网站线上投票怎样做,余姚企业网站建设公司,景观设计园林公司,wordpress 数据库设计一、实验目的和要求
理解基于网络的入侵检测系统的基本原理#xff0c;掌握snort IDS工作机理#xff1b;
学习应用snort三种方式工作#xff1b;熟练编写snort规则#xff1b;
完成snort数据包记录、日志查看、字符串匹配、ARP欺骗攻击检测、端口扫描工具检测等功能。 …一、实验目的和要求
理解基于网络的入侵检测系统的基本原理掌握snort IDS工作机理
学习应用snort三种方式工作熟练编写snort规则
完成snort数据包记录、日志查看、字符串匹配、ARP欺骗攻击检测、端口扫描工具检测等功能。
二、实验步骤
1 启动snort
进入IDS工作目录/opt/ExpNIS/NetAD-Lab/Tools/ids运行snort对网络接口eth0进行监听要求如下
1仅捕获kali发出的icmp回显请求数据包。
2采用详细模式在终端显示数据包链路层、应用层信息。
3对捕获信息进行日志记录日志目录/var/log/snort。
snort命令参考 ./snort -i eth0 -dev icmp and src kali的IP -l /var/log/snort 本机IDS执行上述命令kali对当前主机进行ping探测根据snort捕获信息填写下表 数据帧源MAC 000C:29:33:AC:88 数据帧目的MAC 000C:29:2A:6C:B2 IP上层协议类型 0x800 数据包源IP 192.168.113.137 数据包目的IP 192.168.113.145 数据包总长度 0x62 IP报文头长度 20字节 ICMP报文头长度 8字节 ICMP负载长度 84-20 ICMP类型代码 8/0 2 查看snort日志记录。
「说明」 默认snort日志记录最后一级目录会以触发数据包的源IP命名。可使用组合键CtrlC停止snort运行。 二snort数据包记录
1对网络接口eth0进行监听仅捕获kali发出的Telnet请求数据包并将捕获数据包以二进制方式进行存储到日志文件中/var/log/snort/snort.log。
Snort命令snort -i eth0 -b tcp and src 同组主机IP and dst port 23
当前主机执行上述命令同组主机telnet远程登录当前主机。 3停止snort捕获CtrlC读取snort.log文件查看数据包内容。
snort命令./snort -dvr /var/log/snort/snort.log.1717488272截图显示内容。 三简单报警规则
1在snort规则集目录ids/rules下新建snort规则集文件new.rules对来自外部主机的、目标为当前主机80/tcp端口的请求数据包进行报警报警消息自定义。
snort规则:
alert tcp !192.168.113.145 any - 192.168.113.145 80 (msg:”warn”;sid:26287;)
根据规则完成下表填写。 snort规则动作 alert 规则头协议 tcp 规则头源信息 !192.168.113.145 规则头目的信息 192.168.113.145 方向操作 - 报警消息 warn 2编辑snort.conf配置文件使其包含new.rules规则集文件打开snort.conf切换至编辑模式在最后添加新行包含规则集文件new.rules。
添加包含new.rules规则集文件语句include $RULE_PATH/new.rules
3以入侵检测方式启动snort进行监听。
启动snort的命令 ./snort -A full -c /opt/ExpNIS/NetAD-Lab/Tools/ids/snort.conf
以入侵检测方式启动snort同组主机访问当前主机Web服务启动阿帕奇服务。 查看报警日志(/var/log/snort/alert)截图 四字符串匹配
1在snort规则集目录/opt/ExpNIS/NetAD-Lib/Tools/ids/rules下新建snort规则集文件new2.rules对网络中由vsFTPd参与的通信进行报警并在FTP服务器声明身份后第一时间内捕获FTP客户端登录用户名及登录口令。
2利用activate/dynamic规则对实现。
snort规则 activate tcp any 21 - any any (activates: 81; content: vsFTPd; msg: FTP User Login; )
dynamic tcp any any - any 21 (activated_by: 81; count: 10; msg: User Name and PASSWORD; )
3编辑snort.conf配置文件使其包含new2.rules规则集文件。
4以入侵检测方式启动snort进行监听。网络传输数据中的FTP用户名及口令数据是应用层数据默认情况下snort不显示和记录应用层数据所以此处在启动snort时应指定其抓取、记录应用层数据。
启动snort的命令
./snort -A full -dev -d -c /opt/ExpNIS/NetAD-Lab/Tools/ids/snort.conf
Kali中利用NC远程FTP登录登录用户名guest登录口令guestpass。
查看报警日志日志文件所在目录以远程FTP登录主机IP命名提取出FTP客户端登录时所使用的用户名及登录口令。截图 五端口扫描攻击检测
1修改snort配置文件snort.conf启动端口扫描预处理器以入侵检测方式启动snort对来自外部的端口扫描行为进行检测。
portscan:要监视的网络 端口数 检测周期 日志目录/文件
监视的网络 以IP地址/子网掩码的格式指定要进行端口扫描监视的网络。
端口数 在检测周期(detection period)内访问的端口数目。
检测周期(detection period): 达到某个设定的端口访问量需要的时间以秒计。
日志目录/文件 保存警告信息的目录/文件。警告信息也可以写到默认警告文件中。
如preprocessor portscan:192.168.1.0/24 5 7 /var/log/portscan.log
预处理描述preprocessor portscan192.168.113.0/24 5 7 /var/log/portscan.log 2Kali使用Nmap对当前主机进行TCP端口扫描操作待端口扫描完成查看portscan.log报警日志回答下面问题。
「注」 若第一次端口扫描后portscan.log没有日志不要退出snort请同组主机进行第二次端口扫描。
portscan.log日志记录格式描述日期 时间 攻击源IP:源端口 - 目的主机IP:扫描端口 SYN ******S* 默认情况下Nmap在进行目标主机TCP端口扫描时扫描顺序无序有序/无序。
六ARP欺骗攻击检测
本机修改snort配置文件snort.conf修改情况截图
Kali实施ARP攻击假冒网关将报警结果截图如下。
在snort.conf中找到该条预处理描述将其前面的注释符号删掉保存文件。然后运行命令./snort -d -c snort.conf以入侵检测方式启动snort kali中执行语句arpspoof -i eth0 -t 192.168.113.145 192.168.113.1对目标IP为192.168.113.145的主机进行ARP欺骗攻击将该主机的流量劫持至网关192.168.113.1 查看snort报警日志/var/log/snort/alertsnort报警提示检测到一个源IP地址与相应的MAC地址之间存在不匹配的情况。
