄下的create_mysql 腳本建立Snort 運行必須的數據表 c:\mysql\bin\mysql -D snort -u root -p < c:\snort\schemas\create_mysql c:\mysql\bin\mysql -D snort_archive -u root -p <c:\snort\schemas\create_mysql 附：使用mysql -D snort -u root –p命令進入snort數據庫后，使用show tables命令可以查看已創建的表。

　建立acid 和snort 用戶,在root用戶下建立 mysql> grant usage on *.* to "acid"@"localhost" identified by "acidtest"; mysql> grant usage on *.* to "snort"@"localhost" identified by "snorttest"; 為acid 用戶和snort 用戶分配相關權限 mysql> grant select,insert,update,delete,create,alter on snort .* to"snort"@"localhost"; mysql> grant select,insert,update,delete,create,alter on snort .* to"acid"@"localhost"; mysql> grant select,insert,update,delete,create,alter on snort_archive .*to "acid"@"localhost"; mysql> grant select,insert,update,delete,create,alter on snort_archive .*to "snort"@"localhost"; 4 測試 snort 啟動 snor t c:\snort\bin>snort -c "c:\snort\etc\snort.conf" -l "c:\snort\logs" -i 2 -d 5 安裝虛擬機 安裝成功如下

　 設置虛擬機內 IP 為 192.168.10.3 主機 IP 為 192.168.10.2 Ping 通表示虛擬機和主機能夠正常通信。

　二 配置病毒 以任我行病毒為例打開 netsys

　 輸入虛擬機 IP 配置服務端，生成服務端后放置到虛擬機中，運行服務端。

　通過即可客戶端控制虛擬機。

　三 通過 wireshark 抓包分析特征

　 通過分析每一條宿主機與虛擬機的包特征編制規則。

　四 將特征寫入規則文件

　五 運行 snort 將信息寫入數據庫

　 可以看到已經將病毒的信息寫到了數據庫中了。

　六 總結 通過入侵檢測實驗，讓自己的動手能力有了提高。也對入侵檢測有了新的認識，對于，數據庫的使用，主機與虛擬機的直接的通信，病毒抓包，病毒特征分析，snort 的特點和應用，有了基本的掌握，對簡單入侵檢測的流程有了基本的了解，對一些常用的入侵檢測軟件能夠比較熟練的運用，也發現了自己基礎知識的薄弱，和動手能力的欠缺，對自己的能力有了更清晰的認識。

推薦訪問： 入侵 檢測 實驗