免费域名x网站,建设门户网站的申请,合肥建设工程市场价格信息,中国建筑人才网简介一、实验目的要求#xff1a;
二、实验设备与环境#xff1a;
三、实验原理#xff1a;
四、实验步骤#xff1a;
五、实验现象、结果记录及整理#xff1a;
六、分析讨论与思考题解答#xff1a;
七、实验截图#xff1a; 一、实验目的要求#xff1a;
1、掌握…一、实验目的要求
二、实验设备与环境
三、实验原理
四、实验步骤
五、实验现象、结果记录及整理
六、分析讨论与思考题解答
七、实验截图 一、实验目的要求
1、掌握Snort的安装配置方法。
2、掌握Snort规则定义方法。
3、掌握使用Snort分析网络状态的方法。
4、具体内容
1学习Snort工作原理。
2配置Snort规则文件。
3使用Snort检测网络入侵事件。 二、实验设备与环境 三、实验原理
1、入侵检测系统的概述、作用、原理
针对计算机和网络资源的恶意使用行为进行分析、处理是一种基于检测计算机中违反安全策略行为的技术主要是保障计算机系统的安全检测未授权、异常行为。
根据入侵的分类可分为外部入侵和内部入侵依据入侵的方向进行入侵检测即分为基于网络和基于文件系统变化。
其中基于网络的入侵检测系统的组件有数据捕获器、数据处理器、响应器、数据库。
流程如图1所示 本次实验是基于网络的入侵检测系统。
2、Snort工具的作用 是一款开源的、基于本地检测规则的网络入侵检测软件。主要功能如下包嗅探检测、包记录存储、入侵检测 工作过程1先从网卡捕获网络上的数据包2将数据包进行解码并填入链路层协议的包结构体3预处理器对数据包进行检查4通过检测引擎对数据包进行处理。如图2所示。 Snort命令格式Snort [-a|-e|s|e|t] [options] 3、Snort规则 从逻辑角度来划分Snort规则规则头规则选项 规则头规则动作、协议类型、地址、端口号、方向操作符 规则选项例如msg、flags、sid、rev、classtype等。 四、实验步骤
一环境配置
1、检测环境登录主机1执行命令sudo snort -V查看是否安装成功
2、配置修改
①执行命令sudo vi /etc/snort/snort.confsnort.conf文件包含一个snort配置样例分为五个步骤。设置网络变量、配置动态加载库、配置预处理器、配置输出插件、增加任意的运行时配置向导、自定义规则集修改属性值。
var RULE_PATH /etc/snort/rules配置rules文件路径
var SO_RULE_PATH /etc/snort/so_rules配置so_rules路径
var PREPROC_RULE_PATH /etc/snort/preproc rules实验性规则
②修改ipvar HOME_NET值即本机所在的网段
ipvar HOME_NET 30.0.1.0/24 ③修改output unified2的值设置snort.unified2格式的数据集。统一输出文件文件名为snort.log限制128mpls事件类型vlan事件类型
output unified2: filename snort.log, limit 128, mpls_event_types, vlan_event_types
④重启Snort执行sudo service snort restart命令
3、配置Snort的检测规则
① 删除之前的日志文件执行命令 sudo rm /var/log/snort/snort.log。为新规则做好环境准备。
② 本地规则文件添加内容任何发往本机的ICMP和HTTP数据包都会触发Snort告警其中/etc/snort/rules是用于存放规则文件的路径Snort就是根据诸多的规则文件给用户提供预警和提示的。执行sudo vi /etc/snort/rules/local.rules命令
alert icmp any any - $HOME_NET any (msg:“ICMP Test NOW!!!”; classtype:not-suspicious; sid:1000001;rev:1;)
alert tcp any any - $HOME_NET 80 (msg:“HTTP Test NOW!!!”; classtype:not-suspicious; sid:1000002;rev:1;)
③ 清除规则执行sudo vi /etc/snort/snort.conf命令把除了local.rules之外的规则全部注释掉把local.rules之后的include语句注释掉
④ 检测是否配置成功执行sudo snort -T -c /etc/snort/snort.conf命令如图2所示
二使用Snort进行入侵分析
1、信息查看执行ifconfig命令查看主机网卡信息
eth0即为本机的网卡如果有多个网卡便会显示eth1、eth2…等网卡信息。
2、监控入侵执行sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0命令
3、开始执行登录主机2Ping主机1ping 30.0.1.4
4、查看数据包信息进入终端查看
5、浏览器交互用主机2通过浏览器的方式访问主机1。在浏览器中输入http://30.0.1.4
6、返回终端窗口对检测的数据进行查看 五、实验现象、结果记录及整理
1、在环境检测中已经成功安装snort工具
2、在环境配置修改中有很多配置文件可修改可根据用户所需进行修改如常规的路径设置、网络变量、加载库等
3、在配置检测规则中可根据用户所需根据实际的情况进行规则的设置本实验设置的是ICMP、HTTP数据包
4、在实验实际运行时发现通过snort工具成功检测到了数据包的信息。 六、分析讨论与思考题解答
1、入侵检测的检测引擎就是通过对规则选项的分析构成了Snort 检测引擎的核心。选项主要可以分为哪些
①第一类是数据包相关各种特征的描述选项比如content、flags、dsize、ttl等
②第二类是规则本身相关一些说明选项比如reference、sid、classtype、priority等
③第三类是规则匹配后的动作选项比如msg、resp、react、session、logto、tag等
④第四类是选项是对某些选项的修饰比如从属于content的nocase、offset、depth、regex等
2、配置snort.conf中可通过哪些方式设置本地网络
①清晰指定你的本地网络
var HOME_NET 192.168.1.0/24如果希望构建的Snort支持IPV6支持则这里定义网段的类型修改为pvar
②使用全局变量var HOME_NET $eth0_ADDRESS
③定义一个地址列表中间用逗号隔开var HOME_NET [10.1.1.0/24,192.168.1.0/24] 列表中不能有空格
④定义任意的IP地址var HOME_NET any
3、免费企业网络入侵检测工具还有哪些
①OSSEC HIDS基于主机的开源入侵检测系统
②Fragroute/Fragrouter能够逃避网络入侵检测的工具箱
③BASE基本的分析和安全引擎是基于PHP的分析引擎
④Sguil网络安全专家监视网络活动的控制台工具。 七、实验截图
