【免费】11-2019051121-林晓旭-SNORT入侵检测系统1资源-CSDN文库

需积分: 0 117 浏览量 2022-08-08 18:24:54 上传评论收藏 1.4MB DOCX 举报

资源详情

资源评论

资源推荐

暨南大学本科实验报告专用纸

课程名称网络安全实验成绩评定

实验项目名称 Snort 指导教师潘冰

实验项目编号 11 实验项目类型验证型实验地点

学生姓名林晓旭学号 2019051121

学院智能科学与工程系专业信息安全

实验时间 2022 年 5 月 17 日下午～ 5 月 17 日下午

一、实验目的

1、熟悉入侵检测工具 SNORT 在 WINDOWS 中的安装和配置方法

二、实验原理

1、snortIDS 概述

snortIDS（入侵检测系统）是一个强大的网络入侵检测系统。它具有实时数据流量分析和记录 IP 网

络数据包的能力，能够进行协议分析，对网络数据包内容进行搜索/匹配。它能够检测各种不同的攻击方

式，对攻击进行实时报警。此外，snort 是开源的入侵检测系统，并具有很好的扩展性和可移植性。

2、snortIDS 体系结构

snortIDS 体系结构如图 1 所示。

图 1 snortIDS 体系结构

如上图所示，snort 的结构由 4 大软件模块组成，它们分别是：

(1) 数据包嗅探模块——负责监听网络数据包，对网络进行分析；

(2) 预处理模块——该模块用相应的插件来检查原始数据包，从中发现原始数据的“行为”，如端口

扫描，IP 碎片等，数据包经过预处理后才传到检测引擎；

(3) 检测模块——该模块是 snort 的核心模块。当数据包从预处理器送过来后，检测引擎依据预先设

置的规则检查数据包，一旦发现数据包中的内容和某条规则相匹配，就通知报警模块；

(4) 报警/日志模块——经检测引擎检查后的 snort 数据需要以某种方式输出。如果检测引擎中的某

条规则被匹配，则会触发一条报警，这条报警信息会通过网络、UNIXsocket、WindowsPopup(SMB)、SNMP

协议的 trap 命令传送给日志文件，甚至可以将报警传送给第三方插件（如 SnortSam），另外报警信息也可

以记入 SQL 数据库。

3、snort 三种工作方式

snort 拥有三大基本功能：嗅探器、数据包记录器和入侵检测。嗅探器模式仅从网络上读取数据包并

作为连续不断的流显示在终端上，常用命令 snort-dev。数据包记录器模式是把数据包记录到硬盘上，常

用命令 snort-b。网络入侵检测模式是最复杂的，而且是可配置的。我们可以让 snort 分析网络数据流以

匹配用户定义的一些规则，并根据检测结果采取一定的动作。

4、snort 规则

1. snort 规则定义

snort 使用一种简单的规则描述语言，这种描述语言易于扩展，功能也比较强大。snort 规则是基于

文本的，规则文件按照不同的组进行分类，比如，文件 ftp.rules 包含了 FTP 攻击内容。

「注」snort 的每条规则必须在一行中，它的规则解释器无法对跨行的规则进行解析。

snort 的每条规则都可以分成逻辑上的两个部分：规则头和规则体。

规则头包括 4 个部分。

规则行为。

协议。

源信息。

目的信息。

图 2 是对于规则头的描述。

图 2 snort 规则头

snort 预置的规则动作有 5 种：

(1) pass—动作选项 pass 将忽略当前的包，后继捕获的包将被继续分析。

(2) log—动作选项 log 将按照自己配置的格式记录包。

(3) alert—动作选项 alert 将按照自己配置的格式记录包，然后进行报警。它的功能强大，但是必须

恰当的用，因为如果报警记录过多，从中攫取有效信息的工作量增大，反而会使安全防护工作变得低效。

(4) dynamic—动作选项 dynamic 是比较独特的一种，它保持在一种潜伏状态，直到 activate 类型的

规则将其触发，之后它将像 log 动作一样记录数据包。

(5) activate—动作选项 activate 功能强大，当被规则触发时生成报警，并启动相关的 dynamic 类

型规则。在检测复杂的攻击，或对数据进行归类时，该动作选项相当有用。

除了以上 5 种预置的规则动作类型，用户还可以定制自己的类型。

规则体的作用是在规则头信息的基础上进一步分析，有了它才能确认复杂的攻击(snort 的规则定义中

可以没有规则体)。规则体由若干个被分别隔开的片断组成，每个片断定义了一个选项和相应的选项值。

一部分选项是对各种协议的详细说明，包括 IP、ICMP 和 TCP 协议，其余的选项是：规则触发时提供给管

理员的参考信息，被搜索的关键字，snort 规则的标识和大小写不敏感选项。

下面是一个规则实例。

alterttcp!192.168.0.1/24any->any21(content:"USER";msg:"FTPLogin";)

其中，alert 表示规则动作为报警。

tcp 表示协议类型为 TCP 协议。

!192.168.0.1/24 表示源 IP 地址不是 192.168.0.1/24。

第一个 any 表示源端口为任意端口。

->表示发送方向操作符。

第二个 any 表示目的 IP 地址为任意 IP 地址。

21 表示目的端口为 21。

content:"USER"表示匹配的字符串为“USER”。

msg:"FTPLogin"表示报警信息为“FTPLogin”。

上面的规则也可写成：

alerttcp!192.168.0.1/24any->any21(content:"|00534552|";msg:"FTPLogin";)

方向操作符->表示数据包的流向。它左边的数据包分别是源地址和源端口，目的地址和目的端口。此

外，还有一个双向操作符<>，它使 snort 对这条规则中，两个 IP 地址/端口之间的数据传输进行记录/分

析，例如 telnet 或者 POP3 对话。下面的规则表示对一个 telnet 对话的双向数据传输进行记录：

log192.168.1.0/24any<>192.168.1.0/2423

activate/dynamic 规则对扩展了 snort 功能。使用 activate/dynamic 规则对，你能够使用一条规则

激活另一条规则，当一条特定的规则启动，如果你想要 snort 接着对符合条件的数据包进行记录时，使用

activate/dynamic 规则对非常方便。除了一个必需的选项 activates 外，激活规则非常类似于报警规则

(alert)。动态规则(dynamic)和日志规则(log)也很相似，不过它需要一个选项：activated_by。动态规

则还需要另一个选项：count。当一个激活规则启动，它就打开由 activate/activated_by 选项之后的数

字指示的动态规则，记录 count 个数据包。

下面是一条 activate/dynamic 规则对的规则：

activatetcpanyany->any23(activates:111;msg:"TelnetLogin";)

dynamictcpanyany->any23(activated_by:111;count:20;)

当发现 Telnet 默认使用的 23 端口有通信，activate 规则会被触发并启动 dynamic 规则，然后 dynamic

规则将遵循配置，记录后面的 20 个数据包。

在上面的例子里 activate 规则的“activates”值为 111，dynamic 规则的“activated_by”值为

111，这样就把两个规则关联起来，而不是因为这两个规则有相同的规则头。

2. 预处理综述

预处理器在调用检测引擎之前，在数据包被解码之后运行。通过这种机制，snort 可以以一种 outofband

的方式对数据包进行修改或者分析。

预处理器可以使用 preprocessor 关键词来加载和配置，常用到的预处理器如下：

(1) HTTPdecode 预处器

HTTP 解码预处理模块用来处理 HTTPURL 字符串，把它们转换为清晰的 ASCII 字符串。

(2) 端口扫描器 portscan

端口扫描器会把由单个源 IP 地址发起的端口扫描从开始到结束的全过程记录到标准日志。

(3) stream 处理器

stream 处理器为 snort 提供了 TCP 数据包重组的功能。在配置的端口上，stream 处理器能够对 TCP

数据包的细小片段进行重组，使之成为完整的 TCP 数据包，然后 snort 可以对其可疑行为进行检查。

(4) frag2 处理器

frag2 预处理器为 snort 提供了 IP 分片重组的功能。frag2 预处理器能够对分片包进行重组来定位分

片攻击，它的工作原理是将所有的分片重组构造成一个包含完整信息的数据包，再将这个包传给检测引擎。

5、snort 应用

snort 采用命令行方式运行。格式为：snort–[options]<filters>。options 为选项参数；filters

为过滤器。

1. snort 主要选项参数

剩余15页未读，继续阅读

评论收藏

内容反馈

王佛伟

粉丝: 14
资源: 320

11-2019051121-林晓旭-SNORT入侵检测系统1

评论0

最新资源

11-2019051121-林晓旭-SNORT入侵检测系统1

评论0

11-2019053750-孙靖-SNORT入侵检测系统1

11-2019053448-张强-SNORT入侵检测系统1

11-2019051171-郭鸿耀-SNORT入侵检测系统1

11-2019053752-吴续林-SNORT入侵检测系统1

11-2019053450-叶慧珍-SNORT入侵检测系统1

信息安全实验三：Snort入侵检测系统的配置与使用

11-2019051114-李芷靖-SNORT入侵检测系统1

Linux下基于Snort入侵检测系统的研究及实现.pdf

snort入侵检测系统

11-2019054616-贺萱-SNORT入侵检测系统1

11-2019051108-邱湘鹏-SNORT入侵检测系统1

11-2019051092-古昌权-SNORT入侵检测系统1

11-2019051115-邓芷灵-SNORT入侵检测系统1

11-2019052854-丁宁-SNORT入侵检测系统1

入侵检测系统Snort的使用

Snort 入侵检测系统源码分析

Snort轻量级入侵检测系统全攻略

snort入侵检测完整篇

Snort_入侵检测系统源码分析

11-2019051091-钟颖谦-SNORT入侵检测系统1

11-2019053294-赖峥-SNORT入侵检测系统1

11-2019051099-袁霖-SNORT入侵检测系统1

11-2019050385-李媛-SNORT入侵检测系统1

11-2019051103-梁峻铭-SNORT入侵检测系统1

基于snort的入侵检测系统，很全的开题报告

部署snort入侵检测系统的方案文档

Linux平台Snort入侵检测系统实战指南

snort2.0 入侵检测pdf

部署Snort入侵检测系统

最新资源