入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)、實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)實(shí)驗(yàn)深入理解入侵檢測(cè)系統(tǒng)的原理和工作方式,熟悉入侵檢測(cè)系統(tǒng)的配置和使用。實(shí)驗(yàn)具體要求如下:熟悉入侵檢測(cè)系統(tǒng)的配置和使用。實(shí)驗(yàn)具體要求如下:1?理解入侵檢測(cè)的作用和原理2?理解誤用檢測(cè)和異常檢測(cè)的區(qū)別3?掌握Snort的安裝、配置和使用等實(shí)用技術(shù)二、實(shí)驗(yàn)原理1、入侵檢測(cè)概念及其功能II入侵檢測(cè)是指對(duì)入侵行為的發(fā)現(xiàn)、報(bào)警和響應(yīng)，它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)系統(tǒng)

II(intrusiondetectionsystem,IDS)是完成入侵檢測(cè)功能的軟件和硬件的集合。入侵檢測(cè)的功能主要體現(xiàn)在以下幾個(gè)方面：.監(jiān)視并分析用戶和系統(tǒng)的活動(dòng)。.核查系統(tǒng)配置和漏洞。.識(shí)別已知的攻擊行為并報(bào)警.統(tǒng)計(jì)分析異常行為。.評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。.操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別違反安全策略的用戶行為。IIII略的用戶行為。IIII2、入侵檢測(cè)的分類(lèi)根據(jù)IDS檢測(cè)對(duì)象和工作方式的不同，可以將IDS分為基于網(wǎng)絡(luò)的IDS(簡(jiǎn)稱NIDS)和基于主機(jī)的IDS(簡(jiǎn)稱HIDS)。NIDS和HIDS互為補(bǔ)充，兩者的結(jié)合使用使得IDS有了更強(qiáng)的檢測(cè)能力。1).基于主機(jī)的入侵檢測(cè)系統(tǒng)。HIDS歷史最久，最早用于審計(jì)用戶的活動(dòng)，比如用戶登錄、命令操作、應(yīng)用程序使用資源情況等。HIDS主要使用主機(jī)的審計(jì)記錄和日志文件作為輸入，某些HIDS也會(huì)主動(dòng)與主機(jī)系統(tǒng)進(jìn)行交互以獲得不存在于系統(tǒng)日志的信息。HIDS所收集的信息集中在系統(tǒng)調(diào)用和應(yīng)用層審計(jì)上，試圖從日志尋找濫用和入侵事件的線索。HIDS用于保護(hù)單臺(tái)主機(jī)不受網(wǎng)絡(luò)攻擊行為的侵害，需要安裝在保護(hù)的主機(jī)上。2).基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)NIDS是在網(wǎng)絡(luò)中的某一點(diǎn)被動(dòng)地監(jiān)聽(tīng)網(wǎng)絡(luò)上傳輸?shù)脑剂髁浚⑼ㄟ^(guò)協(xié)議分析、特征、統(tǒng)計(jì)分析等分析手段發(fā)現(xiàn)當(dāng)前發(fā)生的攻擊行為。NIDS通過(guò)對(duì)流量分析提取牲模式，再與已知攻擊牲相匹配或與正常網(wǎng)絡(luò)行為原形相比較來(lái)識(shí):檢別攻擊事暮。1)?入侵檢測(cè)系統(tǒng)的特點(diǎn)：El入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem)是對(duì)防火墻有益的補(bǔ)充，它對(duì)網(wǎng)絡(luò)和主機(jī)行為進(jìn)彳亍檢測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)監(jiān)控，增強(qiáng)了網(wǎng)絡(luò)的安全性。El測(cè)生式測(cè)分El在安全防范方面，入侵檢測(cè)系統(tǒng)可以實(shí)現(xiàn)事前警告、事中防護(hù)和事后取證。入侵檢測(cè)系統(tǒng)能夠在入侵攻擊行為對(duì)網(wǎng)絡(luò)系統(tǒng)造成危害前，及時(shí)檢到入侵攻擊的發(fā)生，并進(jìn)行報(bào)警；入侵攻擊發(fā)時(shí)，入侵檢測(cè)系統(tǒng)可以通過(guò)與防火墻聯(lián)動(dòng)等方進(jìn)行報(bào)警及動(dòng)態(tài)防護(hù)；被入侵攻擊后，入侵檢系統(tǒng)可以提供詳細(xì)的攻擊信息日志，便于取證析。測(cè)生式測(cè)分ElEl相對(duì)于防火墻提供的靜態(tài)防護(hù)而言，入侵檢測(cè)

ElEl系統(tǒng)側(cè)重于提供動(dòng)態(tài)實(shí)時(shí)檢測(cè)防護(hù)，因此防火墻和入侵檢測(cè)系統(tǒng)的結(jié)合，能夠給網(wǎng)絡(luò)帶來(lái)更全面的防護(hù)。El.入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)原理：入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)技術(shù)可以簡(jiǎn)單地分為兩大類(lèi)：基于特征的檢測(cè)和基于異常的檢測(cè)。進(jìn)行數(shù)據(jù)首先網(wǎng)絡(luò)網(wǎng)絡(luò)基于特征的檢測(cè)技術(shù)主要包括模式匹配和協(xié)議分析兩種主要檢測(cè)方法。模式匹配就是將已知入侵事件悼念到網(wǎng)絡(luò)入侵和系統(tǒng)誤用知識(shí)庫(kù)中，對(duì)入侵檢測(cè)系統(tǒng)悼念的信息和知識(shí)庫(kù)中的規(guī)則比較，以發(fā)現(xiàn)入侵行為。協(xié)議分析技術(shù)則對(duì)包進(jìn)行協(xié)議解析后進(jìn)行分析。這種技術(shù)需要捕捉數(shù)據(jù)包，然后對(duì)數(shù)據(jù)包進(jìn)行解析，包括協(xié)議分析和命令解析，即使在高負(fù)載的調(diào)整上，也能逐個(gè)分析所有的數(shù)據(jù)包。進(jìn)行數(shù)據(jù)首先網(wǎng)絡(luò)網(wǎng)絡(luò)和所基于牲的檢測(cè)技術(shù)只需收集相關(guān)的數(shù)據(jù)，維護(hù)的知識(shí)庫(kù)規(guī)則比較就能進(jìn)行判斷，檢測(cè)準(zhǔn)確率和效率較高。但是，該技術(shù)需要不斷進(jìn)行知識(shí)庫(kù)規(guī)則的升級(jí)以對(duì)付不斷出現(xiàn)的新攻擊手法，而且,它不能檢測(cè)未知攻擊手段。和所.入侵檢測(cè)系統(tǒng)的部署原則：NIDS總的來(lái)說(shuō)包括探測(cè)器和控制臺(tái)兩大部分。探測(cè)器是專(zhuān)用的硬件設(shè)備，負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)流的捕獲、分析檢測(cè)和報(bào)警等功能。控制臺(tái)是管理探測(cè)器的工具，它負(fù)責(zé)接收探測(cè)器的檢測(cè)日志數(shù)據(jù)，并提供數(shù)據(jù)查詢和報(bào)告生成等功能，一個(gè)控制臺(tái)可以管理多個(gè)探測(cè)器。HIDS安裝在被保護(hù)的機(jī)器上，在主機(jī)系統(tǒng)的審計(jì)日志或操作中查找信息源進(jìn)行智能分析和判斷，例如操作系統(tǒng)日志、系統(tǒng)進(jìn)程、文件訪問(wèn)和注冊(cè)表訪問(wèn)等信息。由于HIDS安裝在需要保護(hù)的主機(jī)系統(tǒng)上，這將影響應(yīng)用系統(tǒng)的運(yùn)行效率。HIDS對(duì)主機(jī)系統(tǒng)固有的日志與監(jiān)視能力有很高的依賴性，它一般針對(duì)其所在的系統(tǒng)進(jìn)行檢測(cè)。4/Snort簡(jiǎn)介及使用原理:III1).Snort是一款免費(fèi)的NIDS，具有小巧靈便、易于配置、檢測(cè)效率高等特性，常被稱為輕量級(jí)的IDS。Snort具有實(shí)時(shí)數(shù)據(jù)流量分析和IP數(shù)據(jù)包日志分析能力，具有跨平臺(tái)特征，能夠進(jìn)行協(xié)議分析和對(duì)內(nèi)容的搜索或匹配。Snort能夠檢測(cè)不同的攻擊行為，如緩沖區(qū)溢出、端口掃描和拒絕服務(wù)攻擊等，并進(jìn)行實(shí)時(shí)報(bào)警。IIISnort可以根據(jù)用戶事先定義的一些規(guī)則分析網(wǎng)絡(luò)數(shù)據(jù)流，并根據(jù)檢測(cè)結(jié)果采取一定的行動(dòng)。Snort有3種工作模式，即嗅探器、數(shù)據(jù)包記錄器和NIDS。嗅探器模式僅從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的數(shù)據(jù)流顯示在終端上；數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤(pán)上，以備分析之用；NIDS模式功能強(qiáng)大，可以通過(guò)配置實(shí)現(xiàn)。.Snort的結(jié)構(gòu)由四大軟件模塊組成：數(shù)據(jù)包嗅探模塊。負(fù)責(zé)監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)包，對(duì)網(wǎng)絡(luò)進(jìn)行分析。預(yù)處理模塊。該模塊用相應(yīng)的插件來(lái)檢查原始數(shù)據(jù)包，從中發(fā)現(xiàn)原始數(shù)據(jù)的“行為”。檢測(cè)模塊。該模塊是Snort的核心模塊。當(dāng)數(shù)據(jù)包從預(yù)處理器送過(guò)來(lái)后，檢測(cè)引擎依據(jù)預(yù)先設(shè)置的規(guī)則檢查數(shù)據(jù)包，一旦發(fā)現(xiàn)數(shù)據(jù)包中的內(nèi)容和某條規(guī)則相匹配，就通知報(bào)警模塊。報(bào)警/日志模塊。經(jīng)檢測(cè)引擎檢查后的Snort數(shù)據(jù)需要以某種方式輸出。如果檢測(cè)引擎中的某條規(guī)則被匹配，則會(huì)觸發(fā)一條報(bào)警。.Snort規(guī)則。Snort的每條規(guī)則邏輯上都可以分成規(guī)則頭部和規(guī)則選項(xiàng)。規(guī)則頭部包括規(guī)則行為、協(xié)議、源或目的IP地址、子網(wǎng)掩碼、源端口和目的端口；規(guī)則選項(xiàng)包含報(bào)警信息和異常包的信息(特征碼)，基于特征碼決定是否采取規(guī)則規(guī)定的行動(dòng)。對(duì)于每條規(guī)則來(lái)說(shuō)，規(guī)則選項(xiàng)不是必需的，只是為了更加詳細(xì)地定義應(yīng)該收集或者報(bào)警的數(shù)據(jù)包。只有匹配所有選項(xiàng)的數(shù)據(jù)包,Snort都會(huì)執(zhí)行其規(guī)則行為。如果許多選項(xiàng)組合在一起，它們之間是邏輯與的關(guān)系。三、實(shí)驗(yàn)步驟實(shí)驗(yàn)內(nèi)容一：Windows平臺(tái)下Snort的安裝與配置由于需要對(duì)網(wǎng)絡(luò)底層進(jìn)行操作，安裝Snort前需要預(yù)先安裝WinpCap(WIN32平臺(tái)上網(wǎng)絡(luò)分析和捕獲數(shù)據(jù)包的鏈接庫(kù))。1.下載Windows平臺(tái)下的Snort安裝程序，選擇安裝目錄為c:\Snort。進(jìn)行到選擇日志文件存放方式時(shí)，為簡(jiǎn)單起見(jiàn)，選擇不需要數(shù)據(jù)庫(kù)支持或者Snort默認(rèn)的MySQL和ODBC數(shù)據(jù)庫(kù)支持的方式。(即選擇"Idonotplantologtoadatabase,orIamplanningtologtooneofthedatabaseslistedabove.")2.單擊開(kāi)始”菜單，選擇運(yùn)行”命令，輸入cmd并按Enter鍵，在命令行方式下輸入如下命令c:\>cdc:\Snort'bin,然后輸入c:\Snort\bin>snort-Wo如果Snort安裝成功，系統(tǒng)彳將顯示如下圖所示信息。>cdbin4.4.為了進(jìn)一步查看Snort的運(yùn)行狀況，可以人為制c:\SnortNhin>snoi"七—U——*>Snort1<**——o">?Uersian2.8 0.2-ODBC-MjfSQL-FlexRESP-WIN32<Build7S>ByMa±'tinftatscli&TheSnor-tTe&m：littp:〃www?snoi*t-<C>CQpiFi'isrht1950一2B07SourcefireInc?*etnL?UsinPCREuer-sion=??42007—09—21Interface Device Desci'iptionLXDEuice\NFF_f9EEEfiFD0-5C80-4FAiC-A89D-D325D777FA?4>WHW\UiJapter> 總\Deuice\MPF_vB6ED75E4-F863-47C0-E416-F8C&903DA053><UMwaveUir\DeuiceAPF_<133B0940-BtCB-4Et2-B171-9E71C48144G7}<M3Tunnel>SDeuiceSNPF<150C&922-18CE-46fc&-8ECfl-Cfi0784570BEE>NTu—或 日廣\DeviceSHPF_<CDF039fi?-3472-4E62-90JD-FBE23A06BBC1><RealtelcHI-EGigabitEtJiernetN1C>3.從返回的結(jié)果可知主機(jī)上有哪個(gè)物理網(wǎng)卡正在工作及該網(wǎng)卡的詳細(xì)信息。其中第五個(gè)是具有物理地址的網(wǎng)卡。輸入snort-v-i5命令啟用Snort。其中，-v表示使用Verbose模式，把信息包打印在屏幕上；-i5表示監(jiān)聽(tīng)第五個(gè)網(wǎng)卡。如下圖所示：c:\SnortXbin>snoi*t~v-i4Runninginpacketdunpnode InitlalizlngOutputPlugins?llerifyinjfPi'epi'DcessoT'Conflgui\aAions!InitializingrN&twoirliInterfaceM>evice>WF_<150C&922-180E-4666-8ECA-CA0784570BEE7DecodingEthernetoninterface\I>evice\NPF_<150C6922-180E-4&&G-8ECfi-CA0784S70BEEJ=-InitializationConplete-=——ou嚴(yán)Uersion2.8.ft,2-ODBC-MySQL-FlcxRESP-WIN32(Build75>1*1*ByMai*tinRoesch&TheSnortlean：http：//www.sno^^^^^^^^B<C>Copvt11V98-2o07Saui^cefireInc.,etal?UsingPCREuersion;7_^^^?^^^^^^200?-?9-21NotUsrinePCAPJFRAMESB8Z23-14：42：00.18477S1?60:65420->2:90&eUDPTTL：128TOS：0x0ID：1330IpLen：20DgmLen：92Lun:64造一些ICMP網(wǎng)絡(luò)流量。在局域網(wǎng)段中的另一臺(tái)主機(jī)上使用Ping指令，探測(cè)運(yùn)行Snort的主機(jī)。5.回到運(yùn)行Snort的主機(jī)，發(fā)現(xiàn)Snort已經(jīng)記錄了這次探測(cè)的數(shù)據(jù)包，Snort在屏幕上輸出了局域網(wǎng)中另—臺(tái)主機(jī)到本主機(jī)的ICMP數(shù)據(jù)包頭。08/23-14:43:21.398437192.168,1.100->192,168.1.102ICMPTTL?12BTO￡t0x9ID?133€[pLenDgmLvnll/pe：0Code：0ID：7t8Geq：2816ECHOREPLY0BZ23-14143：2Z.4223501?2.16S-1_1B2->19Z_1￡8_1_1B3ICMPTTL:128TOS=0x3ID=6772lpLen=20QgnLen：&0IVpe：BCodezBID：7B8Seq：3072ECHO—+ + + + + -r—-r——=+=d|-=+=+=+=+s+0e八23八14-43:22.d3244a >160->192.1八8>1.:102ICMPTTL：128TOS：0x0ID：1337TpLen：20DgmLen：60Type：陌Code：0ID：7?8 Seq：3072ECHOREPLY06/23-14:43:24-6?50?SftRPuhc-hasU0tell08/23-14:43:24-675125ARPreply192.ltG.1.100is-at0：23：4E：EB：66：FB08X23-14=43:29.63361800:4081->219,133,60.237:8UPPTTL：12H：ID：1338IpLen：20L*6n?286.打開(kāi)c:\Snort\etc\snort.conf（先用下載的snort.conf代替原來(lái)的snort.conf），設(shè)置Snort的內(nèi)部和外部網(wǎng)絡(luò)檢測(cè)范圍。將Snort.conf文件中的varHOME_NETany語(yǔ)句中的Any改為自己所在的子網(wǎng)地址，即將Snort監(jiān)測(cè)的內(nèi)部網(wǎng)絡(luò)設(shè)置為本機(jī)所在的局域網(wǎng)。如本地IP為0Q則將Any改為/24將varHOME_NETany語(yǔ)句中的HOME_NET的值改為本地網(wǎng)絡(luò)的標(biāo)識(shí)，即/247.配置網(wǎng)段內(nèi)提供網(wǎng)絡(luò)服務(wù)的IP地址，只需要把默認(rèn)的$HOME_NET改成對(duì)應(yīng)主機(jī)地址即可：varDNS_SERVERS$HOME_NET;varSMTP_SERVERS$HOME_NET;varHTTPSERVERS$HOME_NET;SQL_SERVERS$HTTPSERVERS$HOME_NET;SQL_SERVERS$TELNETSERVERS$HOME_NET;HOMENET;varvarvar視某種類(lèi)型的服務(wù)，可用#號(hào)將上述語(yǔ)句其注釋掉。視某種類(lèi)型的服務(wù)，可用#號(hào)將上述語(yǔ)句其注釋掉。8.修改設(shè)置監(jiān)測(cè)包含的規(guī)則。在配置文件末尾，定義了與規(guī)則相關(guān)的配置，$RULE_PATH/local.rules;$RULE_PATH/bad-traffic.rules;$RULE_PATH/exploit.rulesoinelude格式如下：includeinelude$RULE_PATH指明了規(guī)則文件存放的路徑，可以在語(yǔ)句varRULE_PATH../rules中將變量RULE_PATH改為存放規(guī)則集的目錄，如：c:\snorfrules。9.在Snort.conf文件中，修改配置文件Classification.conf和Reference.conf的路徑:includec:\Snort\etc\classification.conf;includec:\Snort\etc\reference.config。其中Classification.conf文件保存的是和規(guī)則的警報(bào)級(jí)另ij相關(guān)的配置，Reference.conf文件保存了提供更多警報(bào)相關(guān)信息的鏈接。實(shí)驗(yàn)內(nèi)容二：Windows平臺(tái)下Snort的使用

1.Snort嗅探器模式。檢測(cè)Snort安裝是否成功時(shí)，用到的就是Snort嗅探器模式。輸入命令如下:snort-v-i5使Snort只將IP和TCP/UDP/ICMP的包頭信息輸出到屏幕上。如果要看到應(yīng)用層的數(shù)據(jù)，可以輸入如下命令：snort-v-d-i5。如果需要輸出更詳細(xì)的信息，輸入命令：snort-v-d-e-i5可以顯示數(shù)據(jù)鏈路層的信息。2.數(shù)據(jù)包記錄器模式。上面的命令只是在屏幕上輸出，如果要記錄在LOG文件上，需要預(yù)先建立一個(gè)Log目錄。輸入下面的命令啟用數(shù)據(jù)包記錄器模式：snort-dve-i5-lc:\Snort\log-h/24-Kascii。其中，-l選項(xiàng)指定了存放日志的文件夾；-h指定目標(biāo)主機(jī)，這里檢測(cè)對(duì)象是局域網(wǎng)段內(nèi)的所有主機(jī)，如不指定-h,則默認(rèn)檢測(cè)本機(jī)；-K指定了記錄的格式，默認(rèn)是Tcpdump格式，此處使用ASCII碼。3.網(wǎng)絡(luò)IDS模式。Snort最重要的用途還是作為基于誤用檢測(cè)技術(shù)的NIDS為基于誤用檢測(cè)技術(shù)的NIDS。輸入下面的命令啟動(dòng)IDS模式：snort-i5-dev-l./log-h/24-K-cascii-cc:\Snort/etc/snort.conf。相比數(shù)據(jù)包記錄器模式中使□□用的命令，該命令只增加了一個(gè)選項(xiàng)-c,用于告訴Snort

使用Snort.conf中的規(guī)則集文件。Snort會(huì)對(duì)每個(gè)包和

規(guī)則集進(jìn)行匹配，如符合規(guī)則就采取規(guī)則所指定的動(dòng)作。□□4. 下面將通過(guò)對(duì)運(yùn)行了Snort的目標(biāo)主機(jī)進(jìn)行有意攻擊，來(lái)觀察Snort檢測(cè)入侵的能力。首先，向目標(biāo)主機(jī)發(fā)送ICMP長(zhǎng)數(shù)據(jù)包來(lái)觀測(cè)Snort的反映，ICMP長(zhǎng)數(shù)據(jù)包是有潛在危險(xiǎn)的，一般會(huì)被視為入侵；然后，使用網(wǎng)絡(luò)端口掃描工具Nmap對(duì)目標(biāo)主機(jī)進(jìn)行掃描，觀察Snort的檢測(cè)情況。具體操作步驟如下：在安裝好Snort的目標(biāo)主機(jī)命令行方式下，輸入上面第3步的命令，使Snort工作在IDS模式。在局域網(wǎng)的另一臺(tái)主機(jī)上向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包，輸入下面的命令：ping-145678在目標(biāo)主機(jī)中打開(kāi)Log文件夾，此時(shí)可以發(fā)現(xiàn)在Log的根目錄下自動(dòng)生成了一個(gè)名為Alert的文件。打開(kāi)文件并觀察其內(nèi)容， Snort警報(bào)中記錄了剛才發(fā)送的ICMP長(zhǎng)數(shù)據(jù)包，每條記錄包括警報(bào)的類(lèi)型和數(shù)據(jù)包的包頭。發(fā)送的ICMP長(zhǎng)數(shù)據(jù)包之所以出現(xiàn)在警報(bào)中，是因?yàn)樗奶卣骱蚐nort預(yù)先定義的規(guī)則相符。警報(bào)如下圖所示alert.ids-記事卞攵件舊輛舊笹式章看(V)誓助(H)1[**][1!332:7]ICMPPINGWindows[**],C13Ssification:Kiscactivity][Priority:3]08/27-13:46:35.8T26220:13:20：4A：9D：DO?》0:23：4E：EC：66：F6type：0i8Cl0len：0xB298192.L6S.1.101->00ICMPTTL:S4TOSlOxOIDI12SIpLen:20DgnLen：45706Type;8CodeiOID;512Seq;2AECHO.Xref=>ht-tp://w7w?V7hiteh3ts?gmAnfo/IDS169]；**][1;384;5]ICKPPING討] .Classification:Miscactivity][Priority:3]08/27-18:46:35.8726220:13:20:4A:9D:D0->0:23:4E:E0:66:F6t3T?e:0x800len:0x&298L101->192.168.L100IOIPTTL:64TOS:OxOID;128IpLen;20DgnLen;45706Type:8Cade:0ID:512Seq:256ECHO>]〔1:499:4]MPLargeICMPPacket[++]Classification:PotentiallyBadTraffic][Priority:2]08/27-18:46:35.8726220:13:20:4A:9D:D(l->0:23:4E:E0:66:F&type：0i800len：0x5298L101->00ICMPTTL:&4TOS:QxOID:128IpLen:20DgnLen:45706"ype：8Cade：0ID：512Seq：256ECHO'Xref=>http：//twjw.<vhitehats.coni/infa/IDS246]'**][1:408:5]iaPEchoReply[**]Classification:Jfiscactivity]^Priority:3]08/27-18:46:35.8T54940:23:4E:E0：66：F6->0：13：20：4A：9D：D0type:OicEOOlen:0zB29E192.16S.1.100'>01ICMPTTL:128TOS：0x0ID：17641IpLen:20DgmLen:45706在Snort的安裝目錄下打開(kāi)Rules文件夾，打開(kāi)Icmp.rules文件，可以發(fā)現(xiàn)和該攻擊對(duì)應(yīng)的規(guī)則如下圖所示：文件（D鋁輯⑹梧式（6歸W）幫to（H）activity,sid：482;rev：5;)alerticmp$EKIERNAL_NETany->$HOHE_WETany(irsg:"ICHPPINGCyberKil2.2Wind。昨"；itype1&content:j|AAAAAAAAAAAAAAAAAAAAAAUUAAAaAA|",depth：32;reference:arachnidsj154;classtype:rTiisc-act1vily;sid：483;rev：5;)alerticnpfEXTERNAL_NETany亠》$H0NE_NETanyJ"ICMPPIMGSnifferPro/NetXRaynutworkscan氣itypc:S;content/'CintotworkaInc,deAth:32;classtype:mLsc-activity;sid:484,rev:4;)alerticirpanyany_〉anyany(msg/"ICJrtPDestinatigUnrEachatleConm-iniGationAdmiaisProhibitedA;iQQdc:lS;itype;3;clisstypeimiAG-rctivity;sid:485;rev:4;5alerticmpanyany亠》anyany(ioss:wICMFDestinationUnreachableCgmmujiicationwithDestinsti口門(mén)HostxsAdmiaistetiv'elyProhibitedA;lQQdc:iQitype;3;classtype:mi客c-rctivity;sid:48&;rev:4;5alerticiupanyany亠》anyany(msg：wICMPDestinationUnrea-chableCommimicationwithDestinationNetmrkisAdmiaistratizelyProhibitedA;icode:9;itype:3;classtype:misc-activity;sid:487;rev:4;)alerticmptEXTERNANETg->$ME_NETany(msg/lCMPdigitalislandbandwidthquery/T;cantent;/5mai1to13AIops?digisie*ccinT;der>lh;22： lalerticrnpany(msg/ICNPLarge!classtype:misc-acri沁ty：sid:1813：lalerticrnpany(msg/ICNPLarge!$EERNM—$EERNM—NIHI(4)ICMPPacketdsiz;e;>800;reference;araown:classtvi>e:badAunk口sid:499;rev：A;)(4)執(zhí)行端口掃描的檢測(cè)。把Snort.conf文件中相應(yīng)端口配置部分的內(nèi)容修改為:preprocessor容修改為:sfportscan:proto(all}\memcap{10000000}\sense_level{medium}\logfile{portscan}。其中，proto指定了需要檢測(cè)的協(xié)議類(lèi)型，包括TCP、UDP、ICMP和IP，all表示檢測(cè)所有的協(xié)議；sense_level指定檢測(cè)的靈敏度，靈敏度咼可以增□□加檢測(cè)率，但有可能會(huì)同時(shí)增加誤報(bào)率，Snort指定檢測(cè)的靈敏度，靈敏度咼可以增□□加檢測(cè)率，但有可能會(huì)同時(shí)增加誤報(bào)率，Snort□□的默認(rèn)選項(xiàng)是Low；logfile指定檢測(cè)結(jié)果的輸出文件名，該文件將創(chuàng)建在Log目錄下。在局域網(wǎng)的另一臺(tái)主機(jī)上運(yùn)行Nmap,對(duì)目標(biāo)主機(jī)進(jìn)行SYN掃描，在命令行方式下輸入如下命令：nmap-sS00如圖所示，掃描探測(cè)到了兩個(gè)開(kāi)放端口139和455。在目標(biāo)主機(jī)上查看記錄端口掃描檢測(cè)結(jié)果的文件Portscan。可以看出，Snort準(zhǔn)確識(shí)別并分析記錄了端口掃描攻擊相關(guān)的信息， 如攻擊者的IP地址,掃描的范圍從21號(hào)端口到38037號(hào)端口，攻擊者掃描到2個(gè)開(kāi)放的端口:139和455。Portscan文件中記錄的并不是單條的網(wǎng)絡(luò)數(shù)據(jù)包記錄，而是Snort的端口模塊對(duì)數(shù)據(jù)包和其他特性綜合分析的結(jié)果，如在單位時(shí)間內(nèi)來(lái)自同一IP的警報(bào)信息或TCP數(shù)據(jù)包的統(tǒng)計(jì)特征等。□□打開(kāi)Alarm文件。發(fā)現(xiàn)在Alarm文件里增□□加了與端口掃描相關(guān)的警告。Alarm文件中記錄的是單個(gè)數(shù)據(jù)包和規(guī)則匹配的結(jié)果；在Rules文件夾中打開(kāi)檢測(cè)端口掃描的規(guī)則集，可以找到與端口掃描警報(bào)相對(duì)應(yīng)的規(guī)則：alerttcp$EXTERNAL_NETany->$HOME_NETany(msg:"SCANXMAS”;flow:stateless;flags:SRAFPU,12;reference:arachnids,144;classtype:attempted-recon;sid:625;rev:7)實(shí)驗(yàn)內(nèi)容三：編寫(xiě)Snort規(guī)則snort使用一種簡(jiǎn)單的，輕量級(jí)的規(guī)則描述語(yǔ)言,這種語(yǔ)言靈活而強(qiáng)大。在開(kāi)發(fā)snort規(guī)則時(shí)要雇幾個(gè)簡(jiǎn)單的原則：大多數(shù)snort規(guī)則都寫(xiě)在一個(gè)單行上，或都在多行之間的行尾用/分隔。snort被分成兩個(gè)邏輯部分：規(guī)則頭和規(guī)則項(xiàng)。規(guī)則頭包含規(guī)則的動(dòng)作、協(xié)議、源和目標(biāo)IP地址與網(wǎng)絡(luò)掩碼，以及源和目標(biāo)端口信息；規(guī)則選項(xiàng)部分包含報(bào)警消息內(nèi)容和要檢查的包的部分。例如：alerttcpanyany->/24111(content:"|0001 86a5|";msg:"mountdaccess";)o第一個(gè)括號(hào)前的部分是規(guī)則頭 (ruleheader)，包含的括號(hào)內(nèi)的部分是規(guī)則選項(xiàng) (ruleoptions)o規(guī)則選項(xiàng)部分中冒號(hào)前的單詞稱為選項(xiàng)關(guān)鍵字(optionkeywords)o注意，不是所有規(guī)則都必須包含規(guī)則選項(xiàng)部分，選項(xiàng)部分只是為了使對(duì)要悼念或報(bào)警，或丟棄的包的定義更加嚴(yán)格。組成一個(gè)規(guī)則的所有元素對(duì)于指定的要采取的行動(dòng)都必須是真的。當(dāng)多個(gè)元素放在一起時(shí)，可以認(rèn)為它們組成一個(gè)邏輯與語(yǔ)句。 同時(shí)，snort規(guī)則庫(kù)文件中的不同規(guī)則可以認(rèn)為組成一個(gè)大的邏輯或語(yǔ)句。編寫(xiě)一個(gè)規(guī)則，通過(guò)捕捉關(guān)鍵字Search記錄打開(kāi)Google網(wǎng)頁(yè)的動(dòng)作，并將符合規(guī)則的數(shù)據(jù)包輸出到Alert文件中。在Snort的Rules文件夾下創(chuàng)建Myrule文件，在Myrule文件中輸入如下內(nèi)容：alerttcp$EXTERNAL_NETany->any80(content:"search";nocase;msg:"GoogleSearchQuery";)在Snort.conf文件中添加新建的規(guī)則文件。在Snort.conf的規(guī)則區(qū)域中(也可在文件末)添加下面的語(yǔ)句： include$RULE_PATH/myrule.rules⑶以IDS模式啟動(dòng)Snort，打開(kāi)瀏覽器，輸入至sgoogle頁(yè)面。至Log文件夾下查看Alert文件，如下圖所示，可以發(fā)現(xiàn)規(guī)則中的字符串已經(jīng)被記錄了下來(lái)，即Snort成功地檢測(cè)到載入Google網(wǎng)頁(yè)的動(dòng)作,所定義的規(guī)則起到了預(yù)想的作用。Jakrtids記事工 LGJ12」誦彌(匂硯v01S5(V)ffiftKHt

.a?[1?0：n]f7nogleSearchflupry[邸]iPriaTATy：0108/23-10：15：21050ni0:23:4E:EO:66tF6->0:B0aC;FA:38：DBtype:0x800lea;OxL