【深圳大学网络安全】实验六 入侵检测实验

最新推荐文章于 2024-03-20 19:07:36 发布
最新推荐文章于 2024-03-20 19:07:36 发布
阅读量1.2k 收藏 32
点赞数 23
分类专栏: 深大网络安全 文章标签: 入侵检测实验 深圳大学 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1677852098/article/details/135937880
版权

实验目的与要求

  1. 了解snort与其基础环境的安装配置。
  2. 了解嗅探器模式

实验环境

CentOS6.5:192.168.1.2    PC 192.168.1.3

实验原理

嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。

Snort能够对网络上的数据包进行抓包分析,但区别于其它嗅探器的是,它能根据所定义的规则进行响应及处理。Snort 通过对获取的数据包,进行各规则的分析后,根据规则链,可采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警),Pass(忽略),Log(不报警但记录网络流量)五种响应的机制。

Snort有数据包嗅探,数据包分析,数据包检测,响应处理等多种功能,每个模块实现不同的功能,各模块都是用插件的方式和Snort相结合,功能扩展方便。

例如,预处理插件的功能就是在规则匹配误用检测之前运行,完成TIP碎片重组,http解码,telnet解码等功能,处理插件完成检查协议各字段,关闭连接,攻击响应等功能,输出插件将得理后的各种情况以日志或警告的方式输出。

实验内容

  1. 实现snort与其基础环境的安装配置。
  2. 实现嗅探器模式

实验步骤与结果

一、了解snort与其基础环境的安装配置。

1. 安装snort+barnyard2

1.1  进入/home/software目录,解压libpcap-1.0.0.tar.gz。

1.2  进入目录libpcap-1.0.0的目录执行“./configure”命令进行配置。

1.3  执行命令“make && make install”,进行libpcap的编译安装。

1.4    进入目录“/home/software”,ls查看文件,执行命令“tar zxvf daq-2.0.4.tar.gz”,解压daq-2.0.4.tar.gz文件。

1.5  使用cd命令切换到daq-2.0.4的目录下。

1.6  执行命令“./configure”对daq-2.0.4进行配置。

1.7  得到如下反馈信息说明,可以进行正确安装。

1.8    执行命令“make && make install”进行安装。

1.9    得到如下信息说明安装成功。

1.10  返回上级目录,解压snort-2.9.7.0。

1.11 并使用命令“cd snort-2.9.7.0”进入snort的目录, 执行命令“./configure”对snort-2.9.7.0进行配置。

1.12 进入snort-2.9.7.0目录。执行命令“make && make install”。

1.13  安装完成。

2、配置snortbarnyard2

2.1    依次执行以下命令。

       

2.2    编辑snort的配置文件,执行命令“vim /etc/snort/snort.conf”。修改路径变量

2.3    设置log目录,执行命令“vim /etc/snort/snort.conf”。

2.4    配置输出插件。

2.5    解压/home/software下的rules文件。

2.6    解压后,将文件sid-msg.map复制到/etc/snort目录下。

 

2.7    输入命令“snort -T -i eth0 -c /etc/snort/snort.conf”,进行测试。“-T参数为测试的意思,-i指定接口,-c 指定配置文件”。(如果提示失败缺少libsfbpf.so.0依赖,那么先执行命令“ldconfig”,然后再次执行snort的测试命令)。

2.8    得到返回“successful”字样说明,安装及配置成功。

二、了解嗅探器模式

1. 嗅探模式

1.1    打开192.168.1.2主机上的终端。输入命令“snort -v”,进行snort的启动。

1.2    启动snort会得到回显。会显示当前运行的模式。

 

1.3    初始化输出插件部分。

1.4    snort版本及版权信息。

 

1.5    数据包控制台的部分。

2.实例分析

2.1    登录客户机192.168.1.3,打开终端输入命令“ping 192.168.1.2 –c 5000”(若客户机为windows操作系统,在cmd下执行命令"ping 192.168.1.2 -t"即可)。

2.2    切换到192.168.1.2的主机,打开终端输入命令“snort -i eth0 -vde”命令。

2.3    截取完整数据包进行分析。

2.4    数据包中包含的信息有包捕获的时间。

2.5    源MAC地址及目的MAC地址。

2.6    数据帧所负载的上层协议类型为IP(0x800),总长度为(0x62)。

2.7    源IP地址为192.168.1.3,目的地址为192.168.1.2。

2.8    IP头中的TTL值是64,TOS值为0。IP长度为20,IP载荷是84字节。

2.9    包的传输协议为ICMP。

实验结论

通过此次实验,熟悉了基础环境的搭建和snort的安装配置以及snort的工作模式。

同时,也明白了二者的原理,嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上,而Snort能够对网络上的数据包进行抓包分析,它能根据所定义的规则进行响应及处理。

(by 归忆)

归忆_AC
关注
  • 23
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
入侵检测与防御实验
qq_41392015的博客
05-27 5730
第一章 入侵检测 一、原理 入侵检测系统,简称IDC,是一种基于硬件的防火墙,通过建控以知系统漏洞,黑客入侵手法并记录下来,通过分析数据包,安全的就通过。危险的就拦截,通过日志记录可轻松追查到入侵者的IP,用于取证。 入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。 1.1 什么是入侵
信息内容安全-入侵检测技术实验
radishleaf的博客
05-06 1054
信息内容安全-入侵检测技术实验 代码 preprocessing.py: import random import csv import numpy as np # []: 单次连接 [][]: 41个特征+ label train_set_ori = [] # 训练集 test_set_ori = [] # 测试集 train_nor_num = 500 # 训练...
网络安全——基于Snort入侵检测实验
网络工程
12-12 4491
其中,"/etc/snort/rules"是用于存放规则文件的路径,Snort就是根据诸多的规则文件给用户提供预警和提示的。③ 清除规则:执行"sudo vi /etc/snort/snort.conf"命令,把除了local.rules之外的规则全部注释掉(把local.rules之后的include语句注释掉;3、在配置检测规则中,可根据用户所需,根据实际的情况进行规则的设置,本实验设置的是ICMP、HTTP数据包;1、入侵检测的检测引擎就是通过对规则选项的分析构成了Snort 检测引擎的核心。
Snort入侵检测
补丁_1024的博客
03-01 7440
Snort入侵检测简介原理工作过程安装部署安装snort规则snort规则划分规则头基本格式规则选项的基本格式snort规则组织结构snort配置项基本语法配置文件其他关键要素 简介 Snort 是一个开源入侵防御系统(IPS)。Snort IPS 使用一系列规则来帮助定义恶意网络活动,并利用这些规则来查找与之匹配的数据包,并为用户生成警报。 Snort 也可以在线部署来阻止这些数据包。Snort有三个主要用途。作为一个像tcpdump一样的数据包嗅探器,作为一个数据包记录器–这对网络流量调试很有用,或者
入侵检测课程实验
07-01
入侵检测的课程实验,有源程序,有实验,有实验报告。
入侵检测实验报告
06-29
入侵检测实验报告,主要有嗅探实验、数据包记录器实验、入侵行为检测实验
人工智能安全实验入侵检测
m0_56948411的博客
01-15 1114
由于没有接触过机器学习相关的知识,一开始会很难理解其中的原理,但是听了几遍老师的讲解之后,明白了一些,信息增益只是特征选取的一种方法,本身没有对数据进行处理,不同的特征选取方法,所用的数据是不同的,比如信息增益是要用原始数据。归一化的作用是,不同数据或不同的评价指标的范围会有所不同,这种情况会影响到数据分析的结果,为了消除指标之间的量纲影响,需要进行归一化,将需要处理的数据通过某种算法限制在需要的一定范围之内。选取K为2,输出的第4个特征的增益是最大的,其次是第2个特征的增益。
szu大计实验报告 实验六 互联网与网络安全
11-26
szu大计实验报告 实验六 互联网与网络安全 老师是jia sen老师,不同老师内容可能不一样嗷,得分是90分,仅供参考。
深圳大学-大学物理实验-单摆实验.docx
04-13
深圳大学物理实验 - 单摆实验实验的目的是使用单摆装置测量当地的重力加速度 g。实验原理基于单摆的简谐运动,当单摆角很小时 (α°),单摆的周期 T 与摆长 l 的平方根成正比,根据公式 = 2/ 可以测定 g。 实验...
入侵检测实验报告——网络攻防
01-06
掌握snort IDS工作机理 应用snort三种方式工作 熟练编写snort规则 了解IDS误报漏报的缺点
入侵检测 snort 详细使用实验教程
11-08
入侵检测 snort 详细使用实验教程 入侵检测 snort 详细使用实验教程
数字电路实验六报告-555定时器电路 .docx
04-13
数字电路实验六报告-555定时器电路 .docx 深圳大学 实验报告 数字电路实验六报告-555定时器电路 .docx 深圳大学 实验报告
深圳大学-大学物理实验-碰撞实验.docx
04-13
大学物理实验-碰撞实验 一、实验目的: 本实验的目的是验证动量守恒定律,即在一个系统中,如果外力为零,则系统的总动量保持不变。 二、实验原理: 本实验基于动量守恒定律,根据该定律,可以推断出系统的总...
入侵检测
lemonalla的博客
04-18 1160
这里是引用 入侵检测 实验目的 进行入侵检测的软件实现体验,以工具snort为主 实验要求 通过配置snort不同规则来进行网络入侵检测 实验环境 两台kali主机,可互通 工具:snort 实验过程 实验一:配置snort为嗅探模式 在此之前,需要安装snort # 禁止在apt安装时弹出交互式配置界面 export DEBIAN_FRONTEND=noninteractiv...
毕业设计:基于信息安全的网络入侵检测系统
Hai_Lang_IT的博客
03-20 1373
毕业设计:基于信息安全的网络入侵检测系统 通过采用深度学习和数据挖掘技术,系统能够从大规模网络流量数据中自动学习入侵行为的模式和特征,并实现高效准确的入侵检测。该系统结合了数据预处理、特征提取和模型训练等关键技术,通过构建适当的机器学习模型,实现了对网络流量的实时监测和入侵行为的精确判断。对于计算机专业、网络安全专业、数据科学专业、人工智能专业的毕业生而言,提供了一个具有挑战性和创新性的研究课题。无论您对深度学习技术保持浓厚兴趣,还是希望探索网络安全、算法或数据挖掘领域的同学,本课题将为您提供灵感和指导。
入侵检测】window下安装snort
c10udz的博客
11-12 2274
Snort是一个跨平台、轻量级的网络入侵检测工具,属于基于网络的误用检测。Snort的软件模块组成:(1)数据包嗅探模块——负责监听网络数据包,对网络进行分;(2)预处理模块——该模块用相应的插件来检查原始数据包,从中发现原始数据的“行为”,如端口扫描,IP碎片等,数据包经过预处理后才传到检测引擎;(3)检测模块——该模块是Snort的核心模块。当数据包从预处理器送过来后,检测引擎依据预先设置的规则检查数据包,一旦发现数据包中的内容和某条规则相匹配,就通知报警模块;
不良导体热导率的测量.docx 深圳大学大学物理实验
04-13
"不良导体热导率的测量.docx深圳大学大学物理实验" 本实验报告的主要目的是为了测量不良导体的热导率,了解热传导现象的物理过程,并学习用稳态平板法测量不良导体的热导系数。 一、实验目的 本实验的目的有三个...
深圳大学软件工程实验
最新发布
04-26
深圳大学软件工程实验是软件工程专业的一门实践性课程,旨在通过实际项目的开发和实施,培养学生的软件工程实践能力和团队协作能力。在这门实验中,学生将会参与一个真实的软件项目,并负责项目的需求分析、设计、编码、测试等各个阶段的工作。 在深圳大学软件工程实验中,学生通常会组成小组,每个小组负责一个具体的项目。项目的类型可以是Web应用、移动应用、桌面应用等,具体根据教师和学生的兴趣和能力来确定。学生需要根据项目需求进行系统分析和设计,制定相应的开发计划,并按照计划进行编码和测试工作。同时,学生还需要进行项目管理和团队协作,包括任务分配、进度跟踪、沟通协调等。 通过深圳大学软件工程实验,学生可以锻炼自己的软件开发技能和团队合作能力,了解软件工程的实际应用,并将所学知识应用到实际项目中。这对于学生未来从事软件开发相关工作或者继续深造都具有重要意义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

归忆_AC

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值