实验七入侵检测和VPN网络与信息安全实验报告.docxVIP

实验七入侵检测和VPN 实验日期同组实验者 实验日期 练习一 实验目的 实验人数 系统环境 网络环境 实验工具 实验类型 基于网络入侵检测系统 1.常握snort IDS工作机理；2.应用snort三种方式工作；3.熟练编写snort规则 每组2人 Linux 企业网络结构 Fragroute； snort 验证型 一、实验原理 详见“信息安全实验平台，“实验22”，“练习一”。 二、实验步骤 本练习主机A、B为一组，C、D为一组，E、F为一组。首先使用“快照X”恢复Linux 系统环境。下而以主机A、B为例，说明实验步骤。 snort数据包嗅探 启动 snort 进入实验平台，单击工具栏“控制台”按钮，进入IDS工作目录，运行snon对网络接口 ethO进行监听，要求如下： （1） 仅捕获同组主机发出的icmp回显请求数据包。 （2） 采用详细模式在终端显示数据包链路层、应用层信息。 （3） 对捕获信息进行日志记录，日志目录/var/log/snorty snort命令 本机执行上述命令，同组主机对当前主机进行ping探测，根据snort捕获信息填写 数据帧源MAC 数据帧目的 IP上层协议类型 数据包源IP 数据包冃的IP 数据包总长度 IP报文头长度 ICMP报文头长 ICMP负载长度 ICMP类型/代 查看snort H志记录。 snort数据包记录 对网络接口 ethO进行监听，仅捕获同组主机发出的Telnet请求数据包，并将捕获 数据包以二进制方式进行存储到日志文件中/var/log/snort/snort.log) 0 snort命令 当前主机执行上述命令，同组主机telnet远程登录当前主机。 停止snort捕获(Ctrl+C),读取snort.log文件，查看数据包内容。 snort命令 简单报警规则 在snort规则集目录ids/rules卜新建snort规则集文件new.rules,对来自外部主机 的、目标为当前主机80/tcp端口的请求数据包进行报警，报警消息自定义。 snort 规贝I] 根据规则完成表的填写。 snort规则动作 规则头协议 规则头源信息 规则头H的信息 方向操作 报警消息 编辑snort.conf配置文件，使其包含new.rules规则集文件，具体操作如下：使用 vim (或vi)编辑器打开snort.conf,切换至编辑模式，在最后添加新行包含规则集文件 new.rules。添力口包含 new.rules规贝集文件语句 以入侵检测方式启动snort,进行监听。 启动snort的命令 以入侵检测方式启动snort,同组主机访问当前主机Web服务。根据报警日志 (/var/log/snort/alert)完成表的填写。 报警名称 数据包源IP 数据包目的IP 数据包源端口 数据包目的端 字符串匹配 说明：FTP服务接收来自客户端的ftp请求(目标端口 21/tcp)后，在应答数据包中将告诉 客户端自己所使用的FTP软件及版本号，Fedora core5所使用的FTP服务器软件是vsFTPd 2.0.4。换句话说，当网络中传输的数据包含有“vsFTPcT字样的内容时，极大的可能性是一个 ftp用户在远程登录Linux下的FTP服务器。通过入侵检测系统对网络数据包进行匹配，发 现含有“vsFTPcT字样的数据包，并记录其后续的若干数据包，因为若FTP会话是以明文方 式进行的话，那么这些数据包中会有用户登录所使用的用户名及口令。 (1 )在 snort 规则集目录/opt/ExpN⑸NetAD-Lib/Tools/ids/「ules 下新建 snort 规则集文件 new2.rules,对网络屮[tl vsFTPd参与的通信进行报警，并在FTP服务器声明身份后第一时 间内捕获FTP客户端登录用户名及登录口令。 利用activate/dynamic规则对实现。 snort 规贝I] 编辑snort.conf配置文件，使其包含new2.rules规则集文件。 以入侵检测方式启动snort,进行监听。需要特别说明的是：网络传输数据中的 FTP用户名及口令数据是应用层(ISO七层协议)数据，默认情况下snort不显示和记录应 用层数据，所以此处在启动snort时应指定其抓取、记录应用层数据。 启动snort的命令 同组主机远程FTP登录，登录过程如图1所示。 [root.@llost5E ids]# ftp 172. 16. 0. 141 Connected to 172. 16. 0. 141. 220 (vsFTPd 2. 0. 4) 530 Please login with USER and PASS. 530 Please login with USER and PAS