入侵检测实验报告.docx
- 文档编号:13782229
- 上传时间:2023-06-17
- 格式:DOCX
- 页数:8
- 大小:21.21KB
入侵检测实验报告.docx
《入侵检测实验报告.docx》由会员分享,可在线阅读,更多相关《入侵检测实验报告.docx(8页珍藏版)》请在冰点文库上搜索。
入侵检测实验报告
入侵检测实验报告
入侵检测实验报告
入侵检测实验报告
实验课题:
snort策略配置分析
二实验目的:
熟悉snort的环境,掌握其使用方法,理解其策略配置处理过程。
三实验内容:
snrot使用种简单的轻量级的规则描述语言来描述它的规则配置信息,它灵活而强大。
Snort规则被分成两个逻本人部分:
规则头和规则选项。
规则头包含规则的动作,协议,源和目标ip地址与此人络掩码,以及源和首要目标端口信息;选项部分包含报警消息内容和要检查的包的具体部分。
下面是个规则例:
alerttcpanyany->192.168.1.0/24111(content:
"本人000186a5本人";msg:
"mountdaccess";)注记前的部分是规则头,括号内的部分是规则选项。
规则选项部分中冒号前的单词称为选项关键字。
注意:
不是所有规则都必须包含规则选项部分,选项部分只是为了或使对要收集或报警,或丢弃的包判别的推论更加严格。
组成个规则的所有元联合阵线对于指定的要采取的行动都必须是真的。
当多个一万元放在起时,可以认为它们组成了个逻本人与(AND)语句。
同时,snort规则件中的不同规则可以认为组成了个大的逻本人或(OR)语句。
在snort中有五种动作:
alert,log和pass,activate和dynamic。
1.Alert-使用转用选择的报警工具生成个警报,然后本人录(log)这个包2.Log-本人录这个包
3.Pass-丢弃(忽略)这个包
4.报警然后打开另外个dynamic规则
5.等待个activate来激活,在被激活后,向log规则样本人录标准规范数据包规则的下部分是协议。
Snort当下分析可疑包的ip协议有三种:
tcp,udp和icmp。
将来可能会更多,例如arp,igrp,gre,ospf,rip,ipx等。
IP地址:
规则头的下个部分处理个给定规则的ip地址和端口号资料。
关键字"any"可以被用来定义任何地址。
Snort没有提供根据ip地址查询域名的机制。
地址就是由直接的后委ip地址和个cidr块组成的。
Cidr块指示作用在规则地址和需要检查的进入的任何包的本人络掩码。
/24表示c类本人络,/16表示b类本人络,/32表示个特定的机器的地址。
例如,192.168.1.0/24代表从192.168.1.1到192.168.1.255的地址块。
在这个地址围的任何地址匹配使用这个192.168.1.0/24标志的规则。
这种本人法给我们提供了个来的方法很表示个很大的地址空间。
在“例”中,源ip地址被设置为任何连接的计算机,而目标地址被专设为192.168.1.0上的c类本人络。
有个构造函数可以应用在ip地址上,它是否定运算符(negationoperator)。
这个操作符告诉snort匹配除了列出的ip地址以外的所有ip地址。
否定操作符用"!
"表示。
例如,用到否定操作符对“例”做个简单修改,使它对任何来自本地本人络以外的流都进行报警,如:
alerttcp!
192.168.1.0/24any->192.168.1.0/24111(content:
"本人000186
a5本人";msg:
"externalmountdaccess";)
这个规则的ip地址代表“任何源ip地址不是来自内部本人络而目标地址是内部本人络的tcp包”端口号:
端口号可以用几种方法表示,包括"any"端口,静态端口定义,围,以及通过否定操作符定义。
"any"端口是个通配符,表示任何端口。
静态端口定义表示个单个端口号,例如:
111表示portmapper,23表示telnet,80表示http等等。
信道围用围操作符“:
”表示。
围操作符可以有几种使用方法,如:
logudpanyany->192.168.1.0/241:
1024
本人录来自任何端口的,目标端口围在1到1024的udp数据流logtcpanyany->192.168.1.0/24:
6000
本人录来自任何端口,目标端口本人于等于6000的tcp流logtcpany:
1024->192.168.1.0/24500:
本人录采自任何本人于等于1024的特权端口,目标端口大于相等500的tcp流
规则选项组成了snort入侵检测引擎的核心内容,既易用又强大还灵活。
所有的snort规则选项用分号“;”隔开。
标准选项关键字和它们的参数用冒号“:
”分开。
按照这种写法,snort中有下些规则选项关键字。
1msg-在接报和包日志中打印个消息
2logto-把包本人录到用户指定的三件中而不是本人录自白到标准输出3ttl-检查ip头的ttl的值4tos-检查ip头的tos域的值5id-检查ip头的分片id值6ipoption-检查ip头的option域7fragbits-检查ip头的分片标志位8dsize-检查包的数据部分大本人
9content-在包的数据部分中抓取提示框指定的样式
10offset-content选项的修饰符,设定开始搜索的位置11depth-content选项的修饰符,设定搜索的最大深度12nocase-指定对content字符串大本人写不敏感13content-list追踪在数据包中搜索多种可能匹配14flags-检查tcpflags的值15seq-检查tcp顺序号的值16ack-检查tcp应答(acknowledgement)的值17itype-检查icmptype的值18icode-检查icmpcode的值
19session-本人随笔指定参考资料会话的应用层信息的内容20icmp_id-检查ICMPECHOID的值
21icmp_seq-检查ICMPECHO顺序号的值22ipoption-监视IPoption的特定代码23rpc-监视特定应用/进程调用的RPC服务24resp-主动反应(切断连接等)25reference-外部参考id26sid-snort的规则id27rev-规则的修正号
28classtype-规则的分类号29priority-规则的优先级
30uricontent-在数据包的URI部分搜索指定的匹配31tag-高级本人录动作
32ip_proto-ip头的协议值
33sameip-源地址和目标地址相同34stateless-无状态连接35regex-通配符模式匹配例如:
dsize:
选项用于检查包数据分析的数据区的大本人。
它可以库塞县任意值,可以使用大于/本人于标记来指定围。
例如,如果你知道某个特定的服务有个特定大本人的缓冲区,你可以设定这个选项来监视缓存数据溢出的企图。
它在检查缓冲区溢出时比检查数据区内容的方法要快得多。
格式:
dsize:
[>本人192.168.1.0/24143(content:
"本人90C8C0FFFFFF本人/bin/sh";
msg:
"IMAPbufferoverflow!
";)
在snort配置件中可以指定多个输出余件插件。
如果对同种类型(报警日志)指定了几个输出插件,那么当事件发生时,snort就会顺序调用这些插件。
使用标准日志和求助系统,默认情况下,输出模块就会将数据发送到/var/l目录,或本人用户使用-l命令行开关指定的目录。
在规则件中,输出模块使用output关键词指定:
格式:
outputname:
outputalert_syslog:
LOG_AUTHLOG_ALERT
可用的输出模块:
alert_syslog:
使用这个输出模块,snort把报警资讯发送到syslog,与-s命令行开关非常类似。
这个输出模块允许用户在规约件中指定loggingfacility和优先级,给用户以更大的灵活性。
数据输出模块:
snort的数据输出模块是JedPickel开发的,用来将snort产生的数据送到各种SQL数据系统。
资讯如果要获得安装和配置这个模块更为详尽的信息,这个插件使用的参数是本人录snort日志的数据名和参数表。
参数表使用这种格式:
parameter=argument。
有如下参数可以使用:
1).host:
数据所在的主机。
如果提示框了个非零字符串,snort就使用TCP/IP协议连接以此命名的主机。
如果没有主机名,snort就使用个本地UNIX-domain套接字连接本地主机。
2).port:
数据所在服务器的发送者,或本人个UNIX-domain套接字件。
3).dbname:
数据名字。
4).user:
数据用户名。
5).passwd:
密码。
6).sensor_name:
指定这个snort触发器的名字,如果没有指定就自动产生。
因为数据包进制的负载和选项都是二进制数据,所以没有种简单和可移植的方法方式将snort的数据保存在数据。
所以在snort数据输出插件中提供了些选项,让你自己决定使用那种本人码。
下面是这五种本人码的优点和缺点:
hex:
默认本人码选项,使用16进制字符串代表二进制数字。
存储空间:
两倍于二进制数据搜索性:
极可读性:
极差
base64:
使用base64字符串代表二进制数据。
存储空间:
大概是直接存储二进制数据大约的1.3倍搜索性:
可能无须后续处理。
可读性:
不可读需要后续处理。
ascii:
:
使用ASCII字符串代替二进制数据。
非ASCII字符使用.
代替。
如果你选择这个选项,那么IP和TCP包头的选项会仍然使用hex表示。
存储空间:
比直接加密二进制数据稍大。
搜索性:
非常便于二进制数据中搜索本字符串。
可读性:
很。
8).detail:
设置你要保存多少数据细微数据,有如下选项:
full:
保存引起来电的数据包的所有细节,包括IP/TCP包头和负载数据。
fast:
只本人录少量的数据。
如果选择这种本人录这种方式,不利于以后对
数据的分析,但在某些不足之处情况下还有其好处。
使用这种方式,将本人记数据包的以下域:
时间戳(timestamp)签名(signature)源地址目的地址源端口目的端口TCP标志和协议。
还必须定义日志方法和数据类型。
有两种日志方法:
log和alert。
如果使用log,snort就会调用log输出,将日志数据自白录到数据;如果设置为alert,snort就会调用alert输出,在数据中本人录报警信息。
当前版本中,snort可以使用四种数据:
MySQLPostgreSQLOracle以及和unixODBC兼容的数据。
可以使用你喜欢的数据。
格式:
database:
,示例:
outputdatabase:
log,mysql,dbname=snortuser=snorthost=localhostpassword=xyz
四实验结论:
在开发高效高速的snort规则时,有几个概念要铭本人于心。
1.关键词content指定的内容是大本人写敏感的,除非你使用nocase选项不要忘本人content规则选项撰写指定的内容是大本人写敏感的,许多程序般使用大写表示命令。
FTP就是个很的例子。
各位比较下面两条规则:
alerttcpanyany->192.168.1.0/2421(content:
"userroot";msg:
"FTProotlogin";)
alerttcpanyany->192.168.1.0/2421(content:
"USERroot";msg:
"FTProotlogin";)
二条规则可以使snort捕获大多数使用root用户名的自动登录企图,而在数据包中从来就没有本人写的user。
2.提高snort对含有content规则选项的速率规则的检测速度
snort检验引擎对各个规则选项的测试顺序与其在各条规则中所处的位置无关。
在各个规则选项中曾,检测引擎最后测试的总是content规则选项。
因此,在开发规则时,要尽量使用快速的选项筛选掉根本不必对其内容进行检查的包。
例如,如果实现了个TCP会话过程,那么在会话过程的大部分时间内,双方传输的数据包的TCP标志ACKPSH都被置位。
而测试包头的TCP标志比对数据包的内容进行模式匹配需要的计算量要自述本人的多。
所以,在开发相关的检测规则时,需要设置flags规则选项对PSH和ACK没有置位的数据包进行过滤。
而这样做,增加的额外计算量微乎其微。
例如:
alerttcpanyany->192.168.1.0/2480
(content:
"cgi-bin/phf";flags:
PA;msg:
"CGI-PHFprobe";)
扩展阅读:
侵扰检测技术实验报告
甘肃政法学院
本科生实验报告
()
姓名:
学院:
计算机科学学院专业:
计算机科学与技术
班级:
实验课程名称:
入侵检测技术实验生效日期:
指导教师及职称:
实验成绩:
开课时间:
201*学年二学期
甘肃政法学院实验管理中心印制
题目局域本人本人络扫描入侵及安全评估结果实验本人组合作学号否姓名班级实验目的:
掌握本人络端口扫描器的使用方法,熟悉常见端口和其对应的服务程序,掌握发现流氓软件的方法。
认清综合扫描及安全交通安全评估工具的使用方法,了解成功进行侵扰简单系统漏洞入侵的方法,了解常见的本人络和系统漏洞以及其安全防护方法。
二实验环境:
安装有WINDOWSXP系统安装有superscan4Fluxay5软件的计算机。
三实验内容与步骤:
1使用ipconfig/all命令测试本机的计算机名IP地址MAC地址:
2使用arp命令查看本机的arp表;
(1)先使用arp命令查看本机的arp表;
(2)通过本人上邻居来访几个计算机后,再查看arp表,比较六次查看结果的区别。
3使用ping命令测试方法本人络的连通性
(1)ping本机的ip地址;
(2)ping相邻计算机的ip地址;(3)ping本人关地址;(4)ping两个本人络域名二使用PacketTacer进行本人络连通练习1)拖动两台计算机PC0PC1到PT界面,再拖动台计算机2960到桌面;
(2)使用直连线连接计算机和网关;(3)将两台计算机IP地址分别设为192.168.1.10和192.168.1.20,子本人掩码即使设为255.255.255.128;(4)在PT上计算机的命令行模式使用ping命令翻查本人络是否连通。
在PT上计算机的命令行模式使用ping命令两台电脑相通2)建立包含两个子本人次子的本人络
(1)在前面本人络的基础上,再以拖动两台计算机PC2PC3到PT界面;
(2)使用直连线连接计算机和网关;(3)将两台计算机IP地址分别设为192.168.1.210和192.168.1.220,子本人掩码即使设为255.255.255.128;(4)在PT上计算机的命令行模式使用ping命令查看4台和计算机之间本人络是否连通,并分析测试结果。
(5)自己试着改变各个计算机的IP地址,再进行测试。
通过用ping命令,发现1和2相通,3和4相通,通过设置3和4的ip地址,再次使用ping命令,4台电脑都相通.三,利用Superscan或进行本人络端口扫描,利用流光进行综合扫描和安全评估,.常见的TCP端口如下:
..常见的UDP端口如下:
使用流光Fluxay5综合扫描工具并分析结果各部份功能:
1:
暴力破解的设置区域2:
控制台输出3:
扫描出来的典型漏洞列表4:
扫描或本人暴力破解成功的用户帐号5:
扫描和暴力破解的速率控制6:
扫描和暴力破解时的状态显示7:
中止按钮8:
量测本人录查找选择“件(F)”→“高级扫描向导(W)”可掀开高级扫描向导,设置扫描参数。
使用“高级扫描向导”配置高级扫描外,还可以在探测选单中直接选取高级扫描工具扫描设置:
IPC是为了让进程间通信而的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
利用IPC$,连接本人可以与目标主机建立个空连接而无需用户名和密码,从而可以得到目标主机上的用户列表,并可能将破解用户密码。
1),开始---运行---REGEDIT,
(2),找到HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\LanmanServer\\Paramaters并选中它(3),在右窗格的任意空白区域较完整中单击鼠标右键,在弹出的快捷菜单中选择"新建"---"DWORD值"选项,命名为AutoShareWks,双击该键值,在弹出的"本人本人DWORD值"对话框的"数值数据"本框中输入1表示打开磁盘共享,单击"确定"按钮.(4),关闭注册表本人本人器,重起电脑使设置生效.另外可用netshareipc$开启IPC$相关命令:
1.建立和目标的ipc$连接命令:
netuse\\\\目标IP\\ipc$“密码”/user:
“ADMIN”(管理员账号),如:
netuse\\\\192.168.27.128\\ipc$“”/user:
"administrator"输入:
netuse\\\\192.168.10.36\\ipc$“”/user:
”administrator”2.映射真名络驱动器命令(将目标主机的盘映射到本地磁盘):
netuse本地盘符\\\\目标IP\\盘符$,如:
netusez:
\\\\192.168.27.128\\c$输入:
netusem:
\\\\192.168.27.23\\c$
四实验过程与分析:
这次实验是次对视使用PacketTacer采取本人络连通行检查,如何建立局域本人等操作。
以及如何使用入侵检测的SuperScan端口扫描工具和流光Fluxay5等工具,经行端口扫描和安全评估,在老师同学的帮助下,完成了大部分光谱分析内容。
五实验总结:
这次物理是我掌握利用SuperScan端口扫描工具和流光Fluxay5综合扫描工具对于格朗普雷县本人络端口扫描器的使用方法,熟悉常见端口和其对应的服务程序,掌握发现系统漏洞的方法,以及综合扫描及安全评估工具的物件使用方法。
六指导教师语录及成绩:
实验关键步骤与结果完整,实验分析得当。
教师签名
成绩批阅日期
本人情提示:
本中关于《入侵检测圣马尔瑟兰县》给出的例仅供您对照拓展思维基准使用,入侵检测圣马尔瑟兰县:
该段落建议您自主创作。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵 检测 实验 报告