南京信工程大学网络实验(八).docVIP

南京信息工程大学 实验（实习）报告 实验（实习）名称 因特网的使用 实验（实习）日期 2014.12.16 得分 指导教师 刘 生 专业 计算机科学与技术 年级 12 班次 3 姓名 王飞 学号 20122308917 实验目的 掌握因特网的相关知识（web、ftp、E-mail等）。 熟悉IE浏览器的使用 熟悉利用因特网搜索相关内容的方法和技巧 熟悉电子邮件的使用 实验内容 入侵检测系统 目的与要求 掌握snort IDS工作机理 应用snort三种方式工作 熟练编写snort规则 了解IDS误报漏报的缺点 2.系统环境 Linux Windows 网络环境 交换网络结构 实验工具 iptables Nmap Ulogd 实验步骤 主机A、B为一组，C、D为一组，E、F为一组。 首先使用“快照X”恢复Linux系统环境。 Snort数据包嗅探 1.启动snort 进入实验平台，单击工具栏“控制台”按钮，进入IDS工作目录，运行snort对网络接口eth0进行监听，要求如下： （1）仅捕获同组主机发出的icmp回显请求数据包。 （2）采用详细模式在终端显示数据包链路层、应用层信息。 （3）对捕获信息进行日志记录，日志目录/var/log/snort。 snort命令snort -i eth0 -dev 4 src and icmp -1 本机执行上述命令，同组主机对当前主机进行ping探测，根据snort捕获信息填写表 数据帧源MAC 0:C:29:9:E4:9A 数据帧目的MAC 0:C:29:B1:19:F0 IP上层协议类型 ICMP 数据包源IP 0 数据包目的IP 4 数据包总长度 0X62 IP报文头长度 20 ICMP报文头长度 8 ICMP负载长度 56 ICMP类型／代码 8/0 2．查看snort日志记录。 「说明」 默认snort日志记录最后一级目录会以触发数据包的源IP命名。可使用组合键Ctrl+C停止snort运行。 Snort数据包记录 （1）对网络接口eth0进行监听，仅捕获同组主机发出的Telnet请求数据包，并将捕获数据包以二进制方式进行存储到日志文件中/var/log/snort/snort.log）。 snort命令snort -i eth0 -b tcp and dst port 23 and src 1 （2）当前主机执行上述命令，同组主机telnet远程登录当前主机。 telnet 02 （3）停止snort捕获（Ctrl+C），读取snort.log文件，查看数据包内容。 snort命令snort -r /var/log/snort/snort.log.XXXX 简单报警规则 （1）在snort规则集目录ids/rules下新建snort规则集文件new.rules，对来自外部主机的、目标为当前主机80/tcp端口的请求数据包进行报警，报警消息自定义。 snort规则 alert tcp any any - 本机IP80（msg：”XXX”;） snort规则动作 报警 规则头协议 TCP 规则头源信息 任意IP，任意端口 规则头目的信息 16 80 方向操作 当前主机为接收端 报警消息 FTPLogin （2）编辑snort.conf配置文件，使其包含new.rules规则集文件，具体操作如下：使用vim（或vi）编辑器打开snort.conf，切换至编辑模式，在最后添加新行包含规则集文件new.rules。 添加包含new.rules规则集文件语句include $RULE_PATH/new.rules(规则集文件路径) （3）以入侵检测方式启动snort，进行监听。 启动snort的命令 snort -c snort.conf 以入侵检测方式启动snort，同组主机访问当前主机Web服务。 根据报警日志(/var/log/snort/alert)完成表 报警名称 FTPLogin 数据包源IP 02 数据包目的IP 1 数据包源端口号 随机 数据包目的端口号 80 分析 IPS位于防火墙和网络的设备之间，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前组织这个恶意的通信。而IDS只是存在于网络之外起到报警的作用，而不是在网络前面起到防御作用。 实验总结 通过网上搜索相关内容让我学到了很多关于以防网络入侵的方法技术。让我对网络安全得到了新的认识和理解。