没有合适的资源?快使用搜索试试~ 我知道了~
11-2019050385-李媛-SNORT入侵检测系统1
需积分: 0 0 下载量 108 浏览量
2022-08-08
20:14:30
上传
评论
收藏 1.03MB DOCX 举报
温馨提示
试读
11页
(2)预处理模块——该模块用相应的插件来检查原始数据包,从中发现原始数据的“行为”,如端口扫描,IP碎片等,数据包经过预处理后才传到检测引擎 (3)检测模块——
资源详情
资源评论
资源推荐
暨南大学本科实验报告专用纸
课程名称 网络安全实验 成绩评定
实验项目名称 SNORT 入侵检测系统 指导教师 潘冰
实验项目编号 11 实验项目类型 实验地点信息安全实验室
学生姓名 李媛 学号 2019050385
学院 智能科学与工程学院 系 专业 2019 信息安全
实验时间 2022 年 5 月 10 日 上午~ 5 月 7 日 上午 温度℃湿度
(一)实验目的
一.snort IDS 概述
snort IDS(入侵检测系统)是一个强大的网络入侵检测系统。它具有实时数据流量分析
和记录 IP 网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索/匹配。它能
够检测各种不同的攻击方式,对攻击进行实时报警。此外,snort 是开源的入侵检测系统,
并具有很好的扩展性和可移植性。
二.snort IDS 体系结构
snort 的结构由 4 大软件模块组成,它们分别是:
(1)数据包嗅探模块——负责监听网络数据包,对网络进行分析;
(2)预处理模块——该模块用相应的插件来检查原始数据包,从中发现原始数据的“行
为”,如端口扫描,IP 碎片等,数据包经过预处理后才传到检测引擎;
(3)检测模块——该模块是 snort 的核心模块。当数据包从预处理器送过来后,检测引擎
依据预先设置的规则检查数据包,一旦发现数据包中的内容和某条规则相匹配,就通知报警
模块;
(4)报警/日志模块——经检测引擎检查后的 snort 数据需要以某种方式输出。如果检测引
擎中的某条规则被匹配,则会触发一条报警,这条报警信息会通过网络、UNIX socket、
Windows Popup(SMB)、SNMP 协议的 trap 命令传送给日志文件,甚至可以将报警传送给第三
方插件(如 SnortSam),另外报警信息也可以记入 SQL 数据库。
三.snort 三种工作方式
snort 拥有三大基本功能:嗅探器、数据包记录器和入侵检测。嗅探器模式仅从网络上
读取数据包并作为连续不断的流显示在终端上,常用命令 snort -dev。数据包记录器模式是
把数据包记录到硬盘上,常用命令 snort -b。网络入侵检测模式是最复杂的,而且是可配置
的。我们可以让 Snort 分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一
定的动作。
(二)实验步骤以及结果展示
2.1 任务一
一.snort 数据包嗅探
1.启动 snort
进入实验平台,单击工具栏“控制台”按钮,进入 IDS 工作目录,运行 snort 对网络接
口 eth0 进行监听
使用 snort 命令__snort -i eth0 -dev icmp and src 172.16.0.175 -l /var/log/snort,同时同组
主机对当前主机进行 ping 探测,snort 捕获信息:
分析监听到的以上的信息:
数据帧源 MAC
00:0C:29:DF:AD:12
数据帧目的 MAC
00:0C:29:9F:8D:B4
IP 上层协议类型
ICMP
数据包源 IP
172.16.0.175
数据包目的 IP
172.16.0.232
数据包总长度
98(0X62)
IP 报文头长度
20
ICMP 报文头长度
8
ICMP 负载长度
56
ICMP 类型/代码
8/0
二.snort 数据包记录
(1)输入 snort 命令 snort -i eth0 -b tcp and src 172.16.0.175 and dest port 23 :对
网络接口 eth0 进行监听,仅捕获同组主机发出的 Telnet 请求数据包,并将捕获数据包以二
进制方式进行存储到日志文件中/var/log/snort/snort.log)。
(2)当前主机执行上述命令,同组主机 telnet 远程登录当前主机(账号 guest,密码
guestpass)。
(3)停止 snort 捕获(Ctrl+C),读取 snort.log 文件,查看数据包内容。
查看日志文件 snort 命令:snort -r snort.log.1652771956
三.简单报警规则
(1)在 snort 规则集目录 ids/rules 下新建 snort 规则集文件 new.rules
新建规则如下,对来自外部主机的、目标为当前主机 80/tcp 端口的请求数据包进行报
警,报警消息自定义。:
此条规则的含义:
snort 规则动作
报警
规则头协议
TCP
规则头源信息
任意 IP 任意端口
规则头目的信息
172.16.0.175 80
方向操作
当前主机位接收端
剩余10页未读,继续阅读
基鑫阁
- 粉丝: 61
- 资源: 358
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0