入侵检测实验报告.doc

入侵检测实验报告 一、实验课题：snort策略配置分析snrot使用一种简单的轻量级的规则描述语言来描述它的规则配置信息，它灵活而强大。Snort规则被分成两个逻辑部分：规则头和规则选项。规则头包含规则的动作，协议，源和目标ip地址与网络掩码，以及源和目标端口信息；规则选项部分包含报警消息内容和要检查的包的具体部分。下面是一个规则范例：alert tcp any any - /24 111 (content:|00 01 86 a5|; msg: mountd access;)括号前的部分是规则头，括号内的部分是规则选项。规则选项部分中冒号前的单词称为选项关键字。注意：不是所有规则都必须包含规则选项部分，选项部分只是为了使对要收集或报警，或丢弃的包的定义更加严格。组成一个规则的所有元素对于指定的要采取的行动都必须是真的。当多个元素放在一起时，可以认为它们组成了一个逻辑与（AND）语句。同时，snort规则库文件中的不同规则可以认为组成了一个大的逻辑或（OR）语句。在snort中有五种动作：alert，log和pass，activate和dynamic。Alert-使用选择的报警方法生成一个警报，然后记录（log）这个包Log-记录这个包Pass-丢弃（忽略）这个包报警然后打开另外一个dynamic规则等待一个activate来激活，在被激活后，向log规则一样记录数据包规则的下一部分是协议。Snort当前分析可疑包的ip协议有三种：tcp ,udp和icmp。将来可能会更多，例如arp，igrp，gre，ospf，rip，ipx等。IP地址：规则头的下一个部分处理一个给定规则的ip地址和端口号信息。关键字any可以被用来定义任何地址。Snort没有提供根据ip地址查询域名的机制。地址就是由直接的数字型ip地址和一个cidr块组成的。Cidr块指示作用在规则地址和需要检查的进入的任何包的网络掩码。/24表示c类网络，/16表示b类网络，/32表示一个特定的机器的地址。例如，/24代表从到55的地址块。在这个地址范围的任何地址都匹配使用这个/24标志的规则。这种记法给我们提供了一个很好的方法来表示一个很大的地址空间。在“例一”中，源ip地址被设置为任何连接的计算机，而目标地址被设置为上的c类网络。有一个操作符可以应用在ip地址上，它是否定运算符（negation operator）。这个操作符告诉snort匹配除了列出的ip地址以外的所有ip地址。否定操作符用！表示。例如，使用否定操作符对“例一”做一个简单修改，使它对任何来自本地网络以外的流都进行报警，如：alert tcp !/24 any - /24 111 (content: |00 01 86 a5|; msg: external mountd access;) 这个规则的ip地址代表“任何源ip地址不是来自内部网络而目标地址是内部网络的tcp包”端口号：端口号可以用几种方法表示，包括any端口，静态端口定义，范围，以及通过否定操作符定义。any端口是一个通配符，表示任何端口。静态端口定义表示一个单个端口号，例如：111表示portmapper，23表示telnet，80表示http等等。端口范围用范围操作符“：”表示。范围操作符可以有几种使用方法，如：log udp any any - /24 1:1024记录来自任何端口的，目标端口范围在1到1024的udp数据流log tcp any any - /24 :6000记录来自任何端口，目标端口小于等于6000的tcp流log tcp any :1024 - /24 500:记录来自任何小于等于1024的特权端口，目标端口大于等于500的tcp流规则选项组成了snort入侵检测引擎的核心，既易用又强大还灵活。所有的snort规则选项用分号“；”隔开。规则选项关键字和它们的参数用冒号“：”分开。按照这种写法，snort中有一下一些规则选项关键字。1、 msg - 在报警和包日志中打印一个消息 2、 logto - 把包记录到用户指定的文件中而不是记录到标准输出 3、 ttl - 检查ip头的ttl的值 4、 tos- 检查ip头的tos域的值5、 id - 检查ip头的分片id值 6、 ipoption- 检查ip头的option域7、 fragbits- 检查ip头的分片标志位8、 dsize - 检查包的数据部分大小 9、 content - 在包的数据部分中搜索指定的样式 10、 offset - content选项的修饰符，设定开始搜索的位置 11、 depth - content选项的修饰符，设定搜索的最大深度 12、 nocase - 指定对content字符串