学习单元x标题.pptVIP

* 二、入侵检测系统—— snort snortIDS（入侵检测系统）是一个强大的网络入侵检测系统。它具有实时数据流量分析和记录IP网络数据包的能力，能够进行协议分析，对网络数据包内容进行搜索/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。此外，snort是开源的入侵检测系统，并具有很好的扩展性和可移植性 (1) 数据包嗅探模块——负责监听网络数据包，对网络进行分析； (2) 预处理模块——该模块用相应的插件来检查原始数据包，从中发现原始数据的“行为”，如端口扫描，IP碎片等，数据包经过预处理后才传到检测引擎； (3) 检测模块——该模块是snort的核心模块。当数据包从预处理器送过来后，检测引擎依据预先设置的规则检查数据包，一旦发现数据包中的内容和某条规则相匹配，就通知报警模块； (4) 报警/日志模块——经检测引擎检查后的snort数据需要以某种方式输出。如果检测引擎中的某条规则被匹配，则会触发一条报警，这条报警信息会通过网络、UNIXsocket、WindowsPopup(SMB)、SNMP协议的trap命令传送给日志文件，甚至可以将报警传送给第三方插件（如SnortSam），另外报警信息也可以记入SQL数据库。 snort预置的规则动作有5种： (1) pass—忽略当前的包，后继捕获的包将被继续分析。 (2) log—将按照自己配置的格式记录包。 (3) alert—按照自己配置的格式记录包，然后进行报警。 (4) dynamic—是比较独特的一种，它保持在一种潜伏状态，直到activate类型的规则将其触发，之后它将像log动作一样记录数据包。 (5) activate—activate功能强大，当被规则触发时生成报警，并启动相关的dynamic类型规则。在检测复杂的攻击，或对数据进行归类时，该动作选项相当有用。 * 入侵检测系统——Snort 3 snort三种工作方式 snort拥有三大基本功能：嗅探器、数据包记录器和入侵检测。 1、嗅探器模式仅从网络上读取数据包并作为连续不断的流显示在终端上，常用命令snort-dev。 2、数据包记录器模式是把数据包记录到硬盘上，常用命令snort-b。 3、网络入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配 用户定义的一些规则，并根据检测结果采取一定的动作。 snort规则 1. snort规则定义 snort使用一种简单的规则描述语言，这种描述语言易于扩展，功能也比较强大。 snort的每条规则都可以分成逻辑上的两个部分：规则头和规则体。 规则体的作用是在规则头信息的基础上进一步分析 (snort的规则定义中可以没有规则体） 2. Filters过滤器 snort的filters是标准的BPF格式的过滤器。 snort应用了BPF机制，BPF机制很容易理解，可以用于分析TCP、UDP、IP和ICMP协议。规则语法很像自然的口语，使用“and”和“or”作为规则操作符，用“not”作为取反符，此处还可以用括号来告诉引擎将一系列数据作为一个整体来处理。 * 入侵检测系统——Snort 3 其中，alert表示规则动作为报警。 tcp表示协议类型为TCP协议。 !/24表示源IP地址不是/24。 第一个any表示源端口为任意端口。 -表示发送方向操作符。 第二个any表示目的IP地址为任意IP地址。 21表示目的端口为21。 content:USER表示匹配的字符串为“USER”。 msg:FTPLogin表示报警信息为“FTPLogin”。 Alert tcp!/24any-any21(content:USER;msg:FTPLogin;) snort应用 snort采用命令行方式运行。格式为：snort–[options]filters。options为选项参数；filters为过滤器。1. snort主要选项参数 ICMP捕获：icmp。 telnet请求数据包捕获tcpanddstport23。 记录所有源自网络/24，目的是/24的IP流量 ：ipandsrcnet192.168.0anddstnet202.98.0。 【操练1】Linux平台下实用Snort数据包嗅探、记录与简单报警 * 入侵检测系统——使用案例演练 3 一．snort数据包嗅探 1． 启动snort 进入实验平台，单击工具栏“控制台”按钮，进入IDS工作目录，运行snort对网络接口eth0进行监听，要求如下： (1) 仅捕获同组主机发出的icmp回显请求数据包。 (2) 采用详细模式在终端显示数据包链路层、应用层信息。 (3) 对捕获信息进行日志记录，日志目录/var/log/snort。 snort命令___________