- 1、本文档共7页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
实验1Windows平台下Snort的应用
实验一 Windows平台下Snort的应用
【实验背景】
Snort是一种跨平台、轻量级、基于特征匹配的网络入侵检测系统。系统采用灵活的体系结构,大量使用插件机制,具有很好的扩展性和可移植性。本试验要实现采用流光软件对目标主机进行扫描;用Winpcap软件捕获数据包;用Snort进行分析,并介绍Windows平台下的Snort应用软件IDSCenter。主要下载站点有HYPERLINK //、HYPERLINK //、HYPERLINK //。
【实验目的】
掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。
【实验条件】
(1) ?Winpcap2.3,Snort2.0,IDScenter1.1 RC2,Fluxay5;
(2) ?HIDS主机A:Windows 2000/2003,IP地址0/24;
(3) 攻击主机B:Windows 2000/2003,IP地址1/24。
注:IP地址可以根据实验室主机配置不同进行设置。
【实验任务】
(1) 学习使用Snort数据包检测和记录功能;
(2) 通过IDScenter配置功能加强对Snort原理的理解。
【实验步骤】
1. 安装数据包捕获软件
由于Snort本身没有数据包捕获功能,因此需要用其他软件来捕获数据包。Winpcap是libpcap抓包库的Windows版本,它同libpcap具有相同的功能,可以捕获原始形式的包。在HIDS主机上安装Winpcap过程如下:
(1) 双击winpcap-2-3.exe 启动安装;
(2) 屏幕出现欢迎对话框,单击“Next”按钮;
(3) 下一个对话框提示安装过程完成,单击“OK”按钮完成软件安装。
(4) ?Winpcap安装成功,重新启动计算机。
2. 安装Snort软件
在HIDS主机上安装Snort软件过程如下:
(1) 双击Snort -2.0.exe,启动安装程序;
(2) 启动安装以后,会看到关于Snort的一篇文献,阅读并单击“I Agree”按钮;
(3) 出现的是安装选项对话框,单击“Next”按钮;
(4) 将选择安装部件,选择完毕后单击“Next”按钮;
(5) 现在提示安装位置,使用默认的,并单击“Install”按钮;
(6) 安装完成,单击“Close”按钮。
3. 在攻击主机B上安装流光5(Fluxay5)扫描软件,默认安装即可
4. ?Snort数据包嗅探及包记录应用
(1) 用Ping命令测试HIDS主机A与攻击主机B网络连通。
(2) 在A机器上单击“开始”→“运行”,在【运行】窗口中输入“cmd”打开DOS界面,如果在Snort安装时选择的默认安装路径为C:\,则在DOS界面中打入命令“cd C:\snort\bin”进入snort安装目录,然后打入如下命令以数据包记录的形式启动Snort:
snort-dev-l /snort/log-h 0/24。
此命令为记录子网为0/24的数据,并把捕获的数据文件保存到Snort/log目录下,此时可以在屏幕上不断显示嗅探到的数据包,显示满一页后就不断滚屏。
(3) 在B机器上启用扫描软件流光5,右击“IPC$主机”→“编辑”→“添加”,在【添加主机】窗口中加入要扫描的主机“0”即安装了Snort的HIDS主机,如图1所示。
图1 流光探测主机
(4) 在流光5软件中右击“0”→“探测”→“扫描主机端口”,确定端口扫描范围后,对HIDS主机进行端口扫描,扫描到的结果如图2所示。
图2 扫描结果
(5) 在HIDS主机的DOS界面下可以看到从B机器扫描发过来的探测的数据包信息,如图3所示。使用Ctrl-C键可以退出程序,看到数据包统计信息。
图3 DOS界面上的数据包显示
(6) 在Snort/log目录下打开文件名为“1”文件夹,可以看到很多刚才B机器上对A机器进行扫描的数据包记录,如图4所示。
图4 7.15 log目录下记录的数据包信息
对记录的数据包信息作进一步的分析,如图5所示。
图5 数据包记录
检测到此数据包的信息如下:
? 源MAC地址:0:11:D8:7B:7:3B;
? 目的MAC地址:0:11:D8:7B:7:89;
? 类型:0*800,长度:0*3E;
? 源IP地址:1,源端口:1053;
? 目的IP地址:0,目的端口:80;
? 协议类型是:TCP;TTL(生存时间):128;TOS(服务类型):0*0;ID:205;IP包头长度:20;数据包总长度:48 DF。后面的一段信息显示此数据包企图探测连接目的主机80端口。
从上面的数据包记录的信息来看,就可以知道网络上有人可能在扫描HIDS主机端口的开放情况,必须采取措施将端口关闭或更改。
5. ?Snort用于入侵检测功能
您可能关注的文档
最近下载
- 初中八年级上册英语阅读理解专题训练50套(含参考答案).docx
- 2021年部编版六年级上册道德与法治期中测试卷(含答案) (1).doc VIP
- 《铵盐的性质》教学设计.docx
- 人教八年级上册物理《跨学科实践 制作隔音房间模型》PPT教学课件.pptx
- (统编2024版)语文七年级上册 第10课 《往事依依》课件.pptx
- 上海交通大学招聘笔试试题.pdf
- 初中英语评课稿范文.doc VIP
- 生产线数字化仿真与调试(NX MCD) 课件 第1章 NX MCD的认知.pptx
- 江苏某农村饮水安全工程可行性研究报告(成稿)_secret2021必威体育精装版版.doc VIP
- 2024江苏启晟集团有限公司下属子公司招聘笔试参考题库附带答案详解.pdf
文档评论(0)