实训指导4.1-1基于Snort入侵检测功能配置(精)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
企业总部
Snort的可移植性很好。Snort的跨平台性能 极佳,目前已经支持Linux、Unix、Windowቤተ መጻሕፍቲ ባይዱ 等系统。
防火墙
路由器
2 1
互联网 攻击者
HIDS
NIDS(安装有Snort) 专业务实 学以致用
任务实施及方法技巧
4、任务设计 在Windows下完成这个NIDS的工作任务,工作任务图如下。
计算机网络安全技术与实施
学习情境4:实训任务4.1 基于Snort入侵检测功能配置
专业务实
学以致用
内容介绍
1
任务场景
2 3
4
任务相关工具软件介绍 任务设计、规划
任务实施及方法技巧
5
6
任务检查与评价 任务总结
专业务实
学以致用
任务场景
专业务实
学以致用
任务相关工具软件介绍
SNORT[snö t]喷鼻息;鼓鼻
到了也不处理
目的地为C 的数据帧
我要,我要送交系统 共享介质
A主机 网卡为正常模式 专业务实
B主机 网卡为混杂模式 学以致用
C主机
任务实施及方法技巧
(2)如何将网卡设置为混杂模式 主要是通过底层的程序或者说是底层驱动来实现,一般分 为两类: Linux平台常利用Libpcap实现网卡底层数据的获取。 Windows平台常利用WinPcap实现网卡底层数据的获取。
专业务实
学以致用
任务设计、规划
已经学习了入侵检测的基本原理与概念 , 本任务是要对整体 企业园区网络实施网络入侵检测(NIDS)。
企业总部
防火墙 路由器 互联网
攻击者
HIDS
NIDS 专业务实 学以致用
任务实施及方法技巧
1、交换式以太网中网络入侵检测系统的部署
由于交换机对数据帧进行了过滤与转发。如何获取网络主干流量并进 行入侵检测分析及处理呢?解决的办法是: 多数可网管交换机的支持端口分析(SPAN)或端口镜像(Port Monitor) 。如果对交换机配置端口镜像,用户可将IDS 系统接到镜像目的端口上 ,流经镜像源端口的数据都可被以复制的方式发送到镜像目的端口上。
构建Snort网络入侵检测系统的五个主要部分
第一:安装Snort程序;
第二:要进行底层驱动WinPcap的安装; 第三:可选的,建议安装,为了方便安装一个控制台来设置Snort程序(IDSCENTER); 第四:可选的,数据库用于存储日志(MySQL Database); 第五:可选的,安装一个PHP的基于WEB的Snort的远程管理平台(ADODB及ACID)。
5、构建Snort网络入侵检测系统的几个主要步骤 第一:安装Snort程序; 第二:要进行底层驱动WinPcap的安装; 第三:安装一个控制台来设置Snort程序(IDSCENTER); 第四:设置入侵检测的网络环境,配置交换机端口镜像功能。
专业务实 学以致用
任务实施及方法技巧
6、安装与配置Snort
安装SNORT,用到的软件(已经解压),双击即可以开始安装,会提 示选择入侵检测的日志记录如何保存,可以不保存到数据库,也可以 选择保存到MYSQL或者是将日志保存到Oracle数据库中去。 这里讲授的是保存到日志文件中,保存到数据库中的任务由同学们 完成。
专业务实
学以致用
任务实施及方法技巧
7、安装WinPcap WinPcap安装后网卡即处于混杂模式。WinPcap 安装很简单只要选择 同意、下一步就可以了, WinPcap 包括三个部分模块: NPF(Netgroup Packet Filter) 、 packet.dll 、 Wpcap.dll 。安装完成后可以在系统 信息中查看到其运行情况,如下图所示:
专业务实
学以致用
任务实施及方法技巧
8、安装与配置IDSCENTER1.1
(1)安装:IDSCENTER是对Snort程序的一个GUI,即图形化的操作窗口,可以配 置Snort,并对其进行操作与管理。IDSCENTER安装按提示完成即可。 (2)配置:全局配置、规则文件配置、报警配置。
专业务实
学以致用
企业总部
防火墙
路由器
2(源) 1(目的)
互联网 攻击者
HIDS
NIDS 专业务实 学以致用
任务实施及方法技巧
2、入侵检测系统主机网卡的设置 (1)如何让网卡接收并处理不是发给它的数据帧呢? 网卡主要有两种接收模式:混杂模式和正常模式。 正常模式:网卡只接收目的 MAC 地址与自己相匹配的数 据帧,以及广播数据包(包括多播数据包); 混杂模式:不管数据帧中的目的地址是否与自己的地址 匹配,都接收下来。 为了监听网络上的流量,需要将检测或监听主机的网卡 这个数据帧不是发给 这个数据帧不是发给我 设置为混杂模式。 我的,即使我能接收 的,但是有操作系统向
任务实施及方法技巧
9、配置交换机端口镜像功能
(1)如何配置不同型号交换机的端口镜像功能? (2)重点是掌握解决问题的方法! (3)当前实验环境中的交换机的端口镜像功能的配置
路由器
2 1
互联网
HIDS
NIDS(安装有Snort)
专业务实
学以致用
任务实施及方法技巧
9、配置交换机端口镜像功能--SPAN (Switch Port Analyzer)
专业务实
学以致用
任务实施及方法技巧
3、入侵检测软件的选择
Snort的特点: Snort是一个轻量级的网络入侵检测系统。 占用极少的网络资源。Snort代码极为简洁、 短小,大约几百KB。 Snort是自由软件。
它具有实时数据流量分析和日志IP网络数 据包的能力,能够进行协议分析,对内容进行 搜索/匹配。它能够检测各种不同的攻击方式, 对攻击进行实时报警。
(4)锐捷交换机的端口镜像功能配置命令参考(RG-S2328G) Ruijie(config)# monitor session 1 Ruijie(config)# monitor session 1 source interface gigabitEthernet 0/2 both Ruijie(config)# monitor session 1 destination interface gigabitEthernet 0/1 Ruijie(config)# end Ruijie# show monitor session 1 sess-num: 1 src-intf:GigabitEthernet 0/2 frame-type Both dest-intf:GigabitEthernet 0/1
Snort的可移植性很好。Snort的跨平台性能 极佳,目前已经支持Linux、Unix、Windowቤተ መጻሕፍቲ ባይዱ 等系统。
防火墙
路由器
2 1
互联网 攻击者
HIDS
NIDS(安装有Snort) 专业务实 学以致用
任务实施及方法技巧
4、任务设计 在Windows下完成这个NIDS的工作任务,工作任务图如下。
计算机网络安全技术与实施
学习情境4:实训任务4.1 基于Snort入侵检测功能配置
专业务实
学以致用
内容介绍
1
任务场景
2 3
4
任务相关工具软件介绍 任务设计、规划
任务实施及方法技巧
5
6
任务检查与评价 任务总结
专业务实
学以致用
任务场景
专业务实
学以致用
任务相关工具软件介绍
SNORT[snö t]喷鼻息;鼓鼻
到了也不处理
目的地为C 的数据帧
我要,我要送交系统 共享介质
A主机 网卡为正常模式 专业务实
B主机 网卡为混杂模式 学以致用
C主机
任务实施及方法技巧
(2)如何将网卡设置为混杂模式 主要是通过底层的程序或者说是底层驱动来实现,一般分 为两类: Linux平台常利用Libpcap实现网卡底层数据的获取。 Windows平台常利用WinPcap实现网卡底层数据的获取。
专业务实
学以致用
任务设计、规划
已经学习了入侵检测的基本原理与概念 , 本任务是要对整体 企业园区网络实施网络入侵检测(NIDS)。
企业总部
防火墙 路由器 互联网
攻击者
HIDS
NIDS 专业务实 学以致用
任务实施及方法技巧
1、交换式以太网中网络入侵检测系统的部署
由于交换机对数据帧进行了过滤与转发。如何获取网络主干流量并进 行入侵检测分析及处理呢?解决的办法是: 多数可网管交换机的支持端口分析(SPAN)或端口镜像(Port Monitor) 。如果对交换机配置端口镜像,用户可将IDS 系统接到镜像目的端口上 ,流经镜像源端口的数据都可被以复制的方式发送到镜像目的端口上。
构建Snort网络入侵检测系统的五个主要部分
第一:安装Snort程序;
第二:要进行底层驱动WinPcap的安装; 第三:可选的,建议安装,为了方便安装一个控制台来设置Snort程序(IDSCENTER); 第四:可选的,数据库用于存储日志(MySQL Database); 第五:可选的,安装一个PHP的基于WEB的Snort的远程管理平台(ADODB及ACID)。
5、构建Snort网络入侵检测系统的几个主要步骤 第一:安装Snort程序; 第二:要进行底层驱动WinPcap的安装; 第三:安装一个控制台来设置Snort程序(IDSCENTER); 第四:设置入侵检测的网络环境,配置交换机端口镜像功能。
专业务实 学以致用
任务实施及方法技巧
6、安装与配置Snort
安装SNORT,用到的软件(已经解压),双击即可以开始安装,会提 示选择入侵检测的日志记录如何保存,可以不保存到数据库,也可以 选择保存到MYSQL或者是将日志保存到Oracle数据库中去。 这里讲授的是保存到日志文件中,保存到数据库中的任务由同学们 完成。
专业务实
学以致用
任务实施及方法技巧
7、安装WinPcap WinPcap安装后网卡即处于混杂模式。WinPcap 安装很简单只要选择 同意、下一步就可以了, WinPcap 包括三个部分模块: NPF(Netgroup Packet Filter) 、 packet.dll 、 Wpcap.dll 。安装完成后可以在系统 信息中查看到其运行情况,如下图所示:
专业务实
学以致用
任务实施及方法技巧
8、安装与配置IDSCENTER1.1
(1)安装:IDSCENTER是对Snort程序的一个GUI,即图形化的操作窗口,可以配 置Snort,并对其进行操作与管理。IDSCENTER安装按提示完成即可。 (2)配置:全局配置、规则文件配置、报警配置。
专业务实
学以致用
企业总部
防火墙
路由器
2(源) 1(目的)
互联网 攻击者
HIDS
NIDS 专业务实 学以致用
任务实施及方法技巧
2、入侵检测系统主机网卡的设置 (1)如何让网卡接收并处理不是发给它的数据帧呢? 网卡主要有两种接收模式:混杂模式和正常模式。 正常模式:网卡只接收目的 MAC 地址与自己相匹配的数 据帧,以及广播数据包(包括多播数据包); 混杂模式:不管数据帧中的目的地址是否与自己的地址 匹配,都接收下来。 为了监听网络上的流量,需要将检测或监听主机的网卡 这个数据帧不是发给 这个数据帧不是发给我 设置为混杂模式。 我的,即使我能接收 的,但是有操作系统向
任务实施及方法技巧
9、配置交换机端口镜像功能
(1)如何配置不同型号交换机的端口镜像功能? (2)重点是掌握解决问题的方法! (3)当前实验环境中的交换机的端口镜像功能的配置
路由器
2 1
互联网
HIDS
NIDS(安装有Snort)
专业务实
学以致用
任务实施及方法技巧
9、配置交换机端口镜像功能--SPAN (Switch Port Analyzer)
专业务实
学以致用
任务实施及方法技巧
3、入侵检测软件的选择
Snort的特点: Snort是一个轻量级的网络入侵检测系统。 占用极少的网络资源。Snort代码极为简洁、 短小,大约几百KB。 Snort是自由软件。
它具有实时数据流量分析和日志IP网络数 据包的能力,能够进行协议分析,对内容进行 搜索/匹配。它能够检测各种不同的攻击方式, 对攻击进行实时报警。
(4)锐捷交换机的端口镜像功能配置命令参考(RG-S2328G) Ruijie(config)# monitor session 1 Ruijie(config)# monitor session 1 source interface gigabitEthernet 0/2 both Ruijie(config)# monitor session 1 destination interface gigabitEthernet 0/1 Ruijie(config)# end Ruijie# show monitor session 1 sess-num: 1 src-intf:GigabitEthernet 0/2 frame-type Both dest-intf:GigabitEthernet 0/1