太原理工大学12级信息安全实验报告4
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
本科实验报告
课程名称:信息安全技术实验项目:网络入侵系统实验地点:致远楼B303 专业班级:软件学号:
学生姓名:
指导教师:王华
2015年6 月6 日
一、实验目的和要求
(1)通过Snort网络入侵检测系统实验掌握网络网络入侵检测系统的配置、分组协议分析、网络入侵检测、入侵报警和日志记录及入侵检测规则的设计方法;
(2)由于Snort入侵检测系统功能强大、命令参数众多,在有限时间内不可能对所有命令参数进行实验。可根据自己对Snort的熟悉程度,从实验内容中选择部分实验,但至少应完成Snort报警与日志功能测试、ping检测、TCP connect()扫描检测实验内容。也容许选择其他命令参数或检测规则进行实验,命令执行后将一条完整的记录或显示结果复制到实验报告表格中,并对检测结果进行解释。请不要复制重复的记录或显示结果。
二、实验内容和原理
1. snort-2_0_0.exe的安装与配置
本实验除安装snort-2_0_0.exe之外,还要求安装nmap-4.01-setup.exe网络探测和端口扫描软件。Nmap用于扫描实验合作伙伴的主机,Snort用于检测实验合作伙伴对本机的攻击。
用写字板打开Snort\etc\snort.conf文件对Snort进行配置。将var HOME_NET any中的any配置成本机所在子网的CIDR地址;将规则路径变量RULE_PATH定义为C:\snort\rules;将分类配置文件路径修改为include C:\snort\etc\classification.config;将引用配置文件路径修改为include C:\snort\etc\reference.config。其余使用Snort配置文件中的默认设置,这里假设所有Snort命令都在C盘根目录下执行。
2. Snort报警与日志功能测试
用写字板打开C:\>Snort\rules\local.rules规则文件,添加Snort报警与日志功能测试规则:alert tcp any any -> any any (msg:"TCP traffic";)。
执行命令:C:\>snort\bin\snort -c \snort\etc\snort.conf -l \snort\log -i 2
如果在C:\>Snort\log目录中生成alert.ids报警文件和IP地址命名的日志文件,表明Snort 配置正确,能够实施入侵报警和日志记录功能。
特别提醒:测试Snort报警与日志功能以后,一定要删除掉添加的测试规则或在该规则前加#号变为注释!否则,随后的实验不能获得正确结果。
3. 分组协议分析
(1)TCP/UDP/ICMP/IP首部信息输出到屏幕上:
C:\> snort\bin\snort –v -i 2;
(2)TCP/UDP/ICMP/IP首部信息和应用数据输出到屏幕上:
C:\> snort\bin\snort -vd -i 2或C:\> snort\bin\snort -v –d -i 2;(命令选项可以任意结合,也可以分开)
(3)将捕获的首部信息记录到指定的Snort\log目录,在log目录下将自动生成以主机IP地址命名的目录;
C:\> snort\bin\snort -v -l \snort\log -i 2;
(4)采用Tcpdump二进制格式将捕获的首部信息和应用数据记录到指定的Snort\log 目录,在log目录下将自动生成snort.log日志文件,可以使用Ethereal或Tcpdump协议分析软件打开snort.log文件,也可以通过-r snort.log选项用Snort输出到屏幕上。
C:\> snort\bin\snort -b -l \snort\log -i 2;
4.3.4 网络入侵检测
(1)实验合作伙伴相互ping对方的主机,利用Snort检测对本机的ping探测,在snort\log 目录下将生成报警文件alert.ids:
C:\>snort\bin\snort -d -c \snort\etc\snort.conf -l \snort\log -i 2
(2)实验合作伙伴利用“nmap -sT 目标主机IP地址或名称”命令TCP connect()扫描对方主机,以文本格式记录日志的同时,将报警信息发送到控制台屏幕(console):C:\>snort\bin\snort -c \snort\etc\snort.conf -l \snort\log -A console -i 2
(3)实验合作伙伴利用“nmap -O目标主机IP地址或名称”命令探测目标主机操作系统,以Tcpdump二进制格式记录日志的同时,将报警信息发送到控制台屏幕(console):C:\>snort\bin\snort -c \snort\etc\snort.conf -b -l \snort\log -A console -i 2
(4)实验合作伙伴远程登录Telnet对方主机,利用Snort检测对本机Telnet服务的非法访问,文本格式记录日志的同时,将报警信息发送到控制台屏幕(console):假设您的主机IP地址为192.168.6.123,用写字板打开C:\>Snort\rules\local.rules规则文件,添加检测Telnet服务非法访问的规则:
alert tcp any any -> 192.168.6.123/32 23 (msg: "Someone attempts to access my telnet server";)
C:\>snort\bin\snort -c \snort\etc\snort.conf -l \snort\log -A console -i 2
三、主要仪器设备
硬件:hp笔记本电脑
软件:snort-2_0_0
四、实验结果与分析
1.snort-2_0_0.exe的安装与配置
(1)配置var HOME_NET any
(2)配置分类配置文件
(3)配置引用配置文件