XX大学XX学院
《网络攻击与防御》
实验报告
实验报告撰写要求
实验操作是教学过程中理论联系实际的重要环节,而实验报告的撰写又是知识系统化的吸收和升华过程,因此,实验报告应该体现完整性、规范性、正确性、有效性。现将实验报告撰写的有关内容说明如下:
1、 实验报告模板为电子版。
2、 下载统一的实验报告模板,学生自行完成撰写和打印。报告的首页包含本次实验的一般信息:
组 号:例如:2-5 表示第二班第5组。
实验日期:例如:05-10-06 表示本次实验日期。(年-月-日)……
实验编号:例如:No.1 表示第一个实验。
实验时间:例如:2学时 表示本次实验所用的时间。
实验报告正文部分,从六个方面(目的、内容、步骤等)反映本次实验的要点、要求以及完成过程等情况。模板已为实验报告正文设定统一格式,学生只需在相应项内填充即可。续页不再需要包含首页中的实验一般信息。
3、 实验报告正文部分具体要求如下:
一、实验目的
本次实验所涉及并要求掌握的知识点。
通过该实验可以加深理解Snort的系统架构以及工作原理,掌握Snort与Iptables联动的实现方法。
实验所属系列:入侵检测与入侵防御/防火墙技术
实验对象:本科/专科信息安全专业
相关课程及专业:信息网络安全概论
实验类别:实践实验类
二、实验环境
实验所使用的设备名称及规格,网络管理工具简介、版本等。
服务器:snort-host( Centos6.5),IP地址: 10.1.1.12
Snort版本: 2.9.7.6(最新) Guardian版本:1.7(最新)
操作主机:host(WinXp), IP地址: 随机
测试主机:test(WinXp), IP地址: 随机
下载路径:http://tools.hetianlab.com/tools/X-Scan-v3.3-cn.rar
下载路径:http://tools.hetianlab.com/tools/Xshell.rar
三、实验内容与实验要求
实验内容、原理分析及具体实验要求。
Snort简述
Snort是一个强大的轻量级网络入侵检测系统,它能够检测到各种不同的攻击方式,对攻击进行实时报警。此外,Snort具有很好的扩展性和可移植性,并且这个软件遵循GPL,这意味着只要遵守GPL的任何组织和个人均可以自由使用这个软件。
Snort具有实时流量分析和日志IP网络数据包的能力,能够快速地检测网络攻击,及时地发出报警。Snort的报警机制很丰富,例如:Syslog、用户指定的文件、一个Unix套接字,还有使用samba协议向Windows客户端发出WinPoup消息。利用XML插件,Snort可以使用SNML把日志存放到一个文件或者实时报警。Snort能够进行协议分析、内容的搜索/匹配。目前Snort能够分析的协议有TCP、UDP、ICMP,将来可能支持ARP、OSPF、IPX、RIP等协议,它能够检测多种方式的攻击和探测,例如:缓冲区溢出、CGI攻击、端口暴力破解、SMB探测以及web应用程序的攻击现在也已经有简单规则的支持。Snort自带的检测攻击的规则数量有限,但Snort支持用户自定义规则的加载,这对有能力的大型企业而言是个不错的IDS选择。
Snort体系架构
1.Snort工作原理与应用场景
Snort是一个基于模式匹配的的网络入侵检测系统,实际上目前现在市场上的大多商业入侵检测系统都是基于模式匹配的,即将恶意行为和恶意代码预定成入侵规则特征库,然后将实际数据源于规则库的特征码进行匹配,以判断其中是否包含了入侵行为。
IDS的应用场景一般如下图所示:
Snort的大致处理流程如下图所示:
2.Snort的主体架构
Snort系统总体上是由规则集及Snort可执行程序两大部分组成。
1)Snort规则集
Snort规则集是Snort的攻击特征库,每条规则是一条攻击标识,Snort通过它来识别攻击行为。
2)Snort可执行程序
可执行程序由4个重要的子系统构成:
数据包捕获和解码子系统、检测引擎、日志/报警子系统、预处理器。
Snort的总体结构:
序号 模块名称 源文件名称 备注
1 主控模块 Snort.cPlugbase.c… 主控模块,完成插件的管理和服务功能。
2 解码模块 Decode.c… 完成报文解码功能,把网络数据包解码成snort定义的Packet结构,用于后续分析
3 规则处理模块 Rules.cP
最低0.47元/天 解锁文章
扫一扫
1018
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
