实验十观察Linux上IP Subnetting 的运作.PPT

實驗十二建置入侵偵測防禦系統及弱點偵測掃瞄系統 教師： 助教： 大綱 入侵偵測防禦系統 (IDS/IPS) Snort Sniffer mode Inline mode 規則格式 實驗環境 實驗方法 入侵偵測防禦系統 入侵偵測系統 (Intrusion Detection System ) 透過特徵(signature)比對，決定是否警告管理者。 入侵防禦系統 (Intrusion Protection system) 與IDS相似 能進一步決定是否將封包丟棄。 本實驗透過 Snort 軟體的 inline 模式，掃瞄封包的內容決定作取代或丟棄等動作。 Snort Snort 為一 Open Source 軟體 作者是 Martin Roesch，在 1998 年寫出來，目的是要做一個”輕量級”的 IDS。 目前約有 4000 條 rules。他的 rule 分類如下： Snort Sniffer Mode 在封包通過網路介面時，複製一份做比對，如果偵測到符合 rule，就會做 log，但是不能做封鎖之類的後續防護。 Snort Inline Mode 直接對封包掃瞄(inline)，決定要做警告、替換內容、拒絕及通過封包等動作。 規則格式 (1/3) 過濾格式如下： 規則格式 (2/3) Protocol Protocol := tcp | udp | icmp | ip From/Dest IP 可以直接設定 IP，或用 CIDR 設定一段網域。也可以用中括號設定多個 IP、CIDR，中間用逗號隔開。在前面前上 ! 代表不包含這些 IP。 From/Dest Port 指定一個 port，或用 : 限制一段範圍。如果冒號左邊/右邊不指定代表無下限/上限。 Direction - 由左至右，- 雙向。 Rule Msg - 設定 log 及 alert 動作時顯示的訊息。 Content - 設定要比對的封包，符合的話才會啟動 rule。 Replace - 將前一個符合 content 的字串取代成 replace 指 定的內容。 規則格式 (3/3) Example 1 記錄來自任何IP、Port，到/24 Port為1到1024的所有封包。 Example 2 若封包含有00 01 86 a5的內容，以” external mountd access”的訊息警告。 實驗環境 使用 Linux 電腦建立 bridge，做為內部 server 及外部 client 之間的防火牆。 各台主機的用途 Server(Linux)：安裝被 client 模擬攻擊的伺服器，以及觀察被 Snort過濾後的封包。 Firewall(Linux)：安裝 Snort，以及記錄 Snort 的 log。 Client(Windows)：送出網路封包來驗證 Snort 是否正常工作。 實驗方法 (1/2) 第一階段 Snort 的安裝。 設定過濾條件。 第二階段 測試Snort過濾條件。 針對各種通訊協定的封包作分析，比對。 將連線網址 /admin 替換成 /Admin 若FTP傳輸的檔案名為Virus.zip，則禁止紀錄 實驗方法 (2/2) 使用實際攻擊做練習。 Win2k IIS UNICODE 漏洞 利用IIS不會阻擋 Unicode “.” 的特性來存取到伺服器的其他檔案 請使用Snort 記錄及抵擋這種連線 * * bad-traffic.rules experimental.rules info.rules local.rules misc.rules other-ids.rules policy.rules porn.rules virus.rules attack-responses.rules backdoor.rules ddos.rules dos.rules exploit.rules scan.rules shellcode.rules web-*.rules p2p.rules pop2.rules pop3.rules rpc.rules rservices.rules smtp.rules sql.rules telnet.rules tftp.rules web-*.rules x11.rules chat.rules dns.rules finger.rules icmp.rules icmp-info.rules imap.rules multimedia.rules mysql.rules netbios.rules nntp.rules oracle.rules 其他(病毒，內容過濾) 攻擊 通訊協定偵測 action protocol from_ip from_p