【正文】 示使用Verbose模式，把信息包打印在屏幕上；i2表示監(jiān)聽(tīng)第二個(gè)網(wǎng)卡。為了進(jìn)一步查看Snort的運(yùn)行狀況，可以認(rèn)為制造一些ICMP網(wǎng)絡(luò)流量。在局域網(wǎng)段中的另一臺(tái)主機(jī)（）上使用的Ping指令，探測(cè)運(yùn)行Snort的主機(jī)?；氐竭\(yùn)行Snort的主機(jī)（），發(fā)現(xiàn)Snort已經(jīng)記錄了這次探測(cè)的數(shù)據(jù)包。 （2）打開(kāi)D:\Snort\etc\，設(shè)置Snort的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)檢測(cè)范圍。 HOME_NEW any語(yǔ)句中的Any改為自己所在的子網(wǎng)地址，即將Snort檢測(cè)的內(nèi)部網(wǎng)絡(luò)設(shè)置為本機(jī)所在的局域網(wǎng)。 （3）配置網(wǎng)段內(nèi)提供網(wǎng)絡(luò)服務(wù)的IP地址，只需要把默認(rèn)的$ HOME_NET改成對(duì)應(yīng)主機(jī)地址即可： var DNS_SERVERS $ HOME_NETvar SMTP_SERVERS $ HOME_NETvar HTTP_SERVERS $ HOME_NETvar SQL_SERVERS $ HOME_NETvar TELNET_SERVERS $ HOME_NETvar SNMP_SERVERS $ HOME_NET如果不需要監(jiān)視某種類(lèi)型的服務(wù)，可以用號(hào)將上述語(yǔ)句其注釋掉。（4）修改設(shè)置檢測(cè)包含的規(guī)則。在配置文件末尾，定義了與規(guī)則相關(guān)的配置，格式如下：Include $ RULE_PATH/Include $ RULE_PATH/Include $ RULE_PATH/其中，變量 $ RULE_PATH指明了規(guī)則文件存放的路徑，可以在語(yǔ)句var RULE_PATH../rules中將變量RULE_PATH改為存放規(guī)則集的目錄，如D:\snort\，將其解壓存放到規(guī)則默認(rèn)路徑下。(5) ， ：Include D:\Snort\etc\Include D:\Snort\etc\其中。 Windows 平臺(tái)下Snort的使用。檢測(cè)Snort安裝是否成功時(shí)，用到的就是Snort嗅探器模式。輸入命令如下： Snort vi2使用Snort只將IP和TCP/UDP/ICMP的包頭信息輸出到屏幕上。如果要看到應(yīng)用層的數(shù)據(jù)，可以輸入如下命令： Snort vdi2如果需要輸出更詳細(xì)的信息，輸入命令：Snort vdei2可以顯示數(shù)據(jù)鏈路層的信息。上面的命令只是在屏幕上輸出，如果要記錄在LOG文件上，需要預(yù)先建立一個(gè)Log目錄。輸入下面的命令啟用數(shù)據(jù)包記錄器模式：snort dvei21d:\Snort\logh 其中，1選項(xiàng)指定了存放日志的文件夾；h指定目標(biāo)主機(jī)，這里檢測(cè)對(duì)象是局域網(wǎng)段內(nèi)的所有主機(jī)，如不指定h，則默認(rèn)檢測(cè)本機(jī)；K指定了記錄的格式，默認(rèn)是Tcpdump格式，此處使用ASCII碼。在命令行窗口運(yùn)行了該指令后，將打開(kāi)保存日志的目錄。在Log目錄下自動(dòng)生成了許多文件夾和文件，文件夾是以數(shù)據(jù)包目主機(jī)的IP地址命名的（如圖43所示），每個(gè)文件夾下記錄的日志就是和該外部主機(jī)相關(guān)的網(wǎng)絡(luò)流量。打開(kāi)其中任一個(gè)，使用記事本查看日志文件，會(huì)發(fā)現(xiàn)文件的內(nèi)容和嗅探器模式下的屏幕輸出類(lèi)似，如圖44所示。 圖43 Snort數(shù)據(jù)包記錄器模式記錄的日志。Snort最重要的用途還是昨晚基于誤用檢測(cè)技術(shù)的NIDS。輸入下面的命令啟動(dòng)IDS模式:snorti2dev1 ./logh :/Snort /etc/相比數(shù)據(jù)包記錄模式中使用的命令，該命令只增加了一個(gè)選項(xiàng)c，用于告訴Snort使用Snort。Conf中規(guī)則集文件。Snort會(huì)對(duì)每個(gè)包和規(guī)則集進(jìn)行匹配，如符合規(guī)則就采取規(guī)則所指定的動(dòng)作。下面將通過(guò)對(duì)運(yùn)行了Snort的目標(biāo)主機(jī)進(jìn)行有意攻擊，來(lái)觀察Snort檢測(cè)入侵的能力。受限，向目標(biāo)主機(jī)發(fā)送ICMP長(zhǎng)數(shù)據(jù)包來(lái)觀測(cè)Snort的反應(yīng)。 圖44 Snort數(shù)據(jù)包記錄器模式下日志內(nèi)容ICMP長(zhǎng)數(shù)據(jù)包是有潛在危險(xiǎn)的，一般會(huì)被視為入侵；然后，使用網(wǎng)絡(luò)端口掃描工具Nmap對(duì)目標(biāo)主機(jī)進(jìn)行掃描，觀察Snort的檢測(cè)情況。具體操作步驟如下： (1)在安裝好Snort的目標(biāo)主機(jī)命令行方式下，輸入上面的命令，使Snort工作在IDS模式。(2)在局域網(wǎng)的另一臺(tái)主機(jī)（）上向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包，輸入下面的命令：Ping 1 45678 (3)在目標(biāo)主機(jī)中打開(kāi)Log文件夾，此時(shí)可以發(fā)現(xiàn)Log的根目錄下自動(dòng)生成了一個(gè)名為Alert的文件。使用Notepad打開(kāi)該文件并觀察其內(nèi)容，如圖45所示。Snort警報(bào)中記錄了剛才發(fā)送的ICMP長(zhǎng)數(shù)據(jù)包，其中每條記錄包括警報(bào)的類(lèi)型和數(shù)據(jù)包的包頭。發(fā)送的ICMP長(zhǎng)數(shù)據(jù)包之所以出現(xiàn)在警報(bào)中，是因?yàn)樗奶卣骱蚐nort預(yù)先定義的規(guī)則相符。 圖45 Snort 記錄的ICMP報(bào)警(4)在Snort的安裝目錄下打開(kāi)Rules文件夾，可以發(fā)現(xiàn)和該攻擊對(duì)應(yīng)的規(guī)則如圖46所示，完整的內(nèi)容如下： 圖46 ICMP數(shù)據(jù)包對(duì)應(yīng)的檢測(cè)規(guī)則 alert icmp $ EXTERNA_NET any $ HOME_NET any (msg:ICMP Large ICMP Packet。dsize:800。 reference:arachnids,246。classtype:badunknown。 sid:499。 rev:4。)(5)執(zhí)行端口掃描的檢測(cè)。把Snort。Conf文件中相應(yīng)端口配置部分的內(nèi)容修改為如圖47所示的值。其中，proto指定了需要檢測(cè)的協(xié)議類(lèi)型，包括TCP、UDP、ICMP和IP，all表示檢測(cè)所有的協(xié)議；sense_level指定檢測(cè)的靈敏度，靈敏度高可以增加檢測(cè)率，但有可能會(huì)同時(shí)增加誤報(bào)率，Snort的默認(rèn)選項(xiàng)是low；logfile指定檢測(cè)結(jié)果的輸出文件名，該文件將創(chuàng)建在log目錄下。 圖47配置Snort端口掃描選項(xiàng) (6)，對(duì)目標(biāo)主機(jī)（）進(jìn)行SYN掃描，在命令行方式下輸入如下命令：nmap sS (7)在目標(biāo)主機(jī)上查看記錄端口掃描檢測(cè)結(jié)果的文件Portscan，如圖48所示?？梢钥闯?，Snort準(zhǔn)確地識(shí)別并分析記錄了端口掃描攻擊相關(guān)的信息，掃描的范圍從21號(hào)端口到38037號(hào)端口，攻擊者掃描到2個(gè)開(kāi)放的端口：，而是Snort的端口掃描模塊對(duì)數(shù)據(jù)包和其他特性綜合分析的結(jié)果，如在單位時(shí)間內(nèi)來(lái)自同一IP的警報(bào)信息或TCP數(shù)據(jù)包的統(tǒng)計(jì)特征等。 圖 48 Snort 端口掃描檢測(cè)結(jié)果 (8)打開(kāi)Alarm文件。如圖49所示，發(fā)現(xiàn)Alarm文件里增加了與端口掃描相關(guān)的警告。Alarm文件中記錄的是單個(gè)數(shù)據(jù)包和規(guī)則匹配的結(jié)果。 如圖 49 Snort對(duì)端口掃描攻擊的警報(bào) (9)在Rules文件夾中打開(kāi)檢測(cè)端口掃描的規(guī)則集，可以找到與端口掃描警報(bào)相對(duì)應(yīng)的規(guī)則。 alert tcp $ EXTERNAL_NET any $ HOME_NET any (msg:SCAN XMAS。 flow: stateless。 flags：SRAFPU,12。 reference: arachnids,144。 classtype: attemptedrecon。 sid: 625。rev:7。)總結(jié) 總之，網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問(wèn)題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問(wèn)題，而不是萬(wàn)能的。為此建立有中國(guó)特色的網(wǎng)絡(luò)安全體系，需要國(guó)家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開(kāi)發(fā)。安全與反安全就像矛盾的兩個(gè)方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來(lái)也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。第24頁(yè)（共23頁(yè)）參考文獻(xiàn)[1] 崔寶江．信息安全實(shí)驗(yàn)指導(dǎo)．北京：國(guó)防工業(yè)出版社，2005[2] 蔡紅柳，何新華，信息安全技術(shù)及應(yīng)用實(shí)驗(yàn)．北京：科學(xué)出版社，2004[3] 荊繼武，信息安全技術(shù)教程. 北京：中國(guó)人民公安大學(xué)出版社， 2007 年 [4]龐南，信息安全管理教程. 北京：中國(guó)人民公安大學(xué)出版社， 2007 年 [5] 楊永川，： 中國(guó)人民公安大學(xué)出版社， 2007 年 [6] 李冬靜，信息對(duì)抗. 北京： 中國(guó)人民公安大學(xué)出版社， 2007 年 [7]蔣平，電子數(shù)據(jù). 北京： 中國(guó)人民公安大學(xué)出版社， 2007 年 [8]閆強(qiáng)，：機(jī)械工業(yè)出版社， 2007 年 [9]石淑華，計(jì)算機(jī)網(wǎng)絡(luò)安全. 北京：人民郵電出版社， 2005 年[10]邵波，計(jì)算機(jī)安全技術(shù)及應(yīng)用. 北京：電子工業(yè)出版社， 2005 年 [11]石志國(guó)，：清華大學(xué)出版社， 2007 年 [12]信息對(duì)抗與網(wǎng)絡(luò)安全賀雪晨編著，清華大學(xué)出版社， 2006 年 [13]朱建軍，：人民郵電出版社， 2007 年 [14]閆宏生，：電子工業(yè)出版社， 2007 年