南京信息工程大学网络实验(八)..docVIP

南京信息工程大学 实验（实习）报告 实验（实习）名称 因特网的使用 实验（实习）日期 2014.12.16 得分 指导教师 刘 生 专业 计算机科学与技术 年级 12 班次 3 姓名 王飞 学号 20122308917 实验目的 掌握因特网的相关知识（web、ftp、E-mail等）。 熟悉IE浏览器的使用 熟悉利用因特网搜索相关内容的方法和技巧 熟悉电子邮件的使用 实验内容 入侵检测系统 目的与要求 掌握snort IDS工作机理 应用snort三种方式工作 熟练编写snort规则 了解IDS误报漏报的缺点 2.系统环境 Linux Windows 网络环境 交换网络结构 实验工具 iptables Nmap Ulogd 实验步骤 主机A、B为一组，C、D为一组，E、F为一组。 首先使用“快照X”恢复Linux系统环境。 Snort数据包嗅探 1.启动snort 进入实验平台，单击工具栏“控制台”按钮，进入IDS工作目录，运行snort对网络接口eth0进行监听，要求如下： （1）仅捕获同组主机发出的icmp回显请求数据包。 （2）采用详细模式在终端显示数据包链路层、应用层信息。 （3）对捕获信息进行日志记录，日志目录/var/log/snort。 snort命令snort -i eth0 -dev 4 src and icmp -1 本机执行上述命令，同组主机对当前主机进行ping探测，根据snort捕获信息填写表 数据帧源MAC 0:C:29:9:E4:9A 数据帧目的MAC 0:C:29:B1:19:F0 IP上层协议类型 ICMP 数据包源IP 0 数据包目的IP 4 数据包总长度 0X62 IP报文头长度 20 ICMP报文头长度 8 ICMP负载长度 56 ICMP类型／代码 8/0 2．查看snort日志记录。 「说明」 默认snort日志记录最后一级目录会以触发数据包的源IP命名。可使用组合键Ctrl+C停止snort运行。 Snort数据包记录 （1）对网络接口eth0进行监听，仅捕获同组主机发出的Telnet请求数据包，并将捕获数据包以二进制方式进行存储到日志文件中/var/log/snort/snort.log）。 snort命令snort -i eth0 -b tcp and dst port 23 and src 1 （2）当前主机执行上述命令，同组主机telnet远程登录当前主机。 telnet 02 （3）停止snort捕获（Ctrl+C），读取snort.log文件，查看数据包内容。 snort命令snort -r /var/log/snort/snort.log.XXXX 简单报警规则 （1）在snort规则集目录ids/rules下新建snort规则集文件new.rules，对来自外部主机的、目标为当前主机80/tcp端口的请求数据包进行报警，报警消息自定义。 snort规则 alert tcp any any - 本机IP80（msg：”XXX”;） snort规则动作 报警 规则头协议 TCP 规则头源信息 任意IP，任意端口 规则头目的信息 16 80 方向操作 当前主机为接收端 报警消息 FTPLogin （2）编辑snort.conf配置文件，使其包含new.rules规则集文件，具体操作如下：使用vim（或vi）编辑器打开snort.conf，切换至编辑模式，在最后添加新行包含规则集文件new.rules。 添加包含new.rules规则集文件语句include $RULE_PATH/new.rules(规则集文件路径) （3）以入侵检测方式启动snort，进行监听。 启动snort的命令 snort -c snort.conf 以入侵检测方式启动snort，同组主机访问当前主机Web服务。 根据报警日志(/var/log/snort/alert)完成表 报警名称 FTPLogin 数据包源IP 02 数据包目的IP 1 数据包源端口号 随机 数据包目的端口号 80 分析 IPS位于防火墙和网络的设备之间，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前组织这个恶意的通信。而IDS只是存在于网络之外起到报警的作用，而不是在网络前面起到防御作用。 实验总结 通过网上搜索相关内容让我学到了很多关于