没有合适的资源?快使用搜索试试~ 我知道了~
11-2019053296-张光华-SNORT入侵检测系统1
需积分: 0 0 下载量 42 浏览量
2022-08-08
23:21:11
上传
评论
收藏 579KB DOCX 举报
温馨提示
试读
13页
(2)预处理模块——该模块用相应的插件来检查原始数据包,从中发现原始数据的“行为”,如端口扫描,IP碎片等,数据包经过预处理后才传到检测引擎 (3)检测模块——
资源详情
资源评论
资源推荐
暨南大学本科实验报告专用纸
课程名称 网络安全实验 成绩评定
实验项目名称 SNORT 入侵检测系统 指导教师 潘冰
实验项目编号 11 实验项目类型 验证型 实验地点
学生姓名 张光华 学号 2019053296
学院 智能科学与工程 系 专业 信息安全
实验时间 2022 年 5 月 17 日 下 午~ 5 月 17 日 下 午
(一)实验目的
1.掌握 snort IDS 工作机理
2.应用 snort 三种方式工作
(二)实验环境
联网的计算机
操作系统 Linux
(三)实验原理
一.snort IDS 概述
snort IDS(入侵检测系统)是一个强大的网络入侵检测系统。它具有实时数据流量
分析和记录 IP 网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索/匹配。
它能够检测各种不同的攻击方式,对攻击进行实时报警。此外,snort 是开源的入侵检测系
统,并具有很好的扩展性和可移植性。
二.snort IDS 体系结构
snort IDS 体系结构如图 1 所示。
图 1 SnortIDS 体系结构
如上图所示,snort 的结构由 4 大软件模块组成,它们分别是:
(1)数据包嗅探模块——负责监听网络数据包,对网络进行分析;
(2)预处理模块——该模块用相应的插件来检查原始数据包,从中发现原始数据的
“行为”,如端口扫描,IP 碎片等,数据包经过预处理后才传到检测引擎;
(3)检测模块——该模块是 snort 的核心模块。当数据包从预处理器送过来后,检
测引擎依据预先设置的规则检查数据包,一旦发现数据包中的内容和某条规则相匹配,就通
知报警模块;
(4)报警/日志模块——经检测引擎检查后的 snort 数据需要以某种方式输出。如
果检测引擎中的某条规则被匹配,则会触发一条报警,这条报警信息会通过网络、UNIX socke
t、Windows Popup(SMB)、SNMP 协议的 trap 命令传送给日志文件,甚至可以将报警传送给第
三方插件(如 SnortSam),另外报警信息也可以记入 SQL 数据库。
三.snort 三种工作方式
snort 拥有三大基本功能:嗅探器、数据包记录器和入侵检测。嗅探器模式仅从网络
上读取数据包并作为连续不断的流显示在终端上,常用命令 snort -dev。数据包记录器模式
是把数据包记录到硬盘上,常用命令 snort -b。网络入侵检测模式是最复杂的,而且是可配
置的。我们可以让 Snort 分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取
一定的动作。
四.snort 规则
1.snort 规则定义
snort 使用一种简单的规则描述语言,这种描述语言易于扩展,功能也比较强大。sno
rt 规则是基于文本的,规则文件按照不同的组进行分类,比如,文件 ftp.rules 包含了 FTP
攻击内容。
「注」 snort 的每条规则必须在一行中,它的规则解释器无法对跨行的规则进行解
析。
snort 的每条规则都可以分成逻辑上的两个部分:规则头和规则体。
规则头包括 4 个部分:
规则行为
协议
源信息
目的信息
图 2 是对于规则头的描述。
图 2 snort 规则头
snort 预置的规则动作有 5 种:
(1)pass—动作选项 pass 将忽略当前的包,后继捕获的包将被继续分析。
(2)log—动作选项 log 将按照自己配置的格式记录包。
(3)alert—动作选项 alert 将按照自己配置的格式记录包,然后进行报警。它的
功能强大,但是必须恰当的用,因为如果报警记录过多,从中攫取有效信息的工作量增大,
反而会使安全防护工作变得低效。
(4)dynamic—动作选项 dynamic 是比较独特的一种,它保持在一种潜伏状态,直
到 activate 类型的规则将其触发,之后它将像 log 动作一样记录数据包。
(5)activate—动作选项 activate 功能强大,当被规则触发时生成报警,并启动
相关的 dynamic 类型规则。在检测复杂的攻击,或对数据进行归类时,该动作选项相当有用。
除了以上 5 种预置的规则动作类型,用户还可以定制自己的类型。
规则体的作用是在规则头信息的基础上进一步分析,有了它才能确认复杂的攻击(sn
ort 的规则定义中可以没有规则体)。规则体由若干个被分别隔开的片断组成,每个片断定
义了一个选项和相应的选项值。一部分选项是对各种协议的详细说明,包括 IP、ICMP 和 TCP
协议,其余的选项是:规则触发时提供给管理员的参考信息,被搜索的关键字,snort 规则
的标识和大小写不敏感选项。
下面是一个规则实例。
其中,alert 表示规则动作为报警。
tcp 表示协议类型为 TCP 协议。
!192.168.0.1/24 表示源 IP 地址不是 192.168.0.1/24。
第一个 any 表示源端口为任意端口。
->表示发送方向操作符。
第二个 any 表示目的 IP 地址为任意 IP 地址。
21 表示目的端口为 21。
content: "USER"表示匹配的字符串为“USER”。
msg: "FTP Login"表示报警信息为“FTP Login”。
上面的规则也可写成:
方向操作符->表示数据包的流向。它左边的数据包分别是源地址和源端口,目的地
址和目的端口。此外,还有一个双向操作符<>,它使 snort 对这条规则中,两个 IP 地址/端
口之间的数据传输进行记录/分析,例如 telnet 或者 POP3 对话。下面的规则表示对一个telne
t 对话的双向数据传输进行记录:
activate/dynamic 规则对扩展了 snort 功能。使用 activate/dynamic 规则对,你能
够使用一条规则激活另一条规则,当一条特定的规则启动,如果你想要 snort 接着对符合条
件的数据包进行记录时,使用 activate/dynamic 规则对非常方便。除了一个必需的选项 acti
剩余12页未读,继续阅读
坑货两只
- 粉丝: 65
- 资源: 290
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0