返回
《信息安全技术》实验报告_10网络1班_090810127_王双双_实验7.2_snort网络入侵检测实验

《信息安全技术》实验报告_10网络1班_090810127_王双双_实验7.2_snort网络入侵检测实验

ID:18973385

大小:479.50 KB

页数:9页

时间:2018-09-27

《信息安全技术》实验报告_10网络1班_090810127_王双双_实验7.2_snort网络入侵检测实验_第1页
《信息安全技术》实验报告_10网络1班_090810127_王双双_实验7.2_snort网络入侵检测实验_第2页
《信息安全技术》实验报告_10网络1班_090810127_王双双_实验7.2_snort网络入侵检测实验_第3页
《信息安全技术》实验报告_10网络1班_090810127_王双双_实验7.2_snort网络入侵检测实验_第4页
《信息安全技术》实验报告_10网络1班_090810127_王双双_实验7.2_snort网络入侵检测实验_第5页
资源描述:

《《信息安全技术》实验报告_10网络1班_090810127_王双双_实验7.2_snort网络入侵检测实验》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、实验序号:7.2《信息安全技术》实验报告实验名称:Snort网络入侵检测实验姓名:王双双学院:计算机科学与工程学院专业:网络工程班级:网络一班学号:090810127指导教师:乐德广实验地址:N6-207实验日期:2012.12.19实验7.2Snort网络入侵检测实验(1)请回答实验目的中的思考题。(1)Snort系统有哪些组件构成?数据包捕获器,数据包解码器,预处理器,检测引擎,输出插件。(2)Snort有哪些工作模式?有3种,分别为:嗅探器,数据包记录器和网络入侵检测系统。(3)Snort入侵检测系统支持哪些报警输出?fullfastsocketconso

2、lecmgnone和syslog(2)说明snort的功能和作用?实时检测与响应,多检测分析技术,灵活的插件,丰富输出,规则描述简单,跨平台。(3)结合实验,分析说明snort系统的配置文件snort.conf图1如图1所示,为snort.conf部分配置文件,varHOME_NET10.18.46.0/24为设置本机的ip范围,varRULE_PATH/etc/snort/rules定义规则的存放位置(4)举例说明Snort进行系统入侵检测的基本过程。第一步,snort入侵系统检测的安装,从官网下载最新的rpm安装包,通过rpm命令的“-ivh”参数进行安装,

3、操作命令如下:以上结果先以上结果显示说明snort已经正确安装到linux中,安装后用rpm命令-ql查看snort系统中文件目录结构,操作命令如下第二步:snort入侵检测系统配置,编辑/etc/snort/snort.conf,操作如下:vi/etc/snort/snort.conf,编辑并修改相关的配置选项,将HOME_NET有关项注释掉,然后将HOME_NET设置为本机的ip地址:10.18.46.0/24,将EXTERNAL_NET相关项注释掉,设置其为非本机网络,将RULE_PATH参数设置为snort规则集所在的网络,本例中/etc/snort/r

4、ules/local.rules,另外将配置文件中包含除local.rules之外的所有规则用#注释掉,修改以后保存退出。第三步:snort入侵检测系统检测icmpping扫描,添加检测规则,创建并编辑、/etc/snort/rules/local.rules,并在该文件中添加一条检测规则,操作命令如下:以上规则表示对于网络上出现任何类型为8的ICMP数据包,将产生报警。第四步:启动入侵检测,执行的命令如下:第五步:执行ping扫描,操作命令如下:在主机上10.18.46.179ping10.18.46.17第六步,查看检测结果,打开报警输出文件//var/lo

5、g/snort/alert,可以看出以下报警信息:以上信息可以看出主机10.18.46.179向主机10.18.46.17发送了三个类型8的ICMP数据包。Snort入侵检测系统检测来自外网的icmp扫描添加检测规则编辑/etc/snort/rules/local.rules文件,并在该文件中添加以下三条语句操作如下:执行检测,操作命令如下:Snort–c/etc/snort/snort.conf–Afast执行ping扫描。操作如下:查看结果,在snort入侵检测系统上打开报警输出文件/var/log/snort/alert,可以看到以下报警信息:(1)举例说

6、明如何设置检测规则?规则范例:以上规则表示检测的网络数据为的协议为tcp协议,源端口,目的端口为任意,方向由外向内,内部网络子网地址192.168.1.0/24端口号21,当发现数据包含有“f05587be”的内容时,snort会发送报警消息“ftpaccess”(2)说明如何实现snort和netfilter/iptables防火墙联动响应?安装好netfilter/iptables防火墙后,需要用以下命令启动,接着,进行初始化设置,操作命令如下:最后,进行默认策略设置操作命令如下:安装guardian,下载rpm包,安装操作步骤如下:接下来,进行配置guar

7、dianvi/etc/guardian.conf内容如下:修改guardian.pl,,修改vi/usr/local/bin/guardian.conf启动guardian执行命令启动guardian服务,操作如下验证测试:在主机10.18.46.180启动ftp服务器命令如下:设置snort规则,在/etc/snort/snort.conf中添加以下规则:通过命令snort–c/etc/snort/snort.conf启动snort系统在主机10.18.46.179中对目标主机10.18.46.180中发起ftp连接命令如下:这是我们发现主机无法连接ftp服务

8、器,由于guardian

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。