欢迎来到天天文库
浏览记录
ID:18973385
大小:479.50 KB
页数:9页
时间:2018-09-27
《《信息安全技术》实验报告_10网络1班_090810127_王双双_实验7.2_snort网络入侵检测实验》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、实验序号:7.2《信息安全技术》实验报告实验名称:Snort网络入侵检测实验姓名:王双双学院:计算机科学与工程学院专业:网络工程班级:网络一班学号:090810127指导教师:乐德广实验地址:N6-207实验日期:2012.12.19实验7.2Snort网络入侵检测实验(1)请回答实验目的中的思考题。(1)Snort系统有哪些组件构成?数据包捕获器,数据包解码器,预处理器,检测引擎,输出插件。(2)Snort有哪些工作模式?有3种,分别为:嗅探器,数据包记录器和网络入侵检测系统。(3)Snort入侵检测系统支持哪些报警输出?fullfastsocketconso
2、lecmgnone和syslog(2)说明snort的功能和作用?实时检测与响应,多检测分析技术,灵活的插件,丰富输出,规则描述简单,跨平台。(3)结合实验,分析说明snort系统的配置文件snort.conf图1如图1所示,为snort.conf部分配置文件,varHOME_NET10.18.46.0/24为设置本机的ip范围,varRULE_PATH/etc/snort/rules定义规则的存放位置(4)举例说明Snort进行系统入侵检测的基本过程。第一步,snort入侵系统检测的安装,从官网下载最新的rpm安装包,通过rpm命令的“-ivh”参数进行安装,
3、操作命令如下:以上结果先以上结果显示说明snort已经正确安装到linux中,安装后用rpm命令-ql查看snort系统中文件目录结构,操作命令如下第二步:snort入侵检测系统配置,编辑/etc/snort/snort.conf,操作如下:vi/etc/snort/snort.conf,编辑并修改相关的配置选项,将HOME_NET有关项注释掉,然后将HOME_NET设置为本机的ip地址:10.18.46.0/24,将EXTERNAL_NET相关项注释掉,设置其为非本机网络,将RULE_PATH参数设置为snort规则集所在的网络,本例中/etc/snort/r
4、ules/local.rules,另外将配置文件中包含除local.rules之外的所有规则用#注释掉,修改以后保存退出。第三步:snort入侵检测系统检测icmpping扫描,添加检测规则,创建并编辑、/etc/snort/rules/local.rules,并在该文件中添加一条检测规则,操作命令如下:以上规则表示对于网络上出现任何类型为8的ICMP数据包,将产生报警。第四步:启动入侵检测,执行的命令如下:第五步:执行ping扫描,操作命令如下:在主机上10.18.46.179ping10.18.46.17第六步,查看检测结果,打开报警输出文件//var/lo
5、g/snort/alert,可以看出以下报警信息:以上信息可以看出主机10.18.46.179向主机10.18.46.17发送了三个类型8的ICMP数据包。Snort入侵检测系统检测来自外网的icmp扫描添加检测规则编辑/etc/snort/rules/local.rules文件,并在该文件中添加以下三条语句操作如下:执行检测,操作命令如下:Snort–c/etc/snort/snort.conf–Afast执行ping扫描。操作如下:查看结果,在snort入侵检测系统上打开报警输出文件/var/log/snort/alert,可以看到以下报警信息:(1)举例说
6、明如何设置检测规则?规则范例:以上规则表示检测的网络数据为的协议为tcp协议,源端口,目的端口为任意,方向由外向内,内部网络子网地址192.168.1.0/24端口号21,当发现数据包含有“f05587be”的内容时,snort会发送报警消息“ftpaccess”(2)说明如何实现snort和netfilter/iptables防火墙联动响应?安装好netfilter/iptables防火墙后,需要用以下命令启动,接着,进行初始化设置,操作命令如下:最后,进行默认策略设置操作命令如下:安装guardian,下载rpm包,安装操作步骤如下:接下来,进行配置guar
7、dianvi/etc/guardian.conf内容如下:修改guardian.pl,,修改vi/usr/local/bin/guardian.conf启动guardian执行命令启动guardian服务,操作如下验证测试:在主机10.18.46.180启动ftp服务器命令如下:设置snort规则,在/etc/snort/snort.conf中添加以下规则:通过命令snort–c/etc/snort/snort.conf启动snort系统在主机10.18.46.179中对目标主机10.18.46.180中发起ftp连接命令如下:这是我们发现主机无法连接ftp服务
8、器,由于guardian
此文档下载收益归作者所有