实验目的与要求
(1) 帮助学生掌握木马和入侵的防护和检测方法、提高学习能力、应用能力和解决实际问题的能力。
(2) 要求学生掌握方法, 学会应用软件的安装和使用方法, 并能将应用结果展示出来。
实验原理与内容
入侵检测是通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析, 发觉入侵行为, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象. 入侵检测是防火墙的合理补充. 有助于对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全结构的完整性。入侵检测系统IDS(Intrusion Detection System)可以包括硬件和软件, 通常由数据源,分析引擎和响应3部分组成,根据分析引擎所采用的技术,可分为异常检测和误用检测. IDS多采用主动防御技术,用于监视、分析用户及系统活动,对系统构造和弱点审计,识别已知进攻或并报警,对异常行为模式进行记录,统计分析,评估重要系统和数据文件的完整性,操作系统的审计跟踪管理,并识别用户违反安全策略的行为等. 一个好的入侵检测系统除了上述功能外,还应该管理、配置简单,操作容易.
使用不同的入侵检测系统可以参看相应的使用手册,这里仅列举5个入侵检测系统的简略特点:(1) Snort, 跨平台,轻量级,适合个人和组织;(2) RealSecure, 它是计算机网络上自动实时的入侵检测和响应系统,适合企业;(3) HIDS, 基于主机入侵检测;(4) NIDS, 基于网络入侵检测;(5) Sguil, 网络安全专家监控工具.
可以使用Snort软件或其他软件,或调用Python中对应的模块,或者对非法访问取证。软件的下载和安装,软件的使用,检查的结果。Snort使用方法参看:
snort的安装、配置和使用-CSDN博客
实验设备与软件环境
1. PC Windows环境
实验过程与结果
按实验要求安装snort2.9.16和winpcap软件,修改snort安装路径下的etc文件下的snort.conf文件
把snort.conf中的输出output都开启(把#号删掉):
再修改rules文件下的local.rules文件添加以下代码:
修改以上内容后,Windows下开启snort(在修改了环境变量以后)或者在snort文件下按Shift+右键打开终端,输入以下命令:
snort -A full -l ./log -c ../etc/snort.conf
Linux系统下用zenmap软件(按实验要求下载软件)扫描接口,在扫描端口前要关闭防火墙。
扫描成功后会在log文件生成以下文件
以下是alert.ids文件捕获到的内容
