太原理工大学学生实验报告 学院名称 计算机技术与应用学院 专业班级 计算机双学位0901 学号 07101237 学生姓名 张 炫 实验日期 2010/12/4 成绩 课程名称 网络安全技术与应用 实验题目 实验四 网络入侵检测系统 一、网络入侵检测系统Snort软件 Snort配置 在使用snort 之前,需要根据保护网络环境和安全策略对snort 进行配置,主要包括网络变量、预处理器、输出插件及规则集的配置,位于etc 的snort 配置文件snort.conf可用任意文本编辑器打开。除内部网络环境变量HOME_NET 之外,在大多数情况下,可以使用snort.conf 的默认配置。 用文本编辑器打开Snort\etc\snort.conf 文件,在设置网络变量步骤(Step #1: Set the network variables:)注释下找到“var HOME_NET any”,将 any更换成自己机器所在子网的CIDR 地址。例如,假设本机IP地址为 192.168.6.123,将“var HOME_NET any” 更换成“var HOME_NET 192.168.6.0/24”或特定的本机地址“var HOME_NET 192.168.6.123/32”。 假设在C 盘根目录下执行Snort 命令,找到规则文件路径变量“var RULE_PATH ••rules”,将其修改为 var RULE_PATH C:\snort\rules;找到“include classification.config”,将 classification.config 文件的路径修改为 include C:\snort\etc\classification.config;找到“ include reference.config ” ,将 reference.config 文件的路 径 修 改 为 include C:\snort\etc\reference.config。 5. Snort命令格式与帮助 Snort 命令格式:C:\>snort\bin\snort [-Options] Snort 命令帮助:C:\> snort\bin\snort -? 特别注意:Snort 在Windows 操作系统下要求给出命令执行的完整路径。 6. Snort 主要命令参数选项 (1)-A alert:设置snort 快速(fast)、完全(full)、控制台(console )或无(none )报警模式,alert 取值 full、fast、console 或 none 其中之一。 -A fast:快速报警模式仅记录时间戳(timestamp)、报警信息(alert message)、源IP 地址、目标 IP 地址、源端口和目标端口; -A full:完全报警是 snort 默认的报警模式,记录分组或报文首部所有字段信息和报警信息; -A console:控制台报警模式将分组或报文首部和报警信息发送到控制台屏幕; -A none:关闭报警。 (2)-c snort.conf:使用 snort 配置文...
