精品课件-物联网信息安全-第2章 入侵检测技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一一一一谢谢大家!!
➢ 安装Snort所需的底层库有三个: Libpcap,提供的接口函数主要实现和封装了与数据 包截获有关的过程。 Libnet,提供的接口函数主要实现和封装了数据包的 构造和发送过程。 NDIS packet capture Driver,是为了方便用户在 Windows环境下抓取和处理网络数据包而提供的驱动 程序。
➢ 在Linux和Solaris环境下,必须首先安装Libpcap,然后 才能安装Snort,如果需要还应该安装Libnet;
➢ 在Windows环境下,必须首先安装NDIS packet capture Driver(可用Winpcap代替),然后才能安装Snort。
11
Snort的安装
1. Win 32环境下的安装方法一 解开snort-2.1-win32-source.zip 用VC++打开位于snort-2.1-win32-source\snort-2.1 \win32-Prj目录下的snort.dsw文件 选择“Win 32 Release”编译选项进行编译 在Release目录下会生成所需的Snort.exe可执行文件
22
指定网段输出多层信息包并保存到指定文件夹 进 入 c:\snort\bin 文件夹 输入命令snort – vde –l c:\snort\log 扫 描信息包
23
snort –vde –l c:\snort\log 或 输 入
snort –v –d –e –l c:\snort\log
24
13
操作实例 输出IP和TCP/UDP/ICMP的包头信息
14
输出TCP/IP信息包 启用windows下的 运行窗口
输入cmd进入DOS界 面
ccmmdd 进入c:\snort\bin 文件夹
15
cd c:\snort\bin 16
输出TCP/IP信息包 进入c:\snort\bin 文件夹 输入命令snort – v扫描信息包
输入命令后的开始界面 25
扫 描 中 的 界 面Байду номын сангаас
26
输出多层信息包并保存到指定文件夹
进入c:\snort\bin 文件夹
输入命令snort – vde –l c:\snort\log 扫 描信息包
Ctrl+c退出Snort 运行并显示扫描统 计信息
snort -v
27
扫 描 后 的 统 计 界 面
2. Win32环境下的安装方法二 直接执行Snort Windows 安装包SWIB
12
Snort的配置
配置Snort并不需要自已编写配置文件,只需对Snort.conf 文件进行修改即可 设置网络变量 ➢ var DNS_SERVERS 192.168.0.1 配置预处理器 配置输出插件 配置所使用的规则集 ➢ var RULE_PATH c:\snort\rules
17
snort -v 18
扫 描 中 的 界 面
19
输出TCP/IP信息包 进入c:\snort\bin 文件夹
输入命令snort – v扫描信息包
Ctrl+c退出Snort 运行并显示扫描统 计信息
snort -v
20
扫 描 后 的 统 计 界 面
21
操作实例 同时显示IP和TCP/UDP/ICMP的包头信息、应用层数据信息 、数据链路层的信息并将扫描的信息记录进c:\snort\log 文件夹内
9
Snort 的工作模式
1. 嗅探器 ➢ Snort –v –d -e
2. 数据包记录器 ➢ Snort –vde –l c:\snort\log
3. 网络入侵检测系统 ➢ Snort –vde –l c:\snort\log –c c:\snort\etc\snort.conf
10
底层库的安装与配置
28
推荐网站 1. http://www.enet.com.cn 硅谷动力 2. http://www.7747.net 红色黑客联盟 3. http://cnhonker.com/bbs/ 红客联盟
29
谢谢! 30
第六章 入侵检测
每一种知识都需要努力, 都需要付出,感谢支持!
知识就是力量,感谢支持!
3
入侵检测的方法 • 异常入侵检测技术 • 误用入侵检测技术
4
入侵检测的步骤 • 信息收集 • 数据分析 • 响应
5
入侵检测系统结构 1. 基于主机系统的结构 2. 基于网络系统的结构 3. 基于分布式系统的结构
6
几种常见的入侵检测系统
1. CyberCop入侵检测系统 2. ISS公司的RealSerure 2.0 for Windows NT 3. Abirnet公司的Session-Wall-32.1 4. Anzen公司的NFR 5. IBM公司的IERS系统 6. “天眼”入侵检测系统 7. 启明星辰公司的黑客入侵检测与预警功能 8. 网咯入侵检测系统Snort
7
入侵检测Snort的使用 8
Snort简介
➢ Snort是一个用C语言编写的开放源代码软件,符合GPL (GNU General Public License)的要求,当前的最新 版本是2.8,其作者为Martin Roesch。
➢ Snort是一个跨平台、轻量级的网络入侵检测软件,实际 上它是一个基于libpcap的网络数据包嗅探器和日志记录 工具,可以用于入侵检测。从入侵检测分类上来看, Snort是一个基于网络和误用的入侵检测软件。
2.6入侵检测技术 1
入侵检测的概念 • 入侵检测系统指的是一种硬件或软件系统,该系统对系 统资源的非授权使用能够做出及时的判断,记录和报警 。 • 入侵可以分为两类:外部入侵和内部入侵
2
入侵检测系统 • 入侵检测是对防火墙的合理补充,他帮助系统对付网络 攻击,扩展了系统管理员的管理能力,提高了信息基础 结构的完整性。