返回
网络入侵检测实验报告

网络入侵检测实验报告

ID:30367311

大小:21.14 KB

页数:11页

时间:2018-12-29

网络入侵检测实验报告_第1页
网络入侵检测实验报告_第2页
网络入侵检测实验报告_第3页
网络入侵检测实验报告_第4页
网络入侵检测实验报告_第5页
资源描述:

《网络入侵检测实验报告》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划网络入侵检测实验报告  甘肃政法学院  本科生实验报告  姓名:学院:计算机科学学院专业:计算机科学与技术  班级:实验课程名称:入侵检测技术实验日期:指导教师及职称:实验成绩:开课时间:XX学年第二学期  甘肃政法学院实验管理中心印制  入侵检测实验报告  一实验环境搭建  1安装winpcap  按向导提示完成即可使网卡处于混杂模式,能够抓取数据包。  2安装snort  采用默认安装完成即可 

2、 安装完成使用下列命令行验证是否成功  C:Snortbin>-W  看到那个狂奔的小猪了吗?看到了,就表示snort安装成功。3安装和设置mysql  设置数据库实例流程:  入侵检测实验报告  一、实验课题:snort策略配置分析目的-通过该培训员工可对保安行业有初步了解,并感受到安保行业的发展的巨大潜力,可提升其的专业水平,并确保其在这个行业的安全感。为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划  二、实验目的:熟悉snort的环境

3、,掌握其使用方法,理解其策略配置过程。  三、实验内容:  sot使用一种简单的轻量级的规则描述语言来描述它的规则配置信息,它灵活而强大。Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的包的具体部分。下面是一个规则范例:  alerttcpanyany->/24111(content:"

4、a5

5、";msg:"mountdaccess";)括号前的部分是规则头,括号内的部(来自:写论文网:网络

6、入侵检测实验报告)分是规则选项。规则选项部分中冒号前的单词称为选项关键字。注意:不是所有规则都必须包含规则选项部分,选项部分只是为了使对要收集或报警,或丢弃的包的定义更加严格。组成一个规则的所有元素对于指定的要采取的行动都必须是真的。当多个元素放在一起时,可以认为它们组成了一个逻辑与语句。同时,snort规则库文件中的不同规则可以认为组成了一个大的逻辑或语句。  在snort中有五种动作:alert,log和pass,activate和dynamic。目的-通过该培训员工可对保安行业有初步了解,并感受到安保行

7、业的发展的巨大潜力,可提升其的专业水平,并确保其在这个行业的安全感。为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划  1.Alert-使用选择的报警方法生成一个警报,然后记录这个包2.Log-记录这个包  3.Pass-丢弃这个包  4.报警然后打开另外一个dynamic规则  5.等待一个activate来激活,在被激活后,向log规则一样记录数据包规则的下一部分是协议。Snort当前分析可疑包的ip协议有三种:tcp,udp和icmp。将来

8、可能会更多,例如arp,igrp,gre,ospf,rip,ipx等。IP地址:规则头的下一个部分处理一个给定规则的ip地址和端口号信息。关键字"any"可以被用来定义任何地址。Snort没有提供根据ip地址查询域名的机制。地址就是由直接的数字型ip地址和一个cidr块组成的。Cidr块指示作用在规则地址和需要检查的进入的任何包的网络掩码。/24表示c类网络,/16表示b类网络,/32表示一个特定的机器的地址。例如,/24代表从到的地址块。在这个地址范围的任何地址都匹配使用这个/24标志的规则。这种记法给我们

9、提供了一个很好的方法来表示一个很大的地址空间。在“例一”中,源ip地址被设置为任何连接的计算机,而目标地址被设置为上的c类网络。目的-通过该培训员工可对保安行业有初步了解,并感受到安保行业的发展的巨大潜力,可提升其的专业水平,并确保其在这个行业的安全感。为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划  有一个操作符可以应用在ip地址上,它是否定运算符。这个操作符告诉snort匹配除了列出的ip地址以外的所有ip地址。否定操作符用"!"表示。例如

10、,使用否定操作符对“例一”做一个简单修改,使它对任何来自本地网络以外的流都进行报警,如:  alerttcp!/24any->/24111(content:"

11、  a5

12、";msg:"externalmountdaccess";)  这个规则的ip地址代表“任何源ip地址不是来自内部网络而目标地址是内部网络的tcp包”  端口号:  端口号可以用几种方法表示,包括"any"端口,静态端口定义,范围,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。