Module 8∶入侵侦测系统实习.ppt

為「Attacker的IP」。 為「Victim的IP」。 This is attack 為 「自己輸入的文字」。 ICMP Packet Injected 為 「已發送ICMP封包」。 * 按下攻擊後，則會在Snort的地方發現以下資訊。則代表收到攻擊，而顯示出 rule所寫入的資訊「Under attack」。 * 為了驗證是否成功阻擋，因此Attacker繼續攻擊 同時並觀察Snort是否偵測到新的攻擊 * Firewall端所收到之攻擊封包 Firewall確實成功阻擋攻擊來源使得Snort並沒有偵測到後來的攻擊 * 當Firewall解除封鎖之後 Snort主機便能偵測到Attacker所攻擊之alert * * * * 可以建議同學分成兩派，一方為攻擊方，先使用IDSwakeup去做攻擊讓現有的Snort不能防護，則達成目的。 而另一方則扮演網管人員，今天發現有攻擊入侵，現有的IDS沒辦法防護，則需要建立新的rule去防護攻擊者 則針對第一方攻擊者的攻擊模式，建立新的rule去防護，則達成目的。 模擬駭客攻擊系統主機： 在這邊使用Nemesis作為攻擊工具，並使用Snort作為系統防護的IDS。 已測驗學生是否有融會貫通Nemesis和 Snort的使用。 * * 可以建議同學分成兩派，一方為攻擊方，分別使用Nemesis不同協定去做攻擊。 而另一方則扮演網管人員，今天發現有攻擊入侵，便以不同協定之方式設置防火牆阻擋。 接著攻擊方便開始測試不同種類的協定攻擊，當有新的攻擊方式被IDS所偵測時，網管人員則必須再去阻擋。 模擬駭客攻擊系統主機： 在這邊使用Nemesis作為攻擊工具，分別以不同協定來區分不同種類之攻擊方式 並使用Snort作為系統防護的IDS，Iptables則為阻斷攻擊之防火牆。 藉以測驗學生是否有融會貫通Nemesis、Snort與Iptables的應用。 * * IDSwakeup是2008年的軟體，手動編譯安裝相依於libnet，也就是教學中所列出的libnet1.0.2a 但可能會與一般的linux系統中內帶的libnet出現衝突 * * * 最後一行藍色的命令， make make install 代表make執行有成功方能繼續執行make install * 最後一行藍色的命令， make make install 代表make執行有成功方能繼續執行make install * * 是範例如P.82 * * 使用「snort –vde 」去擷取封包，並可從圖中看到許多文字，內容包含封包中的檔頭(header)和所傳輸的內容。 輸入「 Ctrl +c 」則可以結束執行，並產生分析結果，在結果中可以看到有哪些封包被監聽到，圖中的例子是收到84個TCP的封包。 在Snortpc輸入 「snort –vde –i eth4 」 則可以看到Nemesispc傳輸過來的封包。 使用nemesis產生封包測試系統，輸入 nemesis tcp -v -S -D -P - TCP代表 使用TCP的傳輸 -v 詳細資料 -s 來源位置 -d 目標位置 -P 可輸入要傳輸的文字 在Snortpc輸入 「snort –vde –i eth4 」 則可以看到Nemesispc傳輸過來的封包。 和前面的模式很類似，但是多了紀錄的功能。 -l 則可以選擇存入的檔案。 -l 之後必須加入需要存入log檔的正確path Snortpc輸入指令開始封包記錄模式。 Nemesispc 輸入指令開始傳輸 TCP 封包3個 和 UDP 封包 5個。 鍵入Ctrl +c 則有資訊顯示，收到6個TCP和5個UDP，但本身只有送出三個TCP封包，但是因為 TCP會有 ACK的狀況，所以會有6個 TCP封包。 此數字為在電腦上之時間秒數，從1970年1月1日至今所歷經的秒數。 * -c snort.conf 因為path的關係在此使用此語法 若學生要使用必須選擇正確的路徑 -c 之後必須加入snort.conf的正確path -l 之後必須加入需要存入log檔的正確path * * Victim (Snort)首先設定 rules去防範攻擊，若有出現相關的攻擊則會產生警告。 範例中表示，如果收到 ICMP封包，無論是任何位置傳過來，只要內容含有 This is attack ，則出現 Under attack的訊息。 Victim (Snort)首先設定 rules去防範攻擊，若有出現相關的攻擊則會產生警告。 範例中表示，如果收到 ICMP封包，無論是任何位置傳過來，只要內容含有 This is attack ，則出現 Under attack的訊息。 Rules建立完成之後，則需執行Snor