实验三入侵检测技术.docx
- 文档编号:3062105
- 上传时间:2022-11-17
- 格式:DOCX
- 页数:9
- 大小:416.06KB
实验三入侵检测技术.docx
《实验三入侵检测技术.docx》由会员分享,可在线阅读,更多相关《实验三入侵检测技术.docx(9页珍藏版)》请在冰豆网上搜索。
实验三入侵检测技术
实验单元三.网络扫描
5.2开发设计型实验
一、实验目的和要求
1.windows平台上Snort的安装和使用
2.检测外部网络远程登录内部网的非法请求
3.检测ICMP攻击报文
二、实验内容和原理
Snort能够对网络上的数据包进行抓包分析,但区别于其它嗅探器的是,它能根据所定义的规则进行响应及处理。
Snort通过对获取的数据包,进行各规则的分析后,根据规则链,可采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警),Pass(忽略),Log(不报警但记录网络流量)五种响应的机制。
Snort有数据包嗅探,数据包分析,数据包检测,响应处理等多种功能,每个模块实现不同的功能,各模块都是用插件的方式和Snort相结合,功能扩展方便。
例如,预处理插件的功能就是在规则匹配误用检测之前运行,完成TIP碎片重组,http解码,telnet解码等功能,处理插件完成检查协议各字段,关闭连接,攻击响应等功能,输出插件将得理后的各种情况以日志或警告的方式输出。
Snort通过在网络TCP/IP的5层结构的数据链路层进行抓取网络数据包,抓包时需将网卡设置为混杂模式,根据操作系统的不同采用libpcap或winpcap函数从网络中捕获数据包;然后将捕获的数据包送到包解码器进行解码。
网络中的数据包有可能是以太网包、令牌环包、TCP/IP包、802.11包等格式。
在这一过程包解码器将其解码成Snort认识的统一的格式;之后就将数据包送到预处理器进行处理,预处理包括能分片的数据包进行重新组装,处理一些明显的错误等问题。
预处理的过程主要是通过插件来完成,比如Http预处理器完成对Http请求解码的规格化,Frag2事务处理器完成数据包的组装,Stream4预处理器用来使Snort状态化,端口扫描预处理器能检测端口扫描的能力等;对数据包进行了解码,过滤,预处理后,进入了Snort的最重要一环,进行规则的建立及根据规则进行检测。
规则检测是Snort中最重要的部分,作用是检测数据包中是否包含有入侵行为。
例如规则alerttcpanyany->202.12.1.0/2480(msg:
”misclargetcppacket”;dsize:
>3000;)这条规则的意思是,当一个流入202.12.1.0这个网段的TCP包长度超过3000B时就发出警报。
规则语法涉及到协议的类型、内容、长度、报头等各种要素。
处理规则文件的时候,用三维链表来存规则信息以便和后面的数据包进行匹配,三维链表一旦构建好了,就通过某种方法查找三维链表并进行匹配和发生响应。
规则检测的处理能力需要根据规则的数量,运行Snort机器的性能,网络负载等因素决定;最后一步就是输出模块,经过检测后的数据包需要以各种形式将结果进行输出,输出形式可以是输出到alert文件、其它日志文件、数据库UNIX域或Socket等。
三、实验项目
(1)windows平台上Snort的安装和使用
(2)检测外部网络远程登录内部网的非法请求
(3)检测ICMP攻击报文
四、实验所需软硬件
1)仪器设备条件:
PC及其网络环境;
2)物质条件:
Windows、Linux、Snort;
3)相关文献资料:
教学网站所提供的电子文档。
五、操作方法与实验步骤
(1)Windows环境下Snort安装配置
所需软件
软件名称
说明
acid-0.9.6b23.tar
adodb465.zip
appserv-win32-2.5.10.exe
Snort_2_9_0_4_Installer.exe
WinPcap_4_1_2.exe
jpgraph-3.5.0b1.tar
snortrules-snapshot-2903.tar
1安装appserv-win32-2.5.10.exe
2测试是否安装成功
打开浏览器,地址为“http:
//localhost:
8080/test”
3安装WinPcap_4_1_2.exe
4安装Snort_2_9_0_4_Installer.exe
默认即可,完成后打开命令行测试是否安装成功
命令为“C:
\Snort\bin>snort-W”(W大写),如下图
5配置数据库
打开浏览器,输入地址“http:
//localhost:
8080/”,如图所示
创建snort和acid两个账户
6启用php对MySql的支持
7安装adodb465.zip
8安装jpgraph-3.5.0b1.tar
9安装acid-0.9.6b23.tar
10配置snort
11添加snort规则库snortrules-snapshot-2903.tar
12测试snort
命令行中输入以下命令
C:
\Snort\bin>snort-c"C:
\Snort\etc\snort.conf"-l"C:
\Snort\log"-d-e-X-i2
如果未报错则安装成功,如图所示
打开浏览器,打开acid页面,效果如下
点击MostfrequentnAlert,效果如图
这是用snort–v命令所抓的包:
(2)检测外部网络远程登录内部网的非法请求
实验用的内部网络(192.168.65.0/24)中开了telnetserver,但是该server只让内部主机使
用,不允许从外部网络访问。
我开启服务的ip是192.168.65.10
1.编辑/tmp/snort-2.3.0RC2/rules/local.rules文件,在文件的最后添加如下规则:
alerttcp!
192.168.65.0/24any->192.168.65.0/2423(msg:
"Externalnetattemptto
access192.168.0/24telnetserver";classtype:
attempted-recon;)
在/tmp/snort-2.3.0RC2/目录下面新建log目录以存放警告信息:
[root@localhostsnort-2.3.0RC2]#mkdir/tmp/snort-2.3.0RC2/log
2.运行snort命令进行入侵检测:
[root@localhostsnort-2.3.0RC2]#snort-c./etc/snort.conf-llog-D
此时,运行ps-aux|grepsnort可看到snort已经在后台运行:
[root@localhostsnort-2.3.0RC2]#pa-aux|grepsnort
root116287.211.384047002?
S15:
180.06snort-c./etc/snort.conf-llog-D
root116316.01.12120744pts/1S15:
190:
00snortsnort
可以发现,log目录下生成一个alert文件,但此时该文件大小为0
[root@localhostsnort-2.3.0RC2]#ls-llog
total0
-rw-----lrootroot06月415:
20alert
3.让处于不同子网内的同学试图telnet到机器上:
进入log目录,记录log目录底下新产生的目录名字、该新产生目录底下的文件的文件名及其内容,并记录/etc/snort/log/alert文件大小是否改变。
4.利用kill命令杀死snort进程,并清除/etc/snort/log目录底下的内容,以备后面的实验之需:
[root@localhostsnort-2.3.0RC2]#kill-911628
[root@localhostsnort-2.3.0RC2]#rm–frlog/*
(3)检测ICMP攻击报文
ICMP报文对普通主机而言没什么意义,且容易被用以作为攻击,因此记录所有的ICMP报文,设计合适的规则。
1.编写IDS规则
Alerticmpanyany->$HOME_NETany(msg:
”ICMPmessagereceived”;classtype:
attempted-recon;)
2.建立日志目录(仅无此目录时需要)
[root@localhostsnort-2.3.0RC2]#mkdirlog
启动Snort
[root@localhostsnort-2.3.0RC2]#snort–c./etc/snort.conf–llog–D
检查snort进程是否运行
[root@localhostsnort-2.3.0RC2]#ps–aux|grepsnort
检查alert文件
[root@localhostsnort-2.3.0RC2]#ls–llog
六、实验结果与分析
最后成功检测到外部网络远程登录内部网的非法请求,还能检测ICMP攻击报文。
七、问题与建议
Snort入侵检测系统适应多种平台,源代码开放,使用免费,受众多用户喜爱,但也有不少缺点。
Snort之所以说他是轻量型就是说他的功能还不够完善,比如与其它产品产生联动等方面还有待改进;Snort由各功能插件协同工作,安装复杂,各软件插件有时会因版本等问题影响程序运行;Snort对所有流量的数据根据规则进行匹配,有时会产生很多合法程序的误报。
感觉要配好一个入侵检测器太麻烦了,何况我们还只是加入了短短的几条检测语句,而且只是针对包来检测的,其实入侵检测还有很多内容,设计到的学科和只是也很多,只是我们现在的水平还达不到那个标准。
比如说基于贝叶斯推理检测法,基于模式预测的检测法,基于统计的异常检测法,基于机器学习检测法,数据挖掘检测法,基于应用模式的异常检测法,基于文本分类的异常检测法,模式匹配法,专家系统法,基于状态转移分析的检测法。
不过,经过这一次的环境配置,我对于包的检测有了更深的理解,相信对于以后学习攻防知识也是很有帮助的。
也希望能够把学到的snort配置只是真正用到实处。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 入侵 检测 技术