入侵检测实验
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
代码: -A fast:报警信息包括:一个时间戳(timestamp)、报警消息、源/目的 IP
地址和端口。 -A full:是默认的报警模式。 -A unsock:把报警发送到一个 UNIX 套接字,需要有一个程序进行监听,
这样可以实现实时报警。 -A none:关闭报警机制。
使 用 -s 选 项 可 以 使 snort 把 报 警 消 息 发 送 到 syslog , 默 认 的 设 备 是 LOG_AUTHPRIV 和 LOG_ALERT。可以修改 snort.conf 文件修改其配置。
log 规则执行。 Snort 当前分析可疑包的 ip 协议有四种:tcp 、udp、icmp 和 ip。将来可能 会更多,例如 ARP、IGRP、GRE、OSPF、RIP、IPX 等。
二.实验内容
任务一:入侵检测模式 (1)full 模式报警输出:适用于低速网络环境中
输出内容如下: [**] [1:382:7] ICMP PING Windows [**] [Classification: Misc activity] [Priority: 3] 04/12-11:07:09.055329 59.75.129.75 -> 59.75.129.72 ICMP TTL:64 TOS:0x0 ID:11926 IpLen:20 DgmLen:60 Type:8 Code:0 ID:1 Seq:38 ECHO [Xref => http://www.whitehats.com/info/IDS169]
新疆大学入侵检测实验四 编写简单 Snort 报警规则
By YYQ And LSX
启动 snort 为入侵检测模式: 在真实主机中 ping 虚拟机, 问:此时是否有告警信息输出? 问:此时是否有告警信息输出? 问:此时是否有告警信息输出? 三、实验讨论 (1)示例中,发出一个 PING 数据包,为什么会产生 4 条入侵检测报警信息? (2)如何检测来自特定 IP 地址的 PING 数据包? (3)snort 有几种工作模式?他们间的关系? (3)你认为 SNORT 的优缺点分别是什么?分别列出三条。
a) Alert-使用选择的报警方法生成一个警报,然后记录(log)这个包。 b) Log-记录这个包。 c) Pass-丢弃(忽略)这个包。 d) activate-报警并且激活另一条 dynamic 规则。 e) dynamic-保持空闲直到被一条 activate 规则激活,被激活后就作为一条
(1)规则头:包含规则的动作,协议,源和目标 ip 地址与网络掩码,以及 源和目标端口信息;
(2)规则体:包含报百度文库消息内容和要检查的包的具体部分。
新疆大学入侵检测实验四 编写简单 Snort 报警规则
By YYQ And LSX
"规则动作"告诉 snort 在发现匹配规则的包时要干什么。在 snort 中有五种动 作:alert、log、pass、activate 和 dynamic.
新疆大学入侵检测实验四 编写简单 Snort 报警规则
By YYQ And LSX
(2)fast 模式报警输出:适用于高速网络环境中
04/12-11:14:28.829235 [**] [1:382:7] ICMP PING Windows [**] [Classification: Misc activity] [Priority: 3] {ICMP} 59.75.129.75 -> 59.75.129.72 (3)将报警信息发送到 Syslog 中 首先修改 snort.conf 文件中部分内容如下:
snort 使用一种简单的,轻量级的规则描述语言,这种语言灵活而强大。在 开发 snort 规则时要记住几个简单的原则。Snort 规则是基于文本的,规则文件按 照不同的组进行分类,比如,文件 ftp.rules 包含了 FTP 攻击内容。
大多数 snort 规则都写在一个单行上,或者在多行之间的行尾用/分隔。 Snort 规则被分成两个逻辑部分:规则头和规则体。
在 NIDS 模式下,有很多的方式来配置 snort 的输出。在默认情况下,snort 以 ASCII 格式记录日志,使用 full 报警机制。如果使用 full 报警机制,snort 会在 包头之后打印报警消息。如果你不需要日志包,可以使用-N 选项。
snort 有 6 种报警机制:full、fast、socket、syslog、smb(winpopup)和 none。 其中有 4 个可以在命令行状态下使用-A 选项设置。这 4 个是:
新疆大学入侵检测实验四 编写简单 Snort 报警规则
By YYQ And LSX
实验四 编写简单 Snort 报警规则
一、snort 入侵检测模式基本知识
snort 最重要的用途还是作为网络入侵检测系统(NIDS),即入侵检测模式,可 以根据用户事先定义的一些规则分析网络数据流,并根据检测结果采取一定的动 作。
# syslog output alert_syslog: LOG_AUTH LOG_ALERT
打开应用程序日志,可以看到如下信息:
任务二 简单入侵检测规则 (1) 编写一个简单规则并产生报警:在 snort 中检测 TTL 值为 100 的 ICMP 数
据包时产生报警 在 C:\Snort\rules 下建立一个 rules 文件 icmp-ttl-100.rules,打开并在其中添 加如下规则: alert icmp any any -> any any (msg: "TTL 值为 100 的 ICMP 数据包"; ttl:100;sid:10001; rev:7;) 备注:规则必须写成一行,规则 sid 号自行定义。 打开 snort.conf 文件,添加该规则: #include $RULE_PATH/icmp.rules #include $RULE_PATH/icmp-info.rules include $RULE_PATH/icmp-ttl-100.rules 如下图所示: