实验七入侵检测和VPN网络信息安全实验报告.docVIP

实验七 入侵检测和VPN 同组实验者 实验日期 成绩 练习一 基于网络入侵检测系统 实验目的 1.掌握snort IDS工作机理；2.应用snort三种方式工作；3.熟练编写snort规则 实验人数 每组2人 系统环境 Linux 网络环境 企业网络结构 实验工具 Fragroute；snort 实验类型 验证型 一、实验原理 详见“信息安全实验平台”，“实验22”，“练习一”。 二、实验步骤 本练习主机A、B为一组，C、D为一组，E、F为一组。首先使用“快照X”恢复Linux系统环境。下面以主机A、B为例，说明实验步骤。 一．snort数据包嗅探 1．启动snort 进入实验平台，单击工具栏“控制台”按钮，进入IDS工作目录，运行snort对网络接口eth0进行监听，要求如下： （1）仅捕获同组主机发出的icmp回显请求数据包。 （2）采用详细模式在终端显示数据包链路层、应用层信息。 （3）对捕获信息进行日志记录，日志目录/var/log/snort。 snort命令__________________________________________________ 本机执行上述命令，同组主机对当前主机进行ping探测，根据snort捕获信息填写 数据帧源MAC 数据帧目的MAC IP上层协议类型 数据包源IP 数据包目的IP 数据包总长度 IP报文头长度 ICMP报文头长度 ICMP负载长度 ICMP类型／代码 2．查看snort日志记录。 二．snort数据包记录 （1）对网络接口eth0进行监听，仅捕获同组主机发出的Telnet请求数据包，并将捕获数据包以二进制方式进行存储到日志文件中/var/log/snort/snort.log）。 snort命令__________________________________________________ （2）当前主机执行上述命令，同组主机telnet远程登录当前主机。 （3）停止snort捕获（Ctrl+C），读取snort.log文件，查看数据包内容。 snort命令__________________________________________________ 三．简单报警规则 （1）在snort规则集目录ids/rules下新建snort规则集文件new.rules，对来自外部主机的、目标为当前主机80/tcp端口的请求数据包进行报警，报警消息自定义。 snort规则__________________________________________________ 根据规则完成表的填写。 snort规则动作 规则头协议 规则头源信息 规则头目的信息 方向操作 报警消息 （2）编辑snort.conf配置文件，使其包含new.rules规则集文件，具体操作如下：使用vim（或vi）编辑器打开snort.conf，切换至编辑模式，在最后添加新行包含规则集文件new.rules。添加包含new.rules规则集文件语句________________________________________ （3）以入侵检测方式启动snort，进行监听。 启动snort的命令__________________________________________________ 以入侵检测方式启动snort，同组主机访问当前主机Web服务。根据报警日志(/var/log/snort/alert)完成表的填写。 报警名称 数据包源IP 数据包目的IP 数据包源端口号 数据包目的端口号 四．字符串匹配 说明：FTP服务接收来自客户端的ftp请求(目标端口21/tcp)后，在应答数据包中将告诉客户端自己所使用的FTP软件及版本号，Fedora core5所使用的FTP服务器软件是vsFTPd 2.0.4。换句话说，当网络中传输的数据包含有“vsFTPd”字样的内容时，极大的可能性是一个ftp用户在远程登录Linux下的FTP服务器。通过入侵检测系统对网络数据包进行匹配，发现含有“vsFTPd”字样的数据包，并记录其后续的若干数据包，因为若FTP会话是以明文方式进行的话，那么这些数据包中会有用户登录所使用的用户名及口令。 （1）在snort规则集目录/opt/ExpNIS/NetAD-Lib/Tools/ids/rules下新建snort规则集文件new2.rules，对网络中由vsFTPd参与的通信进行报警，并在FTP服务器声明身份后第一时间内捕获FTP客户端登录用户名及登录口令。 （2）利用activate/dynamic规则对实现。 snort规则__________________