端口扫描攻击检测实验_附件.pdfVIP

实验 端口扫描攻击检测实验 【实验名称】 端口扫描攻击检测实验 【实验目的】 RG-IDS 对端口扫描（port scan ）攻击检测功能 【背景描述】 校园网中服务器被外网用户扫描和探测，扫描攻击不仅是攻击的前奏，而且消耗网络 带宽，影响学校网络正常运行。RG-IDS 部署在外网出口、DMZ 区、数据中心，检测外网 和内网用户对 DMZ 服务器、数据中心区应用层攻击，以及恶意扫描和探测行为的审计。并 将检测信息及时通知管理员，采取相应的防御措施。 【需求分析】 需求 ：外网用户的恶意扫描探测，内网用户遭受病毒攻击后，会自动向外发送扫描， 传播蠕虫等病毒，危害内网安全 分析 ：通过RG-IDS 端口扫描攻击的检测，初步识别攻击的源和目的，进行及时防御， 将威胁降到最低，更好的保护学校网络安全 【实验拓扑】 攻击机 IP ：172.16.5.127 网口1 IDS入侵检测控制台 网口3 IDS入侵检测引擎 IP ：172.16.5.128 IP ：172.16.5.100 网口2 被攻击机 IP ：172.16.5.125 图 5-1 端口扫描攻击检测实验拓扑图 【实验设备】 PC 3台 RG-IDS 1台 直连线 5 条 1 交换机 1 台（必须支持多对一的端口镜像） 攻击工具 portscan12（端口扫描工具） 【预备知识】 交换机端口镜像配置、RG-IDS 配置、portscan12攻击工具使用 【实验原理】 端口扫描向目标主机的 TCP/IP 服务端口发送探测数据包，并记录目标主机的响应。 通过分析响应来判断服务端口是打开还是关闭，就可以得知端口提供的服务或信息。端口扫 描也可以通过捕获本地主机或服务器的流入流出 IP 数据包来监视本地主机的运行情况，它 仅能对接收到的数据进行分析，帮助我们发现目标主机的某些内在的弱点，而不会提供进入 一个系统的详细步骤。 端口扫描技术行为作为恶意攻击的前奏，严重威胁用户的网络，RG-IDS 通过扫描的 行为特征准确的识别出恶意的扫描行为，并及时通知管理员。 本课实验通过攻击者常用的 portscan12 端口扫描攻击，进行端口扫描攻击，检验 RG-IDS 对端口扫描攻击的检测能力 【实验步骤】 第一步：策略编辑 点击主界面上的“策略”按钮，切换到策略编辑器界面，从“default”策略中派生出 “test”策略，在”test”策略中，选择“tcp _ portscan ”签名，并将策略下发到引擎， 如图 5-2 ： 图 5-2 策略配置 2 备注：策略编辑的具体操作请参考《策略管理实验》 第二步：实施攻击 双击“portscan12.exe”文件，启动端口扫描攻击程序，如图 5-3 ：