入侵检测技术实验上册.docx
- 文档编号:11194802
- 上传时间:2023-02-25
- 格式:DOCX
- 页数:66
- 大小:3.05MB
入侵检测技术实验上册.docx
《入侵检测技术实验上册.docx》由会员分享,可在线阅读,更多相关《入侵检测技术实验上册.docx(66页珍藏版)》请在冰豆网上搜索。
入侵检测技术实验上册
RG-IDS帐户管理1
RG-IDS组件管理8
RG-IDS策略管理16
配置交换机端口镜像22
端口扫描攻击检测24
DoS攻击检测29
DDoS攻击检测34
密码策略审计38
IIS服务漏洞攻击检测45
缓冲区溢出攻击检测50
RG-IDS帐户管理
【实验名称】
RG-IDS帐户管理
【实验目的】
掌握配置RG-IDS管理帐户的方法
【背景描述】
某企业部署了一台RG-IDS进行攻击检测,现在需要能够对RG-IDS进行管理。
【需求分析】
通过添加管理员帐户,可以对RG-IDS进行配置管理操作。
【实验拓扑】
【实验设备】
PC1台
RG-IDSSensor1台
直连线1条
【预备知识】
RG-IDS基本配置
【实验原理】
用户管理承担着系统认证中心的角色。
用户登录时认证中心对用户名、密码做认证,如果有绑定设置则根据其绑定方式(静态绑定、动态绑定)对用户做绑定处理。
此外,在认证登录用户时,如果某个用户从相同的IP(隐含的动态绑定)重复多次登录尝试,则将该用户视为可疑用户,认证中心会将该用户锁定,同时发送审计事件通知用户管理员(触发锁定的登录尝试次数可以用户管理员在创建时指定)。
用户管理还具有添加、删除用户和修改用户信息,并且可以为不同的用户分配权限。
不同角色的用户具有不同的权限,每一种用户都不能越权操作。
【实验步骤】
第一步:
用户管理员登录
使用的默认的“Admin”帐号登录系统(默认安装时用户“Admin”的密码为“Admin”,强烈建议用户管理员第一次登录后修改该密码)。
登录成功,用户管理界面如下图。
第二步:
用户查看
查看用户列表里各用户的状态。
各个图标所表示的用户状态如下图所示
双击某个用户查看其详细信息。
系统管理员登录管理平台的缺省用户是Admin和Audit。
Admin用户的缺省密码是Admin,Audit用户的缺省密码为Audit。
系统默认安装用户为Admin和Audit,分别为用户管理和审计管理权限。
Admin不能修改Audit的密码。
其他用户的密码由管理员分配。
第三步:
新建一个用户
点击
。
在“用户属性配置“窗口添加该用户的基本信息以及给该用户分配权限,如下图所示。
权限配置里各字段的含义如下所示。
字段
描述
用户管理
选中此选项,用户具有创建、删除用户和组,编辑用户基本信息,和拥有锁定用户和解除用户锁定以及注销用户的权限。
审计管理
选中此选项,用户具有通过用户操作审计表查看其他用户的操作审计结果的权限。
安全事件浏览
选中此选项,用户有权限查看或使用事件分析器对IDS告警事件进行在线浏览和分析。
系统日志浏览
选中此选项,用户有权查看系统日志,监视各个组件的状态。
策略查看
选中此选项,用户有权察看策略集的配置方式和帮助信息,但是没有权限修改、派生、删除任何策略或策略集。
策略管理
选中此选项,用户有权编辑和修改策略。
(“应用策略”属于组件管理)
组件查看
选中此选项,用户有权察看组件的配置、属性和状态,但是没有权限增加、删除或修改任何组件及其属性。
组件管理
选中此选项,用户有权添加、修改、删除以及操作组件的类型、数量、范围。
数据库管理
选中此选项,用户具有对数据库的访问和控制权限,比如浏览、备份、删除和使用Report组件。
使用报表权限里各字段的含义如下所示
字段
描述
安全事件查看
选择此选项,用户有权在报表中查看某种条件下安全事件的汇总。
系统日志查看
选择此选项,用户有权在报表中查看某种条件下系统日志的汇总。
个人审计事件查看
选择此选项,该用户有权在报表中查看某种条件下该人的操作审计事件记录的汇总。
所有审计事件查看
选择此选项,用户有权在报表中查看某种条件下所有人的操作审计事件记录的汇总。
点击“确定”按钮,该用户已添加成功。
第四步:
验证该用户
用新建的用户登录系统。
登录成功。
第五步:
验证管理权限
用户可以查看本系统的策略。
切换用户,改用Admin登录,并在“用户列表”里双击该用户。
在“用户属性配置”里把该用户的“策略查看”、“策略管理”权限去掉。
再次验证该用户的权限。
切换回“test”用户,该用户已无法查看本系统的策略。
RG-IDS组件管理
【实验名称】
RG-IDS组件管理
【实验目的】
掌握RG-IDS组件的添加方式
【背景描述】
某用户根据实际网络环境进行IDS的配置管理
【需求分析】
某企业需要部署一台RG-IDS进行攻击检测,在将RG-IDS部署到网络中前,需要对RG-IDS进行初始化配置,并安装相关组件。
【实验拓扑】
【实验设备】
PC1台
RG-IDSSensor1台
直连线1条
【预备知识】
RG-IDS基本配置步骤
【实验原理】
通过RG-IDS控制台,添加多个组件,实现对RG-IDS的管理、接收告警事件等。
【实验步骤】
第一步:
初始化LogServer
在安装LogServer过程中有一步骤为“数据库初始化配置”,如下图所示:
可在此时对LogServer进行配置,也可点击“跳过”,日后需要使用该模块时依次点击“开始”----“程序”----“锐捷入侵检测系统”----“锐捷入侵检测系统(网络)”----“RG-IDS数据服务安装”进行初始配置。
(注:
本步骤的前提是已安装MicrosoftSQLServer或MSDE并有数据库管理员权限)
第二步:
根据实际情况配置LogServer
完成参数设置以后请点击“测试”,若一切无误会弹出以下对话框。
点击“确定”回到“数据库初始化配置”交互窗口,再次点击“确定”,稍等片刻会出现“数据库初创建成功!
”的消息。
第三步:
添加LogServer
登录系统,在EC处点击
,在弹出“添加组建”对话框的下拉菜单里选择“LogServer”。
在“LogServer属性配置”里填上需要添加的LogServer的相应信息,然后点击“确定”。
回到组建管理窗口,双击“LogServer”。
进入“LogServer配置属性”,点击“容量检测”。
添加成功。
第四步:
添加传感器
在EC处点击
,在弹出“添加组建”对话框的下拉菜单里选择“传感器”。
在“传感器配置属性”里填上需要添加的传感器的相应信息。
然后点击“连接测试”
在连接测试成功对话框出现后点击“确定”。
回到“传感器配置属性”对话框里点击“确定”。
添加成功。
【注意事项】
●如果添加组件提示超时,有可能是个人防火墙的配置造成的,请正确配置您的个人防火墙。
●当进行多个IDS的分布式部署中,可以使用相同的方法添加多个传感器组件,如下图所示。
RG-IDS策略管理
【实验名称】
RG-IDS策略管理
【实验目的】
通过策略管理控制引擎监测的内容
【背景描述】
某企业部署了一台RG-IDS进行攻击检测,管理员希望根据不同的网络环境定制相应的策略。
【需求分析】
需求:
解决根据不同的网络环境定制相应策略的问题。
分析:
用户根据网络实际运行情况自定义策略。
【实验拓扑】
【实验设备】
PC3台
RG-IDS1台
直连线4条
交换机2台(其中一台必须支持多对一的端口镜像配置)
【预备知识】
RG-IDS基本配置
【实验原理】
传感器使用策略来控制其所监测的内容,并对监测到的事件作出响应。
您可以使用系统管理平台所附带的预定义策略,也可以从预定义策略派生新的策略。
预定义策略分别侧重于用户所关心的各种层面,用户可选择适合自己的预定义策略直接应用。
考虑到用户的不同需求,系统管理平台提供了用户自定义策略的功能。
用户可以从预定义策略派生新的策略并且对新策略进行编辑,用户还可对其关心的部分攻击签名进行微调,以便更符合用户的需要。
在策略管理中,用户需要配置安全事件的响应方式。
这些响应方式包括Console显示、WriteDB、SNMPTrap、E-mail、OPSEC以及用户自定义响应。
其中除Console显示和WriteDB不需要配置,其他响应方式均需要做相应的配置工作
【实验步骤】
第一步:
策略编辑界面浏览
点击主界面上的“策略”按钮,切换到策略编辑器界面,策略编辑器的窗口分为四个区域。
通过“策略编辑器”窗口,可以新建、派生、修改、删除、查看、导入和导出策略。
在告警策略模版区域中列出了当前可用的策略,其中包括系统的预定义策略和用户自定义策略。
预定义策略不能更改,用户可以根据自身的网络情况选择某个预定义策略派生出自定义策略并且进行调整。
图标代表预定义策略,不能进行编辑,只能单独应用到传感器,可以派生出自定义策略。
图标代表自定义策略,能进行编辑和操作。
系统自带针对不同环境配置预定义策略8种,针对这些策略的详细说明,请参考《RG-IDS用户操作和使用手册》
第二步:
派生新策略
在策略模板区域选中一个预定义策略AttackDetector,右键单击该策略,在出现的菜单中选择“派生策略”。
在弹出的窗口中输入新策略的名称。
点击“确定”按钮,新策略显示在告警策略模板中。
第三步:
策略编辑
策略中可以选择用户所关注的事件签名进行检测,编辑策略的步骤如下:
1)点击一个自定义策略。
2)点击“编辑锁定”以确保其他人不能同时更改策略。
3)在攻击签名窗口展开攻击签名。
4)“选中”或“取消选中”攻击签名。
5)为攻击签名选择响应方式。
6)点击“保存策略”。
注意:
不能编辑预定义策略。
可以由预定义派生出一个新策略,然后对新策略进行调整。
第四步:
策略锁定和解除策略锁定
锁定策略时,在策略管理窗口点击快捷按钮“编辑锁定”,策略管理窗口被锁定。
当多用户同时登录控制台时,当前用户可以编辑策略,其他用户不能修改。
接触策略锁定时,在策略管理窗口点击快捷按钮“解除锁定”,编辑权限被释放,当多用户同时登录控制台时,允许其他某个用户编辑策略。
第五步:
导出策略
右键点击一个策略,选择“导出策略”。
在弹出的窗口中选择导出策略的位置。
输入另存的文件名,点击“保存”按钮。
第六步:
导入策略
右键点击某个策略,选择“导入策略”。
在弹出的窗口中选择导入策略的位置。
选择导入的策略,点击“打开”按钮。
策略导入成功。
第七步:
策略应用
打开“组件”,在EC——引擎上点击右键,选择“应用策略”。
在弹出的策略对话框中,选择需要下发的策略,点击“应用”。
控制台界面弹出命令处理的对话框,下发完毕后引擎会自动重启。
【注意事项】
●不能编辑预定义策略,可以由预定义派生出一个新策略,然后对新策略进行调整。
●如果自己定义策略不能编辑,请检查是否策略编辑已经锁定,并进行解锁。
配置交换机端口镜像
【实验名称】
配置交换机端口镜像
【实验目的】
使用交换机的端口镜像功能分析网络中的特定流量
【背景描述】
某企业的网络管理员发现网络中有异常流量,管理员需要对网络流量进行手动分析。
【需求分析】
对于网络中需要管理员进行手工分析的异常流量,需要将流量镜像到管理员PC,然后抓取数据包。
【实验拓扑】
【实验设备】
交换机1台
PC机3台
【预备知识】
交换机转发原理、交换机基本配置、端口镜像原理
【实验原理】
交换机的端口镜像特性可以允许管理员对网络中的特定流量进行镜像分析。
即在交换机上,对特定流量进行复制并发送到指定端口。
【实验步骤】
第一步:
定义需要镜像的特定流量
Switch#configure
Switch(config)#monitorsession1sourceinterfacefastEthernet0/1both
第二步:
配置镜像流量的流出端口
Switch(config)#monitorsession1destinationinterfacefastEthernet0/2
第三步:
验证测试
将PC1接入F0/1接口,PC2接入F0/2接口,PC1与PC2之间可以互相ping通。
第四步:
验证测试
将PC3接入到F0/3接口,且设置其IP地址为192.168.1.3,并使用抓包软件进行抓包。
在PC1上pingPC2的IP地址。
由于PC1到PC2的流量被交换机镜像到了F0/3端口,所以PC3上使用抓包软件可以抓到PC1到PC2的网络流量。
【参考配置】
Switch#showrunning-config
Buildingconfiguration...
Currentconfiguration:
611bytes
!
version1.0
!
hostnameSwitch
!
interfacevlan1
noshutdown
!
monitorsession1destinationinterfacefastEthernet0/2
monitorsession1sourceinterfacefastEthernet0/1both
end
端口扫描攻击检测
【实验名称】
端口扫描攻击检测
【实验目的】
RG-IDS对端口扫描(portscan)攻击检测功能
【背景描述】
校园网中服务器被外网用户扫描和探测,RG-IDS部署在外网出口、DMZ区、数据中心,检测外网和内网用户对DMZ服务器、数据中心区应用层攻击,以及恶意扫描和探测行为的审计
【需求分析】
需求:
外网用户的恶意扫描探测,内网用户遭受病毒攻击后,会自动向外发送扫描,传播蠕虫等病毒,危害内网安全
分析:
通过RG-IDS端口扫描攻击的检测,初步识别攻击的源和目的,进行及时防御,将威胁降到最低,更好的保护学校网络安全
【实验拓扑】
【实验设备】
PC3台
RG-IDS1台
直连线4条
交换机1台(支持多对一的端口镜像)
攻击工具portscan12(端口扫描工具)
【预备知识】
交换机端口镜像配置
RG-IDS配置
portscan12攻击工具使用
【实验原理】
端口扫描向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应。
通过分析响应来判断服务端口是打开还是关闭,就可以得知端口提供的服务或信息。
端口扫描也可以通过捕获本地主机或服务器的流入流出IP数据包来监视本地主机的运行情况,它仅能对接收到的数据进行分析,帮助我们发现目标主机的某些内在的弱点,而不会提供进入一个系统的详细步骤。
端口扫描技术行为作为恶意攻击的前奏,严重威胁用户的网络,RG-IDS通过扫描的行为特征准确的识别出恶意的扫描行为,并及时通知管理员。
本实验通过攻击者常用的portscan12端口扫描工具进行端口扫描攻击,检验RG-IDS对端口扫描攻击的检测能力。
【实验步骤】
第一步:
策略编辑
点击主界面上的“策略”按钮,切换到策略编辑器界面,从现有的策略模板中生成一个新的策略。
新的策略中选择“tcp:
portscan”签名,并将策略下发到引擎。
第二步:
实施攻击
双击
文件,启动端口扫描攻击程序,如图所示。
配置扫描参数,地址设置为172.16.5.125,其他项不需要修改,如图所示:
点击
按钮,开始扫描,扫描状态如下图。
第三步:
查看警报
进入RG-IDS控制台,通过“安全事件”组件,查看IDS检测的安全事件信息,如下图所示。
RG-IDS准确检测出tcp:
portscan事件,事件详细信息如下图:
【注意事项】
●攻击工具portscan12.exe只能用于实验使用,不可用户其他途径。
●实验过程中可以调节延时的长短
。
●实验过程中,可以通过选择
提高扫描的速度。
DoS攻击检测
【实验名称】
DoS攻击检测
【实验目的】
使用RG-IDS对DoS(WebCC)攻击进行检测
【背景描述】
某网络中的Web服务器经常被外网用户扫描、探测和攻击,于是网络工程师部署了IDS系统以对各种攻击进行检测,以及对恶意扫描和探测行为进行审计。
【需求分析】
需求:
CC攻击是采用HTTP方式,通过GET或POST方式在短时间里采用多线程方式访问WebServer中比较消耗计算机资源的页面的一种攻击方式。
网络中对外发布的WebServer很容易受到此类攻击,而使服务器瘫痪,无法正常工作和响应正常的Web访问请求。
分析:
通过IDS对WebCC攻击进行检测,初步识别攻击的源和目的,进行及时防御,将威胁降到最低,更好的提高网络安全性。
【实验拓扑】
【实验设备】
PC3台
RG-IDS1台
直连线4条
交换机1台(支持多对一的端口镜像)
攻击工具Webcc.exe(WebCC攻击工具)
工具软件Webserverv12.exe(Web服务器)
【预备知识】
交换机端口镜像配置
RG-IDS配置
Webcc攻击工具
Webserverv12.exe使用
【实验原理】
WebDoS主要是用来攻击Web页面。
攻击者向目标主机上开销比较大的CGI页面发起HTTP请求,造成目标主机拒绝服务。
攻击者模拟多个用户(多少线程就是多少用户)不停地进行访问,访问那些需要大量数据操作,即需要消耗大量CPU资源的页面。
这种攻击和正常的Web访问很类似,因此攻击者可以很好地隐藏自己,也可以绕开防火墙。
WebCC攻击方法较为简单,易被黑客所掌握。
因此此类攻击严重威胁用户的正常的Web资源,RG-IDS通过行为特征准确地识别出恶意的行为,并及时产生告警。
【实验步骤】
第一步:
搭建Web服务器
将Webserverv12.exe工具拷贝到被攻击机172.16.5.125中,并运行该软件,使被攻击机不用做任何配置即可当做一台简易的Web服务器。
该软件不需要做任何其他配置。
如果被攻击机本身已经被配置为Web服务器,则不需要运行此软件。
第二步:
策略编辑
点击主界面上的“策略”按钮,切换到策略编辑器界面,从现有的策略模板中生成一个新的策略。
新的策略中选择“www2”下的“Webcc”签名,设置该签名的参数:
WebHOST为“172.16.5.125”,保存策略,并将策略应用到引擎设备上。
第三步:
实施攻击
在MS-DoS下运行Webcc.exe文件,启动WebCC攻击程序。
命令格式为:
“Webcc要攻击的Web服务器地址要刷新的Web页的路径要攻击的Web服务器端口”。
例如本实验环境可以使用:
“Webcc.exe172.16.5.125/index.html”。
如图所示:
执行完毕后,在IDS控制台查看事件信息。
第四步:
查看警报
进入RG-IDS控制台,通过“安全事件”组件,查看IDS检测的安全事件信息,如下图:
RG-IDS准确检测出WebCC事件,事件详细信息如下图:
【注意事项】
攻击工具Webcc.exe只能用于实验使用,不可用做其他途径。
附:
www2:
Webcc主要参数功能说明
WebHOST
要保护的Web服务器地址,必须填上才生效。
该参数只支持IPv4格式,暂不支持域名格式。
MAXDROPIPNUM
引擎最大缓存攻击IP数。
WebPORT
HTTP流量使用的端口。
认为包含HTTP流量的TCP数据包的端口号列表。
INTERVAL
每一次刷新网页的时间间隔。
加大该参数会加大性能消耗,建议管理员使用默认配置。
MAXCOUNT
特定IP在INTERVAL时间间隔内访问网页的最多次数。
该参数只针对客户端
DDoS攻击检测
【实验名称】
DDoS攻击检测
【实验目的】
使用RG-IDS对DDoS攻击进行检测
【背景描述】
某网络中由于使用者的安全意识不强,经常遭受黑客的DDoS攻击,于是网络工程师部署了IDS系统以对DDoS攻击进行检测。
【需求分析】
RG-IDS能及时检测出DDoS攻击行为,并及时上报到控制台。
【实验拓扑】
【实验设备】
PC3台
RG-IDSSensor1台
直连线4根
交换机1台(支持多对一的端口镜像)
攻击工具DDoSPing
【预备知识】
交换机端口镜像配置
RG-IDS配置
【实验原理】
DDoS(分布式拒绝服务攻击)广义上可以指任何导致您的服务器不能正常提供服务的分布式攻击。
造成拒绝服务攻击的原因很多,这里主要指通过网络进行的DDoS攻击。
这种攻击使服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。
【实验步骤】
第一步:
策略编辑
点击主界面上的“策略”按钮,切换到策略编辑器界面,从现有的策略模板中生成一个新的策略。
新的策略中选择“ddos:
trinoo:
trinoo_command”签名,并将策略下发到引擎。
第二步:
实施攻击
使用“DDoSping”工具,在“StartIPaddress”以及“EndIPaddress”分别填上被攻击机的IP范围,然后点击右下角的“Configuration”按键。
具体配置如下图所示。
点击“OK”,回到程序主界面,点击右上角的“Start”。
第三步:
查看警报
进入RG-IDS控制台,通过“安全事件”组件,查看IDS检测的安全事件信息,RG-IDS准确检测出“ddos_trinoo:
trinoo_command”事件。
事件详细信息如下图:
【注意事项】
DDoSPing工具只能用于实验。
密码策略审计
【实验名称】
密码策略审计
【实验目的】
使用RG-IDS对网络服务的登录密码强度进行审计
【背景描述】
某企业网络中使用FTP服务器提供文件传输服务。
用户在访问FTP服务器之前需要进行身份验证。
由于FTP服务器中存放了很多重要的数据和文件,所以需要用户使用高强度安全性的密码进行认证。
【需求分析】
需求:
密码是最为常见的一种认证形式,而且经常是外部和重要服务之间的唯一壁垒。
攻击者可以使用一些程序来帮助猜测或“破解”密码,但是通过选择一个安全的密码并做好必要的保密工作,那么那些XX却想非法进入服务人就会觉得的非常困难。
通常在组织内部对用户访问其重要服务器的密码安全均有强度等安全要求。
分析:
通过RG-IDS实时检测和告警,使管理员及时发现使用不安全密码登录的用户,及时进行必要的调整,降低不必要的风险。
【实验拓扑】
【实验设备】
PC3台
RG-IDS1台
直连线4条
交换机1台(支持多对一的端口镜像)
【预备知识】
交换机端口镜像配置
RG-IDS配置
FTP服务器的配置
【实验原理】
密码攻击是骇客攻击时最常用到的方式之一,利用密码的猜测、暴力破解等方法来掌握关键帐号的密码,已达到控制远程机器的目的。
防范此种攻击最常用的方法是保障密码的强度,即对帐号所使用的密码长度、复杂度(使用大小写、字母、数字、非标准字符等进行组合)进行强制性要求。
本实验通过模拟某FTP服务器登录帐号密码使用简单密码,IDS将及时产生告警。
【实验步骤】
第一步:
策略编辑
点击主界面上的“策略”按钮,切换到策略编辑器
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵 检测 技术 实验 上册