《入侵檢測(cè)與防御原理及實(shí)踐（微課版）》-實(shí)踐指導(dǎo)書(shū)

入侵檢測(cè)技術(shù)實(shí)踐指導(dǎo)書(shū)廖旭金智能制造學(xué)院編制2024年5月

目錄目錄實(shí)驗(yàn)概述[課程簡(jiǎn)介]……………………4[實(shí)驗(yàn)簡(jiǎn)介]……………………5[實(shí)驗(yàn)工具]……………………5[實(shí)驗(yàn)項(xiàng)目]……………………5[考核評(píng)價(jià)]……………………6[安全教育]……………………7實(shí)驗(yàn)項(xiàng)目一網(wǎng)絡(luò)入侵[實(shí)驗(yàn)項(xiàng)目概述]……………9[實(shí)驗(yàn)項(xiàng)目準(zhǔn)備]…………9[實(shí)驗(yàn)項(xiàng)目實(shí)施]…………11[實(shí)驗(yàn)項(xiàng)目結(jié)果]…………15[實(shí)驗(yàn)項(xiàng)目評(píng)價(jià)]…………15實(shí)驗(yàn)項(xiàng)目二CISCOIPS[實(shí)驗(yàn)項(xiàng)目概述]……………17[實(shí)驗(yàn)項(xiàng)目準(zhǔn)備]…………17[實(shí)驗(yàn)項(xiàng)目實(shí)施]…………18[實(shí)驗(yàn)項(xiàng)目結(jié)果]…………33[實(shí)驗(yàn)項(xiàng)目評(píng)價(jià)]…………33實(shí)驗(yàn)項(xiàng)目三SNORT2的安裝與配置[實(shí)驗(yàn)項(xiàng)目概述]……………35[實(shí)驗(yàn)項(xiàng)目準(zhǔn)備]…………35[實(shí)驗(yàn)項(xiàng)目實(shí)施]…………36[實(shí)驗(yàn)項(xiàng)目結(jié)果]…………39[實(shí)驗(yàn)項(xiàng)目評(píng)價(jià)]…………39實(shí)驗(yàn)項(xiàng)目四SNORT的規(guī)則[實(shí)驗(yàn)項(xiàng)目概述]……………41[實(shí)驗(yàn)項(xiàng)目準(zhǔn)備]…………41[實(shí)驗(yàn)項(xiàng)目實(shí)施]…………43[實(shí)驗(yàn)項(xiàng)目結(jié)果]…………56[實(shí)驗(yàn)項(xiàng)目評(píng)價(jià)]…………56附件實(shí)驗(yàn)報(bào)告…………………58

實(shí)驗(yàn)概述實(shí)驗(yàn)概述[課程簡(jiǎn)介]《入侵檢測(cè)技術(shù)》課程是專(zhuān)業(yè)課程平臺(tái)中的一門(mén)專(zhuān)業(yè)綜合課程，是信息安全本科專(zhuān)業(yè)的核心課程之一，開(kāi)設(shè)于第5學(xué)期，總學(xué)時(shí)48學(xué)時(shí)，其中理論16課時(shí)，實(shí)驗(yàn)32學(xué)時(shí)。課程采用理實(shí)一體的教學(xué)方式，要求學(xué)生掌握網(wǎng)絡(luò)入侵的基本概念及典型方法，掌握入侵檢測(cè)系統(tǒng)的基本模型、工作模式和部署方式，掌握入侵防御系統(tǒng)的功能、原理與部署、關(guān)鍵技術(shù)，并以商用的思科入侵防御系統(tǒng)和開(kāi)源的Snort為例掌握入侵檢測(cè)系統(tǒng)的部署和應(yīng)用。該課程采用線上線下混合教學(xué)的模式，將視頻資源和課堂教學(xué)有機(jī)融合，把教學(xué)內(nèi)容中的相關(guān)原理、重點(diǎn)難點(diǎn)及由于實(shí)踐條件所限無(wú)法讓學(xué)生親自實(shí)踐的內(nèi)容制作成視頻，輔助教學(xué)；另外，通過(guò)讓學(xué)生自主命題創(chuàng)建題庫(kù)，轉(zhuǎn)換角色，發(fā)揮學(xué)生的主觀能動(dòng)性，促進(jìn)知識(shí)體系的鞏固和融合。該課程立足教學(xué)目標(biāo)達(dá)成，以多元評(píng)價(jià)促教學(xué)持續(xù)改進(jìn)，在教學(xué)活動(dòng)中，應(yīng)用PDCA循環(huán)（如圖1-1所示）持續(xù)改進(jìn)教學(xué)方法，提升學(xué)生的學(xué)習(xí)效果。P（計(jì)劃）P（計(jì)劃）A（處理）根據(jù)教學(xué)目標(biāo)設(shè)計(jì)課程內(nèi)容和教學(xué)方法根據(jù)檢查結(jié)果，制定改進(jìn)措施D（執(zhí)行）按照教學(xué)計(jì)劃實(shí)施課程關(guān)注學(xué)生的學(xué)習(xí)狀態(tài)及反饋C（檢查）通過(guò)作業(yè)和測(cè)試，分析學(xué)生的學(xué)習(xí)效果圖1-1PDCA循環(huán)習(xí)近平總書(shū)記提出：“我們必須加快從要素驅(qū)動(dòng)發(fā)展為主向創(chuàng)新驅(qū)動(dòng)發(fā)展轉(zhuǎn)變，發(fā)揮科技創(chuàng)新的支撐引領(lǐng)作用?！薄皼](méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化?！蓖ㄟ^(guò)課程教學(xué)，使學(xué)生掌握扎實(shí)的學(xué)科知識(shí)和技術(shù)，培養(yǎng)學(xué)生科技創(chuàng)新的基本方法和能力，在課程中融入思政教育，培養(yǎng)學(xué)生安全意識(shí)，樹(shù)立科技強(qiáng)國(guó)、科技報(bào)國(guó)的理想。[實(shí)驗(yàn)簡(jiǎn)介]該實(shí)驗(yàn)是信息安全本科專(zhuān)業(yè)的核心課程《入侵檢測(cè)技術(shù)》的課內(nèi)實(shí)驗(yàn)環(huán)節(jié)，實(shí)驗(yàn)課時(shí)為32學(xué)時(shí)。依據(jù)布魯姆認(rèn)知領(lǐng)域教育目標(biāo)分類(lèi)法，結(jié)合應(yīng)用型人才培養(yǎng)定位，以“應(yīng)用”類(lèi)實(shí)驗(yàn)為主，同時(shí)設(shè)置“分析設(shè)計(jì)”類(lèi)實(shí)驗(yàn)，提升學(xué)生分析及創(chuàng)新能力。其中“應(yīng)用”類(lèi)實(shí)驗(yàn)涵蓋課程4大教學(xué)單元的主要知識(shí)點(diǎn)；“分析設(shè)計(jì)”類(lèi)實(shí)驗(yàn)覆蓋商用和開(kāi)源入侵檢測(cè)系統(tǒng)。為完成實(shí)驗(yàn)，學(xué)生需要了解網(wǎng)絡(luò)入侵的基本概念及典型的網(wǎng)絡(luò)入侵事件，了解網(wǎng)絡(luò)入侵的分類(lèi)，理解網(wǎng)絡(luò)入侵的流程，掌握網(wǎng)絡(luò)掃描、ARP欺騙攻擊、拒絕服務(wù)攻擊等常見(jiàn)網(wǎng)絡(luò)攻擊方法，掌握商用的CISCO入侵防御系統(tǒng)的原理、環(huán)境搭建、安裝、配置、優(yōu)化和故障排除，掌握開(kāi)源入侵檢測(cè)系統(tǒng)SNORT2和SNORT3的安裝、部署及規(guī)則測(cè)試，掌握OpenAppID、PulledPork3和Splunk安裝及配置等。[實(shí)驗(yàn)工具]實(shí)驗(yàn)過(guò)程中會(huì)用到的設(shè)備和工具材料有：電腦、VMwareWorkstation、KALILinux虛擬機(jī)、WIN7虛擬機(jī)、GNS3、CISCOIPS鏡像、SNORT2、SNORT規(guī)則文件、guardian、libdnet等相關(guān)依賴(lài)包、Wireshark、SNORT3、SNORT3規(guī)則文件、OpenAppID、PulledPork3、Splunk等。[實(shí)驗(yàn)項(xiàng)目]《入侵檢測(cè)技術(shù)》課內(nèi)實(shí)驗(yàn)環(huán)節(jié)包括網(wǎng)絡(luò)入侵、CISCOIPS、SNORT2的安裝與配置和SNORT的規(guī)則共4個(gè)實(shí)驗(yàn)項(xiàng)目。在各個(gè)實(shí)驗(yàn)項(xiàng)目中，按照由淺入深、從基礎(chǔ)到綜合的順序設(shè)置了多個(gè)實(shí)驗(yàn)任務(wù)。實(shí)驗(yàn)項(xiàng)目的選取，依據(jù)從“應(yīng)用”到“分析”，再到“設(shè)計(jì)”的思路，學(xué)生通過(guò)“應(yīng)用”類(lèi)項(xiàng)目充分理解各個(gè)知識(shí)點(diǎn)的原理及應(yīng)用場(chǎng)景，讓學(xué)生學(xué)習(xí)常見(jiàn)的網(wǎng)絡(luò)攻擊方法，商用CISCOIPS以及開(kāi)源IPS的配置和使用。選取的實(shí)踐項(xiàng)目如表1-1所示。項(xiàng)目的選取需要注意知識(shí)點(diǎn)的疊加、遞進(jìn)關(guān)系，例如項(xiàng)目1中的知識(shí)單元會(huì)在后續(xù)的項(xiàng)目中使用，項(xiàng)目4綜合使用項(xiàng)目1和項(xiàng)目3中的知識(shí)單元，難度較大。表1-1實(shí)驗(yàn)項(xiàng)目明細(xì)表序號(hào)實(shí)驗(yàn)項(xiàng)目學(xué)時(shí)知識(shí)單元難度類(lèi)型分組1網(wǎng)絡(luò)入侵4網(wǎng)絡(luò)掃描、ARP欺騙攻擊、拒絕服務(wù)攻擊等常見(jiàn)網(wǎng)絡(luò)攻擊方法中應(yīng)用獨(dú)立完成2CISCOIPS12CISCOIPS的環(huán)境搭建、安裝、配置、優(yōu)化和故障排除難分析設(shè)計(jì)獨(dú)立完成3SNORT的安裝與配置4SNORT2的安裝、部署及規(guī)則測(cè)試中應(yīng)用獨(dú)立完成4SNORT的規(guī)則12Snort3的安裝與配置，編寫(xiě)自定義規(guī)則，修改配置文件應(yīng)用自定義規(guī)則，利用Scapy構(gòu)造敏感數(shù)據(jù)包測(cè)試Snort自定義規(guī)則難分析設(shè)計(jì)獨(dú)立完成合計(jì)32[考核評(píng)價(jià)]本課程的成績(jī)?cè)u(píng)定構(gòu)成如下：總成績(jī)=過(guò)程考核×40%﹢結(jié)課考核×60%表1-2課程成績(jī)?cè)u(píng)定細(xì)則考核環(huán)節(jié)考核形式考核細(xì)則過(guò)程考核40%課堂表現(xiàn)5%為調(diào)動(dòng)學(xué)生參與課程學(xué)習(xí)的積極性，詳細(xì)記錄學(xué)生出勤、課堂討論、提問(wèn)、互動(dòng)等情況，并根據(jù)學(xué)生對(duì)各章節(jié)知識(shí)點(diǎn)的理解與掌握情況評(píng)定成績(jī)。評(píng)分標(biāo)準(zhǔn)：按照0-100分評(píng)分。缺勤學(xué)時(shí)達(dá)到總學(xué)時(shí)三分之一，將取消考試資格。每曠課1課時(shí)扣2分，遲到或早退1次扣1分。平時(shí)作業(yè)10%根據(jù)平時(shí)測(cè)試、練習(xí)、報(bào)告等環(huán)節(jié)考核學(xué)生對(duì)各章節(jié)知識(shí)點(diǎn)的理解與掌握。評(píng)分依據(jù)：每份作業(yè)（或測(cè)驗(yàn)）按照0-100分評(píng)分，計(jì)算平均成績(jī)作為該課程的平時(shí)作業(yè)成績(jī)。作業(yè)（或測(cè)驗(yàn)）未提交次數(shù)達(dá)到總次數(shù)三分之一，將取消考試資格。要求獨(dú)立完成作業(yè)（或測(cè)驗(yàn)），雷同作業(yè)（或測(cè)驗(yàn)作弊）按0分處理。。實(shí)驗(yàn)成績(jī)25%通過(guò)實(shí)驗(yàn)項(xiàng)目的實(shí)施，可以幫助學(xué)生了解自己對(duì)知識(shí)和技術(shù)的綜合應(yīng)用能力。本課程安排4個(gè)實(shí)驗(yàn)項(xiàng)目，學(xué)生進(jìn)行實(shí)驗(yàn)操作后撰寫(xiě)并提交實(shí)驗(yàn)報(bào)告。評(píng)分標(biāo)準(zhǔn)：每次實(shí)驗(yàn)按照0-100分評(píng)分，評(píng)分主要依據(jù)學(xué)生實(shí)驗(yàn)過(guò)程的具體表現(xiàn)以及實(shí)驗(yàn)報(bào)告完成情況。計(jì)算4次實(shí)驗(yàn)的平均成績(jī)作為該課程的實(shí)驗(yàn)項(xiàng)目成績(jī)。實(shí)驗(yàn)未完成次數(shù)達(dá)到總次數(shù)三分之一，將取消考試資格。要求獨(dú)立完成實(shí)驗(yàn)，雷同實(shí)驗(yàn)報(bào)告按0分處理。結(jié)課考核60%結(jié)課考試60%考核學(xué)生對(duì)各章知識(shí)的掌握情況以及應(yīng)用所學(xué)知識(shí)對(duì)信息安全工作機(jī)制進(jìn)行綜合分析的能力。該環(huán)節(jié)為結(jié)果性考核，考試形式為筆試、閉卷考試，考試時(shí)長(zhǎng)為90分鐘。每份試卷以1-100分評(píng)判，占總成績(jī)的60%。試卷分為A、B兩套試卷，并附有參考答案和評(píng)分標(biāo)準(zhǔn)(主觀性試題給出評(píng)分要點(diǎn))。試卷包括選擇題（20%）、填空題（20%）、簡(jiǎn)答題（30%）、分析題（30%）共4種題型。合計(jì)100%1.實(shí)驗(yàn)報(bào)告要求：（1）實(shí)驗(yàn)報(bào)告各項(xiàng)目填寫(xiě)完整；（2）實(shí)驗(yàn)任務(wù)全部完成；（3）實(shí)驗(yàn)方法、步驟以及結(jié)論正確；（4）按時(shí)提交實(shí)驗(yàn)報(bào)告。2.實(shí)驗(yàn)表現(xiàn)包括：（1）實(shí)驗(yàn)態(tài)度認(rèn)真；（2）實(shí)驗(yàn)準(zhǔn)備充分；（3）能按時(shí)完成實(shí)驗(yàn)；（4）實(shí)驗(yàn)操作規(guī)范、安全意識(shí)強(qiáng)等。[安全教育]教師和學(xué)生都應(yīng)當(dāng)高度重視實(shí)驗(yàn)實(shí)訓(xùn)安全，牢固樹(shù)立安全意識(shí)，及時(shí)發(fā)現(xiàn)和排除安全隱患，時(shí)刻警惕實(shí)驗(yàn)實(shí)訓(xùn)中可能發(fā)生的危險(xiǎn)，保護(hù)好自己和他人，免受意外傷害。實(shí)驗(yàn)時(shí)對(duì)學(xué)生進(jìn)行防火、防電的安全教育，尤其是本實(shí)驗(yàn)室的安全使用規(guī)則。1.實(shí)驗(yàn)室使用者應(yīng)遵守國(guó)家安全保密有關(guān)法規(guī)及有關(guān)制度；2.實(shí)驗(yàn)室內(nèi)嚴(yán)禁吸煙和使用明火、堆放雜物，禁止將各種食品和與學(xué)習(xí)無(wú)關(guān)的物品帶入實(shí)驗(yàn)室；3.未經(jīng)同意，任何人不得隨意拆卸和移動(dòng)計(jì)算機(jī)；嚴(yán)禁隨意拆卸計(jì)算機(jī)上的任何接口；嚴(yán)禁擅自修改計(jì)算機(jī)系統(tǒng)設(shè)置。4.實(shí)驗(yàn)室內(nèi)不得從事與學(xué)習(xí)無(wú)關(guān)的事情，禁止玩各種電子游戲。5.授課教師要認(rèn)真填寫(xiě)實(shí)驗(yàn)室使用、維護(hù)記錄；6.實(shí)驗(yàn)室及相關(guān)電腦、實(shí)驗(yàn)箱、機(jī)柜等設(shè)備的開(kāi)啟、運(yùn)行和關(guān)閉必須嚴(yán)格遵守有關(guān)的開(kāi)關(guān)機(jī)操作規(guī)程，嚴(yán)禁各種違規(guī)操作。具體如下：（1）進(jìn)入實(shí)驗(yàn)室后，開(kāi)窗通風(fēng)，并打開(kāi)墻上的總電閘；（2）實(shí)驗(yàn)結(jié)束時(shí)，要將用到的設(shè)備還原到初始狀態(tài)；（3）離開(kāi)實(shí)驗(yàn)室前，要整理好網(wǎng)線、桌椅和實(shí)驗(yàn)室環(huán)境衛(wèi)生，對(duì)使用的設(shè)備和電腦進(jìn)行消毒，注意禁止用濕抹布擦帶電設(shè)備；（4）離開(kāi)實(shí)驗(yàn)室時(shí)，要斷開(kāi)墻上的總電閘，關(guān)好門(mén)窗。

實(shí)驗(yàn)項(xiàng)目實(shí)驗(yàn)項(xiàng)目一網(wǎng)絡(luò)入侵[實(shí)驗(yàn)項(xiàng)目概述]1.實(shí)驗(yàn)項(xiàng)目名稱(chēng)：網(wǎng)絡(luò)入侵2.實(shí)驗(yàn)項(xiàng)目學(xué)時(shí)：4學(xué)時(shí)3.實(shí)驗(yàn)項(xiàng)目的目的：了解網(wǎng)絡(luò)入侵的基本概念及典型的網(wǎng)絡(luò)入侵事件，了解網(wǎng)絡(luò)入侵的分類(lèi)，理解網(wǎng)絡(luò)入侵的流程，掌握網(wǎng)絡(luò)掃描、ARP欺騙攻擊、拒絕服務(wù)攻擊等常見(jiàn)網(wǎng)絡(luò)攻擊方法。4.實(shí)驗(yàn)項(xiàng)目的要求：學(xué)生參考實(shí)驗(yàn)原理與相關(guān)介紹獨(dú)立完成實(shí)驗(yàn)，并對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行分析，按時(shí)提交實(shí)驗(yàn)報(bào)告，完成思考題目，總結(jié)實(shí)驗(yàn)的心得體會(huì)，并提出實(shí)驗(yàn)的改進(jìn)意見(jiàn)。實(shí)驗(yàn)過(guò)程中遵守安全紀(jì)律要求，詳細(xì)記錄實(shí)驗(yàn)過(guò)程、實(shí)驗(yàn)數(shù)據(jù)以及實(shí)驗(yàn)結(jié)果。[實(shí)驗(yàn)項(xiàng)目準(zhǔn)備]一、實(shí)驗(yàn)項(xiàng)目的基本原理網(wǎng)絡(luò)入侵的典型方法有病毒木馬、惡意網(wǎng)頁(yè)、網(wǎng)絡(luò)掃描、Web攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、軟件攻擊、僵尸網(wǎng)絡(luò)攻擊、APT攻擊、欺騙攻擊等。1.網(wǎng)絡(luò)掃描nmap是一個(gè)網(wǎng)絡(luò)連接端掃描軟件，用來(lái)掃描網(wǎng)上電腦開(kāi)放的網(wǎng)絡(luò)連接端，確定哪些服務(wù)運(yùn)行在哪些連接端，并能推斷計(jì)算機(jī)運(yùn)行的操作系統(tǒng)（OSfingerprint）。它是網(wǎng)絡(luò)管理員必用的軟件之一，用以評(píng)估網(wǎng)絡(luò)系統(tǒng)安全。sudonmap-help2.拒絕服務(wù)攻擊拒絕服務(wù)（DenialofService，DOS）攻擊是指占據(jù)大量資源，是系統(tǒng)沒(méi)有剩余資源給其他用戶(hù)，從而使合法用戶(hù)服務(wù)請(qǐng)求被拒絕，造成系統(tǒng)運(yùn)行緩慢或癱瘓。拒絕服務(wù)攻擊的目的：通常不是為了獲得訪問(wèn)權(quán)，而是讓服務(wù)不可用或?yàn)橥瓿善渌糇鰷?zhǔn)備。（1）利用TCPSYN或TCPACK泛洪實(shí)現(xiàn)DOS攻擊黑客構(gòu)造海量的TCPSYN/ACK數(shù)據(jù)包發(fā)起泛洪攻擊，以此消耗目標(biāo)服務(wù)器資源，實(shí)現(xiàn)DOS/DDOS攻擊。在正常情況下，服務(wù)器在特定端口上收到TCPSYN數(shù)據(jù)包時(shí)，通過(guò)兩個(gè)步驟進(jìn)行響應(yīng)：①服務(wù)器首先檢查是否有任何當(dāng)前偵聽(tīng)指定端口請(qǐng)求的程序正在運(yùn)行。②若該端口服務(wù)開(kāi)啟，則服務(wù)器返回ACK數(shù)據(jù)包，并進(jìn)入半開(kāi)連接階段，等待最終建立會(huì)話(huà)。在正常情況下，服務(wù)器在特定端口上收到TCPACK數(shù)據(jù)包時(shí)，將通過(guò)以下兩個(gè)步驟進(jìn)行響應(yīng)：①服務(wù)器首先檢查該數(shù)據(jù)包所對(duì)應(yīng)的TCP連接是否已存在，若存在則繼續(xù)上傳給應(yīng)用層。②如果該會(huì)話(huà)沒(méi)有開(kāi)啟或不合法，則服務(wù)器返回RST數(shù)據(jù)包。（2）利用ICMP實(shí)現(xiàn)DOS攻擊黑客利用ICMP協(xié)議，發(fā)起ICMPfloods或thepingofdeath等實(shí)現(xiàn)DOS/DDOS攻擊。構(gòu)造海量的ICMP數(shù)據(jù)包發(fā)起泛洪攻擊，以此消耗目標(biāo)帶寬資源，實(shí)現(xiàn)DOS攻擊。（3）利用HTTP/HTTPS實(shí)現(xiàn)DOS攻擊黑客利用HTTP/HTTPS協(xié)議發(fā)起“HTTPCC”（ChallengeCollapsar，挑戰(zhàn)黑洞）泛洪攻擊，實(shí)現(xiàn)對(duì)目標(biāo)的DOS/DDOS攻擊。攻擊者構(gòu)造大量的GET/POST請(qǐng)求，模擬大量正常用戶(hù)點(diǎn)擊目標(biāo)網(wǎng)站，致使其癱瘓。3.欺騙攻擊Ettercap（/）是一款在LAN中進(jìn)行中間人攻擊的工具集。它通過(guò)ARP攻擊充當(dāng)網(wǎng)絡(luò)通信的中間人。一且ARP協(xié)議的攻擊奏效，它就能夠：修改數(shù)據(jù)連接；截獲FTP、HTTP、POP和SSH1等協(xié)議的密碼；通過(guò)偽造SSL證書(shū)的手段劫持被測(cè)主機(jī)的HTTPS會(huì)話(huà)。二、實(shí)驗(yàn)項(xiàng)目的儀器設(shè)備、工具材料攻擊機(jī)(Server)：Kali目標(biāo)機(jī)(Target)：Win7工具(Tools)：NMAP、Hping3、ab、Ettercap[實(shí)驗(yàn)項(xiàng)目實(shí)施]一、實(shí)驗(yàn)項(xiàng)目公布在規(guī)定的時(shí)間內(nèi)，完成以下任務(wù)：1．虛擬環(huán)境部署2.KALILinux的使用3.利用NMAP實(shí)現(xiàn)網(wǎng)絡(luò)掃描4.利用hping3、ab軟件實(shí)現(xiàn)DOS攻擊5.利用Ettercap實(shí)現(xiàn)中間人欺騙攻擊二、實(shí)驗(yàn)項(xiàng)目的內(nèi)容和步驟實(shí)驗(yàn)任務(wù)一：網(wǎng)絡(luò)掃描1.NMAPPing掃描（1）進(jìn)入KALI，啟動(dòng)wireshark，開(kāi)始抓包（2）在終端下輸入下面命令啟動(dòng)NMAP，并查看wireshark抓包的情況。sudonmap-sP34--disable-arp-ping//--disable-arp-ping參數(shù)，讓NMAP只發(fā)送ICMP掃描（NMAP也會(huì)發(fā)送ARP數(shù)據(jù)包進(jìn)行掃描）圖2-1NMAPPing掃描2.NMAPTCP/UDP掃描（1）進(jìn)入KALI，啟動(dòng)wireshark，開(kāi)始抓包（2）在終端下輸入下面命令啟動(dòng)NMAP，并查看wireshark抓包的情況。sudonmap-sU-p1-20034圖2-2NMAPTCP/UDP掃描sudonmap-sT-p1-20034圖2-3NMAPTCP/UDP掃描3.NMAPXMAS掃描有時(shí)攻擊者不是用TCP通訊進(jìn)行掃描，而使用XMAS通過(guò)Fin、PSH和URG發(fā)送數(shù)據(jù)包進(jìn)行掃描。（1）進(jìn)入KALI，啟動(dòng)wireshark，開(kāi)始抓包（2）在終端下輸入下面命令啟動(dòng)NMAP，并查看wireshark抓包的情況。sudonmap-sX-p1-200344.NMAPFin掃描（1）進(jìn)入KALI，啟動(dòng)wireshark，開(kāi)始抓包（2）在終端下輸入下面命令啟動(dòng)NMAP，并查看wireshark抓包的情況。sudonmap-sF-p1-200345.NULL掃描檢測(cè)（1）進(jìn)入KALI，啟動(dòng)wireshark，開(kāi)始抓包（2）在終端下輸入下面命令啟動(dòng)NMAP，并查看wireshark抓包的情況。sudonmap-sN-p1-200346.NMAP操作系統(tǒng)掃描（1）進(jìn)入KALI，啟動(dòng)wireshark，開(kāi)始抓包（2）在終端下輸入下面命令啟動(dòng)NMAP，并查看wireshark抓包的情況。sudonmap-O34sudonmap-sV347.NMAP綜合掃描（1）進(jìn)入KALI，啟動(dòng)wireshark，開(kāi)始抓包（2）在終端下輸入下面命令啟動(dòng)NMAP，并查看wireshark抓包的情況。sudonmap-A34sudonmap-A-T4-V348.NMAPTCPSYN掃描（1）進(jìn)入KALI，啟動(dòng)wireshark，開(kāi)始抓包（2）在終端下輸入下面命令啟動(dòng)NMAP，并查看wireshark抓包的情況。sudonmap-sS-p1-100034圖2-4NMAPTCPSYN掃描實(shí)驗(yàn)任務(wù)二：拒絕服務(wù)攻擊1.利用TCPSYN或TCPACK泛洪實(shí)現(xiàn)DOS攻擊（1）打開(kāi)Vmware，打開(kāi)KaliLinux虛擬機(jī)（2）進(jìn)入KaliLinux虛擬機(jī)，打開(kāi)Wireshark抓包軟件（3）打開(kāi)Wireshark，監(jiān)聽(tīng)虛擬機(jī)上網(wǎng)網(wǎng)卡（4）進(jìn)入命令終端，運(yùn)行Hping3程序，發(fā)起SYN泛洪攻擊sudohping3-S-a-p80--flood目標(biāo)IPsudohping3-S--random-source-p443--flood目標(biāo)IP（5）進(jìn)入命令終端，運(yùn)行Hping3程序，發(fā)起SYN泛洪攻擊sudohping3-A-a-p80--flood目標(biāo)IPsudohping3-A--random-source-p443--flood目標(biāo)IP（6）Wireshark觀察TCP協(xié)議包，學(xué)習(xí)攻擊行為特征（7）Wireshark停止抓包，保存攻擊數(shù)據(jù)包到本地2.利用ICMP實(shí)現(xiàn)DOS攻擊（1）打開(kāi)Vmware，打開(kāi)KaliLinux虛擬機(jī)（2）進(jìn)入KaliLinux虛擬機(jī)，打開(kāi)Wireshark抓包軟件（3）打開(kāi)Wireshark，監(jiān)聽(tīng)虛擬機(jī)上網(wǎng)網(wǎng)卡（4）進(jìn)入命令終端，運(yùn)行Hping3程序，采用如下命令：sudohping3--icmp--rand-source--flood目標(biāo)IP（5）Wireshark觀察ICMP協(xié)議包，學(xué)習(xí)攻擊行為特征（6）Wireshark停止抓包，保存攻擊數(shù)據(jù)包到本地3.利用HTTPCC實(shí)現(xiàn)DOS攻擊（1）打開(kāi)Vmware，打開(kāi)KaliLinux虛擬機(jī)（2）進(jìn)入KaliLinux虛擬機(jī)，打開(kāi)Wireshark抓包軟件（3）打開(kāi)Wireshark，監(jiān)聽(tīng)虛擬機(jī)上網(wǎng)網(wǎng)卡（4）進(jìn)入命令終端，運(yùn)行ab程序，發(fā)起CC泛洪攻擊ab-n1000-c500/（5）Wireshark觀察TCP協(xié)議包，學(xué)習(xí)攻擊行為特征（6）Wireshark停止抓包，保存攻擊數(shù)據(jù)包到本地實(shí)驗(yàn)任務(wù)三：中間人欺騙攻擊利用Ettercap程序?qū)崿F(xiàn)DOS攻擊（1）打開(kāi)Vmware，打開(kāi)KaliLinux虛擬機(jī)（2）進(jìn)入KaliLinux虛擬機(jī)，打開(kāi)Wireshark抓包軟件（3）打開(kāi)Wireshark，監(jiān)聽(tīng)虛擬機(jī)上網(wǎng)網(wǎng)卡（4）進(jìn)入命令終端，運(yùn)行Ettercap程序，發(fā)起ARP中間人攻擊sudoettercap-G開(kāi)啟ettercap圖形程序點(diǎn)擊√啟動(dòng)點(diǎn)放大鏡搜索主機(jī)查看主機(jī)列表選擇肉雞和網(wǎng)關(guān)IP開(kāi)啟arppoisoning偵聽(tīng)sniffremoteconnections查看WindowsARP表查看WiresharkARP包（5）新建另一終端，運(yùn)行Ettercap程序，截取http賬號(hào)密碼sudoettercap-Tq-ieth0抓取http賬號(hào)密碼（6）Windows虛擬機(jī)訪問(wèn)http網(wǎng)站，Kali上觀察抓取到的賬號(hào)密碼/login/（7）Ettercap停止攻擊，Wireshark停止抓包，保存攻擊數(shù)據(jù)包到本地。[實(shí)驗(yàn)項(xiàng)目結(jié)果]按要求完成以下實(shí)驗(yàn)任務(wù)，記錄實(shí)驗(yàn)數(shù)據(jù)和結(jié)果，及時(shí)解決實(shí)驗(yàn)過(guò)程中出現(xiàn)的問(wèn)題，撰寫(xiě)實(shí)驗(yàn)心得和收獲，按時(shí)提交實(shí)驗(yàn)報(bào)告。1．利用NMAP實(shí)現(xiàn)網(wǎng)絡(luò)掃描；2．利用hping3和ab實(shí)現(xiàn)DOS攻擊；3．利用Ettercap實(shí)現(xiàn)中間人欺騙攻擊；4．利用wireshark抓包，分析各種攻擊行為特征。[實(shí)驗(yàn)項(xiàng)目評(píng)價(jià)]實(shí)驗(yàn)的評(píng)價(jià)除了考核學(xué)生專(zhuān)業(yè)能力的同時(shí)，還注重考核學(xué)生的責(zé)任意識(shí)、動(dòng)手能力、分析和解決問(wèn)題的能力的能力。一、實(shí)驗(yàn)項(xiàng)目成績(jī)構(gòu)成本實(shí)驗(yàn)成績(jī)?cè)谡n程中所占的比重是8%，即滿(mǎn)分為8分。為了方便計(jì)算和打分，本實(shí)驗(yàn)在記錄成績(jī)時(shí)使用百分制，即本實(shí)驗(yàn)滿(mǎn)分計(jì)為100分。實(shí)驗(yàn)項(xiàng)目成績(jī)（滿(mǎn)分100分）=實(shí)驗(yàn)表現(xiàn)（滿(mǎn)分60分）+實(shí)驗(yàn)報(bào)告（滿(mǎn)分40分）。二、實(shí)驗(yàn)項(xiàng)目成績(jī)?cè)u(píng)定標(biāo)準(zhǔn)1.實(shí)驗(yàn)表現(xiàn)（滿(mǎn)分60分）由教師根據(jù)學(xué)生實(shí)驗(yàn)過(guò)程的表現(xiàn)情況，現(xiàn)場(chǎng)評(píng)判打分：實(shí)驗(yàn)態(tài)度認(rèn)真、準(zhǔn)備充分、遵守實(shí)驗(yàn)操作規(guī)范、安全意識(shí)強(qiáng)、能按時(shí)完成實(shí)驗(yàn)者獲得滿(mǎn)分（60分），不足者酌情扣分。2.實(shí)驗(yàn)報(bào)告（滿(mǎn)分40分）由教師根據(jù)學(xué)生提交實(shí)驗(yàn)報(bào)告的情況，課后打分：實(shí)驗(yàn)報(bào)告各項(xiàng)目填寫(xiě)完整、實(shí)驗(yàn)任務(wù)全部完成、實(shí)驗(yàn)方法、步驟以及結(jié)論正確、按時(shí)提交實(shí)驗(yàn)報(bào)告者獲得滿(mǎn)分（40分），不足者酌情扣分。

實(shí)驗(yàn)項(xiàng)目實(shí)驗(yàn)項(xiàng)目二CISCOIPS[實(shí)驗(yàn)項(xiàng)目概述]1.實(shí)驗(yàn)項(xiàng)目名稱(chēng)：CISCOIPS2.實(shí)驗(yàn)項(xiàng)目學(xué)時(shí)：12學(xué)時(shí)3.實(shí)驗(yàn)項(xiàng)目的目的：掌握商用的CISCO入侵防御系統(tǒng)的原理、環(huán)境搭建、安裝、配置、優(yōu)化和故障排除等。4.實(shí)驗(yàn)項(xiàng)目的要求：學(xué)生參考實(shí)驗(yàn)原理與相關(guān)介紹獨(dú)立完成實(shí)驗(yàn)，并對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行分析，按時(shí)提交實(shí)驗(yàn)報(bào)告，完成思考題目，總結(jié)實(shí)驗(yàn)的心得體會(huì)，并提出實(shí)驗(yàn)的改進(jìn)意見(jiàn)。實(shí)驗(yàn)過(guò)程中遵守安全紀(jì)律要求，詳細(xì)記錄實(shí)驗(yàn)過(guò)程、實(shí)驗(yàn)數(shù)據(jù)以及實(shí)驗(yàn)結(jié)果。[實(shí)驗(yàn)項(xiàng)目準(zhǔn)備]一、實(shí)驗(yàn)項(xiàng)目的基本原理1.模擬環(huán)境配置及IPS初始化（1）GNS3安裝及配置設(shè)置語(yǔ)言（中文）導(dǎo)入IOS鏡像（R、SW、FW等的OS）搭建網(wǎng)絡(luò)拓?fù)洌ㄌ砑咏涌谀K并連接）計(jì)算IDLEPC減小CPU使用率關(guān)聯(lián)SecureCRT和Wireshark（2）設(shè)置SecureCRT（alt+序號(hào)）字體大小配色方案透明度（3）IPS初始化可以利用代碼或setup向?qū)нM(jìn)行初始化。2.IPS接口配置網(wǎng)絡(luò)配置：交換機(jī)配SPAN，路由器配IPIPS激活指定的特征庫(kù)IPS激活監(jiān)控接口并關(guān)聯(lián)virtualsensor3.IPS的singnature與動(dòng)作想讓引擎生效必須為Enable，且為Active。系統(tǒng)開(kāi)機(jī)時(shí)自動(dòng)加載為Active狀態(tài)的引擎。即使是Disable的狀態(tài)的也會(huì)被加載，只不過(guò)當(dāng)匹配數(shù)據(jù)時(shí)不做動(dòng)作而已。Retired狀態(tài)的即是系統(tǒng)開(kāi)機(jī)時(shí)不加載的引擎。如果把一個(gè)Disable且Acitve狀態(tài)的引擎置為Retired狀態(tài)，IPS將會(huì)把系統(tǒng)所有的Active狀態(tài)的引擎全部刪除并重新加載，杞剛剛置為Retired狀態(tài)的不載進(jìn)去。IPS在加載過(guò)程中將消耗大量硬件資源。若工作狀態(tài)的IPS頻繁此操作，將有可能對(duì)網(wǎng)絡(luò)造成一定影響。4.IPS引擎CISCOIPS包括ATOMIC、FLOOD、SERVICE、STRING、SWEEP、TROJAN、TRAFFIC、AIC、）STATE、META、NORMALIZER等11類(lèi)引擎，不同引擎可以檢測(cè)不同類(lèi)型的數(shù)據(jù)流量。每種引擎有各自不同的特殊參數(shù)，但所有引擎都有相同的普通參數(shù)。二、實(shí)驗(yàn)項(xiàng)目的儀器設(shè)備、工具材料電腦、VMwareWorkstation、GNS3、CISCOIPS鏡像、KALILinux虛擬機(jī)、WIN7虛擬機(jī)[實(shí)驗(yàn)項(xiàng)目實(shí)施]一、實(shí)驗(yàn)項(xiàng)目公布在規(guī)定的時(shí)間內(nèi)，完成以下任務(wù)：（1）模擬環(huán)境配置（2）IPS接口配置（3）思科IPS部署（4）IPS的Signature配置（5）IPS事件動(dòng)作規(guī)則（6）聯(lián)動(dòng)防火墻、路由器二、實(shí)驗(yàn)項(xiàng)目的內(nèi)容和步驟1.環(huán)境配置及IPS初始化（1）打開(kāi)GNS3，編輯-首選項(xiàng)，選擇IDS4125的2個(gè)鏡像文件（注意路徑必須全英文），點(diǎn)保存按鈕，再點(diǎn)OK按鈕。圖3-1編輯-首選項(xiàng)（2）按拓?fù)涮砑釉O(shè)備。圖3-2拓?fù)浣Y(jié)構(gòu)（3）啟動(dòng)IDS并進(jìn)行配置（賬號(hào)為cisco/net527）sensor#conft 進(jìn)入配置模式 sensor(config)#servicehost 進(jìn)入主機(jī)配置模式sensor(config-hos)#network-settings 進(jìn)入網(wǎng)絡(luò)配置模式sensor(config-hos-net)#host-nameIPS4215 設(shè)備命名sensor(config-hos-net)#host-ip54/24, 配置IPS管理地址/掩碼和默認(rèn)網(wǎng)關(guān)sensor(config-hos-net)#telnet-optionenabled 開(kāi)啟telnetsensor(config-hos-net)#access-list/24 定義管理網(wǎng)段sensor(config-hos-net)#exitsensor(config-hos)#exitApplyChanges?[yes]:yes 保存配置 sensor(config)#serviceweb-server 啟動(dòng)WEB服務(wù)并利用IDM管理IPSsensor(config-web)#enable-tlstrue 允許https的WEB管理sensor(config-web)#port443 開(kāi)啟網(wǎng)管端口sensor(config-web)#exitApplyChanges?[yes]:yes Warning:Theeditoperationhasnoeffectontherunningconfigurationsensor(config)#exitsensor#copycurrent-configbackup-config 保存IPS的配置2.對(duì)路由器R1和R2進(jìn)行配置（1）在R1上，將接口f0/0的地址配置為圖3-3R1的配置（2）在R2上，將接口f0/0的地址配置為圖3-4R2的配置（3）此時(shí)R1和R2無(wú)法進(jìn)行通訊圖3-5驗(yàn)證R1和R2的配置（4）打開(kāi)瀏覽器，在地址欄輸入54，點(diǎn)“繼續(xù)瀏覽此網(wǎng)站（不推薦）”圖3-6打開(kāi)IPS網(wǎng)站（5）點(diǎn)“RunIDM”圖3-7運(yùn)行IDM（6）點(diǎn)“保存”，將idm.jnlp文件保存在C盤(pán)根目錄中。圖3-8保存idm.jnlp（7）用記事本打開(kāi)idm.jnlp文件，修改下面內(nèi)容：initial-heap-size=”512m”max-heap-size=”1024m”，并保存退出。圖3-9修改idm.jnlp（8）輸入“cmd”進(jìn)入命令提示符，輸入“javawsc:\idm.jnlp”啟動(dòng)此文件。在隨后出現(xiàn)的“警告-安全”窗口點(diǎn)“是”按鈕。圖3-10運(yùn)行idm.jnlp（9）在CiscoIDMLauncherv1.5(17)窗口輸入用戶(hù)名cisco，密碼net527，點(diǎn)“OK”按鈕，進(jìn)入IPS的管理界面。圖3-11登錄IDM（10）登錄成功后的界面如下圖所示。通過(guò)“Home”界面的“InterfaceStatus”，可以看到監(jiān)聽(tīng)端口g0/1和g0/2接口都沒(méi)有啟用。圖3-12IDM首頁(yè)3.IPS接口配置（1）開(kāi)啟監(jiān)聽(tīng)端口：按下面步驟啟用g0/1和g0/2接口：在IDM管理界面選擇菜單configuration，點(diǎn)擊左側(cè)的interface選項(xiàng)，按住shift鍵同時(shí)g0/1和g0/2兩個(gè)接口，再點(diǎn)擊enable按鈕啟用端口，確保兩個(gè)接口的狀態(tài)為Enabled，再點(diǎn)擊下方的Apply按鈕。圖3-13修改接口（2）寫(xiě)入成功的界面如下圖所示。圖3-14保存接口配置（3）將兩個(gè)端口放入Inlinepair組，實(shí)現(xiàn)直通在線部署，要求e1和e2兩個(gè)接口必須在同一個(gè)監(jiān)聽(tīng)組，IPS才能正常工作。按下面步驟創(chuàng)建監(jiān)聽(tīng)組monitorgroup1。（4）點(diǎn)擊主菜單Configuration，選擇左側(cè)的InterfacePairs，再點(diǎn)擊右側(cè)的Add按鈕。圖3-15添加接口對(duì)（5）在出現(xiàn)的AddInterfacePair對(duì)話(huà)框中輸入監(jiān)聽(tīng)組的名稱(chēng)，選擇g0/1和g0/2兩個(gè)接口，再點(diǎn)擊OK按鈕。圖3-16接口對(duì)配置（6）此時(shí)可以看到剛創(chuàng)建的監(jiān)聽(tīng)組已經(jīng)出現(xiàn)在列表中了，再點(diǎn)擊下方的Apply按鈕應(yīng)用此配置。圖3-17保存接口對(duì)配置（7）應(yīng)用成功之后，用PING命令測(cè)試路由器R1和R2連通性，可以看到R1和R2可以通訊了。圖3-18測(cè)試連通性4.將直通在線組放入引擎口，讓sensor監(jiān)聽(tīng)流量（1）在主菜單選擇Configuration，選擇VirtualSensors界面，點(diǎn)擊Edit。（virtualsensors就是虛擬病毒庫(kù)）。圖3-19編輯VS（2）在“Editvirtualsensors”界面配置VS。圖3-20VS配置（3）單擊“Apply”按鈕保存VS配置。圖3-21保存VS配置5.IPS的Signature配置（1）選擇主菜單configuration，選擇sig0界面，在右側(cè)的SelectBy的下拉列表中選擇SigID。（2）搜索欄輸入2000，點(diǎn)擊Find進(jìn)行查找。圖3-22查找編號(hào)為2000策略（3）選擇符合要求的特征事件后，可以點(diǎn)擊右側(cè)的Actions按鈕，設(shè)置針對(duì)這種特征事件的響應(yīng)方式，如圖所示。圖3-23修改響應(yīng)方式（4）可以找到符合要求的特征事件后，點(diǎn)擊右側(cè)的Edit按鈕，針對(duì)這種特征事件的響應(yīng)方式進(jìn)行更加詳細(xì)的設(shè)置，如圖所示。其中AlertSeverity設(shè)置報(bào)警的嚴(yán)重級(jí)別，默認(rèn)為Informational，可以改為High、Medium和Low等；EventAction可以設(shè)置針對(duì)這種特征事件的響應(yīng)方式，內(nèi)容與上圖同，可配合CTRL鍵多選。圖3-24修改策略配置（5）這里選擇的DenyPacketInline表示阻止ICMP數(shù)據(jù)包，log的三個(gè)選項(xiàng)表示當(dāng)ping行為發(fā)生時(shí)記錄下來(lái)，producealert選項(xiàng)當(dāng)ping行為發(fā)生時(shí)產(chǎn)生報(bào)警，設(shè)置完之后點(diǎn)擊OK按鈕?？梢钥吹酱颂卣魇录腁ction項(xiàng)已經(jīng)發(fā)生變化，如圖所示。圖3-25策略修改情況（6）此特征事件默認(rèn)是處于未啟用的狀態(tài)，需要點(diǎn)右側(cè)的Enable按鈕將它啟用，再點(diǎn)Apply按鈕將此項(xiàng)更改寫(xiě)入IPS。圖3-26保存策略修改6.驗(yàn)證效果（1）在路由器R2上輸入下面命令，允許telnet登錄.圖3-27允許telnet登錄（2）在路由器R1上，用ping命令驗(yàn)證發(fā)現(xiàn)無(wú)法ping通R2，但可以telnet到R2。圖3-28驗(yàn)證telnet登錄（3）在IDM上方的主菜單中選擇Monitoring，點(diǎn)擊左側(cè)的IPLogging，在右側(cè)可以看到捕獲的符合特征事件的IP信息。圖3-29查看IPLogging（4）點(diǎn)擊左側(cè)的Events，再點(diǎn)擊右側(cè)的View按鈕查看記錄下來(lái)的事件日志。圖3-30查看事件日志（5）雙擊某個(gè)事件日志，可以查看該日志的詳細(xì)詳細(xì)。圖3-31查看日志內(nèi)容（6）若將前面的特征事件的操作方式改為DenyAttackerinline，IPS不但會(huì)阻止ICMP數(shù)據(jù)包，還會(huì)阻止該攻擊者的所有其他流量，如telnet。圖3-32修改響應(yīng)方式（7）在R1上進(jìn)行驗(yàn)證，可以看到ping或telnet都無(wú)法成功了。圖3-33驗(yàn)證結(jié)果（8）在Monitoring窗口可以看到被拒絕的IP信息。圖3-34查看被拒絕的IP信息[實(shí)驗(yàn)項(xiàng)目結(jié)果]按要求完成以下實(shí)驗(yàn)任務(wù)，記錄實(shí)驗(yàn)數(shù)據(jù)和結(jié)果，及時(shí)解決實(shí)驗(yàn)過(guò)程中出現(xiàn)的問(wèn)題，撰寫(xiě)實(shí)驗(yàn)心得和收獲，按時(shí)提交實(shí)驗(yàn)報(bào)告。1．模擬環(huán)境配置2．IPS接口配置3．思科IPS部署4．IPS的Signature配置5．IPS事件動(dòng)作規(guī)則[實(shí)驗(yàn)項(xiàng)目評(píng)價(jià)]實(shí)驗(yàn)的評(píng)價(jià)除了考核學(xué)生專(zhuān)業(yè)能力的同時(shí)，還注重考核學(xué)生的責(zé)任意識(shí)、動(dòng)手能力、分析和解決問(wèn)題的能力。一、實(shí)驗(yàn)項(xiàng)目成績(jī)構(gòu)成本實(shí)驗(yàn)成績(jī)?cè)谡n程中所占的比重是8%，即滿(mǎn)分為8分。為了方便計(jì)算和打分，本實(shí)驗(yàn)在記錄成績(jī)時(shí)使用百分制，即本實(shí)驗(yàn)滿(mǎn)分計(jì)為100分。實(shí)驗(yàn)項(xiàng)目成績(jī)（滿(mǎn)分100分）=實(shí)驗(yàn)表現(xiàn)（滿(mǎn)分60分）+實(shí)驗(yàn)報(bào)告（滿(mǎn)分40分）。二、實(shí)驗(yàn)項(xiàng)目成績(jī)?cè)u(píng)定標(biāo)準(zhǔn)1.實(shí)驗(yàn)表現(xiàn)（滿(mǎn)分60分）由教師根據(jù)學(xué)生實(shí)驗(yàn)過(guò)程的表現(xiàn)情況，現(xiàn)場(chǎng)評(píng)判打分：實(shí)驗(yàn)態(tài)度認(rèn)真、準(zhǔn)備充分、遵守實(shí)驗(yàn)操作規(guī)范、安全意識(shí)強(qiáng)、能按時(shí)完成實(shí)驗(yàn)者獲得滿(mǎn)分（60分），不足者酌情扣分。2.實(shí)驗(yàn)報(bào)告（滿(mǎn)分40分）由教師根據(jù)學(xué)生提交實(shí)驗(yàn)報(bào)告的情況，課后打分：實(shí)驗(yàn)報(bào)告各項(xiàng)目填寫(xiě)完整、實(shí)驗(yàn)任務(wù)全部完成、實(shí)驗(yàn)方法、步驟以及結(jié)論正確、按時(shí)提交實(shí)驗(yàn)報(bào)告者獲得滿(mǎn)分（40分），不足者酌情扣分。

實(shí)驗(yàn)項(xiàng)目實(shí)驗(yàn)項(xiàng)目三SNORT2的安裝與配置[實(shí)驗(yàn)項(xiàng)目概述]1.實(shí)驗(yàn)項(xiàng)目名稱(chēng)：SNORT2的安裝與配置2.實(shí)驗(yàn)項(xiàng)目學(xué)時(shí)：4學(xué)時(shí)3.實(shí)驗(yàn)項(xiàng)目的目的：掌握開(kāi)源入侵檢測(cè)系統(tǒng)SNORT2的安裝、部署及規(guī)則測(cè)試等。4.實(shí)驗(yàn)項(xiàng)目的要求：學(xué)生參考實(shí)驗(yàn)原理與相關(guān)介紹獨(dú)立完成實(shí)驗(yàn)，并對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行分析，按時(shí)提交實(shí)驗(yàn)報(bào)告，完成思考題目，總結(jié)實(shí)驗(yàn)的心得體會(huì)，并提出實(shí)驗(yàn)的改進(jìn)意見(jiàn)。實(shí)驗(yàn)過(guò)程中遵守安全紀(jì)律要求，詳細(xì)記錄實(shí)驗(yàn)過(guò)程、實(shí)驗(yàn)數(shù)據(jù)以及實(shí)驗(yàn)結(jié)果。[實(shí)驗(yàn)項(xiàng)目準(zhǔn)備]一、實(shí)驗(yàn)項(xiàng)目的基本原理1.在Windows上安裝配置Snort2（1）實(shí)驗(yàn)環(huán)境最好PC通過(guò)有線連接連接到SW，且SW上應(yīng)該設(shè)置鏡像，避免采用WI-FI、熱點(diǎn)。Snort雖然支持inline模式做阻斷，但考慮這是開(kāi)源軟件，國(guó)內(nèi)無(wú)服務(wù)商，常見(jiàn)的還是作為旁路鏡像流量的檢測(cè)設(shè)備，與現(xiàn)有設(shè)備形成異構(gòu)，交叉檢查網(wǎng)絡(luò)流量使用。

（2）SNORT安裝的版本一致性原則WIN7是分水嶺，之前（XP/2003/Vista/2008）的抓包軟件應(yīng)該用Winpcap，之后的用npcap。WINDOWS系統(tǒng)的位數(shù)、抓包工具的位數(shù)、SNORT的位數(shù)應(yīng)該一致，才能保證SNORT啟動(dòng)時(shí)不會(huì)出錯(cuò)。（3）Snort的三種工作模式Snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。嗅探器模式：僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。數(shù)據(jù)包記錄器模式：把數(shù)據(jù)包記錄到硬盤(pán)上。網(wǎng)路入侵檢測(cè)模式：是最復(fù)雜的，而且是可配置的。我們可以讓snort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶(hù)定義的一些規(guī)則，并根據(jù)檢測(cè)結(jié)果采取一定的動(dòng)作。二、實(shí)驗(yàn)項(xiàng)目的儀器設(shè)備、工具材料電腦、VMwareWorkstation、CentOS、SecureCRT、Wireshark、SNORT2、SNORT規(guī)則文件、guardian、libdnet等相關(guān)依賴(lài)包[實(shí)驗(yàn)項(xiàng)目實(shí)施]一、實(shí)驗(yàn)項(xiàng)目公布在規(guī)定的時(shí)間內(nèi)，完成以下實(shí)驗(yàn)任務(wù)：環(huán)境部署SNORT2的安裝及配置二、實(shí)驗(yàn)項(xiàng)目的內(nèi)容和步驟1.SNORT2的安裝（1）在Windows上利用安裝向?qū)О惭bSnort（2）用snort-V可以驗(yàn)證SNORT的位數(shù)（3）用snort-W可以查看抓包工具的位數(shù)與操作系統(tǒng)是否匹配（4）選擇正確的網(wǎng)卡接口進(jìn)行監(jiān)聽(tīng)：snort-W（5）運(yùn)行SNORT：snort-de-i4圖4-1驗(yàn)證運(yùn)行結(jié)果2.編輯配置文件snort.conf（1）打開(kāi)配置文件snort.conf。圖4-2編輯配置文件（2）104行：（105和106也可以先注釋點(diǎn)）圖4-3編輯配置文件1（3）注釋掉113和114行圖4-4編輯配置文件2（4）注釋掉253行圖4-5編輯配置文件3（5）注釋掉511和512行圖4-6編輯配置文件4（6）改247行和250行圖4-7編輯配置文件5（7）加522行圖4-8編輯配置文件6（8）547行，刪掉除local.rules之外的其他規(guī)則圖4-9編輯配置文件7（9）保存配置文件3.簡(jiǎn)單規(guī)則測(cè)試（1）在snort\rules文件夾中創(chuàng)建local.rules文件。圖4-10創(chuàng)建local.rules（2）在local.rules文件添加下面的自定義規(guī)則。alerticmpanyany->anyany(msg:"TestingICMPalert";sid:1000001;)#alertudpanyany->anyany(msg:"TestingUDPalert";sid:1000002;)#alerttcpanyany->anyany(msg:"TestingTCPalert";sid:1000003;)（3）用下面命令測(cè)試并運(yùn)行SNORT。snort-cc:\snort\etc\snort.conf-lc:\snort\log-i4-Tsnort-cc:\snort\etc\snort.conf-lc:\snort\log-i4-Aconsole報(bào)警信息輸出在控制臺(tái)snort-cc:\snort\etc\snort.conf-lc:\snort\log-i4-Afast報(bào)警信息輸出在ids文件snort-cc:\snort\etc\snort.conf-lc:\snort\log-i4報(bào)警輸出在ids文件圖4-11查看報(bào)警輸出（4）查看日志內(nèi)容。圖4-12查看日志內(nèi)容[實(shí)驗(yàn)項(xiàng)目結(jié)果]按要求完成以下實(shí)驗(yàn)任務(wù)，記錄實(shí)驗(yàn)數(shù)據(jù)和結(jié)果，及時(shí)解決實(shí)驗(yàn)過(guò)程中出現(xiàn)的問(wèn)題，并撰寫(xiě)實(shí)驗(yàn)心得和收獲，按時(shí)提交實(shí)驗(yàn)報(bào)告。1.環(huán)境部署2.SNORT2的安裝及配置[實(shí)驗(yàn)項(xiàng)目評(píng)價(jià)]實(shí)驗(yàn)的評(píng)價(jià)除了考核學(xué)生專(zhuān)業(yè)能力的同時(shí)，還注重考核學(xué)生的責(zé)任意識(shí)、動(dòng)手能力、分析和解決問(wèn)題的能力的能力。一、實(shí)驗(yàn)項(xiàng)目成績(jī)構(gòu)成本實(shí)驗(yàn)成績(jī)?cè)谡n程中所占的比重是8%，即滿(mǎn)分為8分。為了方便計(jì)算和打分，本實(shí)驗(yàn)在記錄成績(jī)時(shí)使用百分制，即本實(shí)驗(yàn)滿(mǎn)分計(jì)為100分。實(shí)驗(yàn)項(xiàng)目成績(jī)（滿(mǎn)分100分）=實(shí)驗(yàn)表現(xiàn)（滿(mǎn)分60分）+實(shí)驗(yàn)報(bào)告（滿(mǎn)分40分）。二、實(shí)驗(yàn)項(xiàng)目成績(jī)?cè)u(píng)定標(biāo)準(zhǔn)1.實(shí)驗(yàn)表現(xiàn)（滿(mǎn)分60分）由教師根據(jù)學(xué)生實(shí)驗(yàn)過(guò)程的表現(xiàn)情況，現(xiàn)場(chǎng)評(píng)判打分：實(shí)驗(yàn)態(tài)度認(rèn)真、準(zhǔn)備充分、遵守實(shí)驗(yàn)操作規(guī)范、安全意識(shí)強(qiáng)、能按時(shí)完成實(shí)驗(yàn)者獲得滿(mǎn)分（60分），不足者酌情扣分。2.實(shí)驗(yàn)報(bào)告（滿(mǎn)分40分）由教師根據(jù)學(xué)生提交實(shí)驗(yàn)報(bào)告的情況，課后打分：實(shí)驗(yàn)報(bào)告各項(xiàng)目填寫(xiě)完整、實(shí)驗(yàn)任務(wù)全部完成、實(shí)驗(yàn)方法、步驟以及結(jié)論正確、按時(shí)提交實(shí)驗(yàn)報(bào)告者獲得滿(mǎn)分（40分），不足者酌情扣分。

實(shí)驗(yàn)項(xiàng)目實(shí)驗(yàn)項(xiàng)目四SNORT的規(guī)則鏈接：/expc.do?ec=bfcda4d6-5c4a-4edc-9a85-ee421c62bdf3來(lái)源：合天網(wǎng)安實(shí)驗(yàn)室著作權(quán)歸合天網(wǎng)安實(shí)驗(yàn)室所有。商業(yè)轉(zhuǎn)載請(qǐng)聯(lián)系合天網(wǎng)安實(shí)驗(yàn)室獲得授權(quán)，非商業(yè)轉(zhuǎn)載請(qǐng)注明出處。[實(shí)驗(yàn)項(xiàng)目概述]1.實(shí)驗(yàn)項(xiàng)目名稱(chēng)：SNORT的規(guī)則2.實(shí)驗(yàn)項(xiàng)目學(xué)時(shí)：12學(xué)時(shí)3.實(shí)驗(yàn)項(xiàng)目的目的：掌握開(kāi)源入侵檢測(cè)系統(tǒng)SNORT3的安裝與配置，掌握OpenAppID、PulledPork3和Splunk安裝及配置，以及自定義規(guī)則的編寫(xiě)與測(cè)試。4.實(shí)驗(yàn)項(xiàng)目的要求：學(xué)生獨(dú)立完成實(shí)驗(yàn)，按時(shí)提交實(shí)驗(yàn)報(bào)告。實(shí)驗(yàn)過(guò)程中遵守安全紀(jì)律要求。實(shí)驗(yàn)過(guò)程中詳細(xì)記錄實(shí)驗(yàn)過(guò)程、實(shí)驗(yàn)數(shù)據(jù)以及實(shí)驗(yàn)結(jié)果。[實(shí)驗(yàn)項(xiàng)目準(zhǔn)備]一、實(shí)驗(yàn)項(xiàng)目的基本原理Snort3（也稱(chēng)為Snort++）是Snort入侵防護(hù)系統(tǒng)（IPS）的更新版本，它采用了一種全新的設(shè)計(jì)，具備Snort2.X的所有功能，并有一系列的改進(jìn)和新功能，具有更高的性能、更快的處理速度、更好的可擴(kuò)展性和可用性，是保護(hù)用戶(hù)網(wǎng)絡(luò)免受不必要流量、惡意軟件、垃圾郵件和網(wǎng)絡(luò)釣魚(yú)文檔等影響首選的開(kāi)源入侵防御系統(tǒng)。1.主要安裝包及功能本實(shí)驗(yàn)將在KaliLinux下安裝Snort3，并將其配置為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS），利用PulledPork實(shí)現(xiàn)訂閱規(guī)則集的自動(dòng)更新，利用Splunk作為安全信息和事件管理（SIEM）系統(tǒng)，實(shí)現(xiàn)可視化，涉及到主要安裝包及功能介紹如下：Snort3-.tar.gz：Snort3的源碼安裝包。libdaq-3.0.10.tar.gz：Snort3的數(shù)據(jù)采集器。snortrules-snapshot-31470.tar.gz：Snort3的訂閱規(guī)則集。pulledpork3-main.zip：用來(lái)下載和合并Snort規(guī)則集的腳本。snort-openappid.tar.gz：使Snort能識(shí)別、控制和測(cè)量網(wǎng)絡(luò)上正在使用的應(yīng)用程序。gperftools-2.9.1.tar.gz：GooglePerfTools工具集，可以提高Snort性能、減少內(nèi)存使用，可在/gperftools/gperftools下載最新版。splunk-8.2.4-87e2dda940d1-linux-2.6-amd64.deb：一個(gè)安全信息和事件管理（SIEM）系統(tǒng)，它收集、存儲(chǔ)并允許輕松地進(jìn)行分析以及可視化數(shù)據(jù)，包括Snort創(chuàng)建的警報(bào)。2.安裝與配置的流程（1）硬件環(huán)境準(zhǔn)備在安裝前，按照網(wǎng)絡(luò)拓?fù)鋵惭bSnort3的設(shè)備接入到交換機(jī)，并在交換機(jī)上設(shè)置端口鏡像功能（中高端的交換機(jī)一般都有端口鏡像功能），將交換機(jī)指定端口的流量復(fù)制到連接了Snort設(shè)備的端口，以便Snort3能獲得需要檢測(cè)的網(wǎng)絡(luò)流量。（2）軟件環(huán)境準(zhǔn)備本章在KaliLinux虛擬機(jī)環(huán)境下進(jìn)行實(shí)驗(yàn)，還需安裝VMwareWorkstations虛擬機(jī)軟件3.Snort規(guī)則的基本結(jié)構(gòu)snort使用一種簡(jiǎn)單的，輕量級(jí)的規(guī)則描述語(yǔ)言，這種語(yǔ)言靈活而強(qiáng)大，大多數(shù)snort規(guī)則都寫(xiě)在一個(gè)單行上。snort規(guī)則被分成兩個(gè)邏輯部分：規(guī)則頭和規(guī)則選項(xiàng)。（1）規(guī)則頭：包含規(guī)則的動(dòng)作，協(xié)議，源和目標(biāo)ip地址與網(wǎng)絡(luò)掩碼，以及源和目標(biāo)端口信息；（2）規(guī)則選項(xiàng)：包含報(bào)警消息內(nèi)容和要檢查的包的具體部分。下面是一個(gè)規(guī)則范例：alerticmpanyany<>$HOME_NETany(logto:"task1";msg:"ICMPping";sid:100000001)第一個(gè)括號(hào)前的部分是規(guī)則頭（ruleheader），包含在括號(hào)內(nèi)的部分是規(guī)則選項(xiàng)（ruleoptions）。規(guī)則選項(xiàng)部分中冒號(hào)前的單詞稱(chēng)為選項(xiàng)關(guān)鍵字（optionkeywords）。注意，不是所有規(guī)則都必須包含規(guī)則選項(xiàng)部分，選項(xiàng)部分只是為了更加嚴(yán)格的對(duì)要收集、報(bào)警或丟棄的包進(jìn)行定義。二、實(shí)驗(yàn)項(xiàng)目的儀器設(shè)備、工具材料電腦、VMwareWorkstation、CentOS、SecureCRT、Wireshark、SNORT3、SNORT規(guī)則文件、OpenAppID、PulledPork3、Splunk以及l(fā)ibdnet等相關(guān)依賴(lài)包[實(shí)驗(yàn)項(xiàng)目實(shí)施]一、實(shí)驗(yàn)項(xiàng)目公布在規(guī)定的時(shí)間內(nèi)，完成以下實(shí)驗(yàn)任務(wù)：1．SNORT3的安裝與配置2．OpenAppID與PulledPork33．SNORT告警輸出格式4．Splunk安裝及配置5.Snort的規(guī)則6.自定義規(guī)則的編寫(xiě)與測(cè)試二、實(shí)驗(yàn)項(xiàng)目的內(nèi)容和步驟1．SNORT3的安裝與配置（1）安裝編譯環(huán)境及依賴(lài)包更新系統(tǒng)，確保擁有最新的系統(tǒng)和軟件包列表：sudoapt-getupdate&&sudoapt-getdist-upgrade-y更新完之后需要重啟，以便加載內(nèi)核。sudoapt-getinstallbuild-essential //提供編譯軟件的構(gòu)建工具sudoapt-getinstall-ylibpcap-devlibpcre3-devsudoapt-getinstall-ylibnet1-devzlib1g-devsudoapt-getinstall-yluajithwloclibnet1-devlibcmocka-devlibmnl-devlibunwind-devgitwgetsudoapt-getinstall-ylibdnet-devlibdumbnet-devsudoapt-getinstall-ybisonflex //DAQ所需的解析器sudoapt-getinstall-yliblzma-devopenssllibssl-dev//lzma用于解壓縮SWF和PDF文件sudoapt-getinstall-ypkg-configlibhwloc-devsudoapt-getinstall-ycmakecpputestsudoapt-getinstall-ylibsqlite3-devuuid-dev //uuid是一個(gè)用于生成/解析通用唯一id的庫(kù)，用于標(biāo)記/識(shí)別網(wǎng)絡(luò)中的對(duì)象。 sudoapt-getinstall-ylibcmocka-devlibnetfilter-queue-devsudoapt-getinstall-ylibmnl-devautotools-devsudoapt-getinstall-ylibluajit-5.1-devlibunwind-devgitwgetsudoapt-getinstallautomakeflexbisongccgcc-c++makecmakeautomakeautoconflibtool（2）安裝snort3daq（用于網(wǎng)絡(luò)流量采集）創(chuàng)建文件夾src，將所有源碼都下載到此文件夾中，安裝Snortdaq（daq是SNORT的數(shù)據(jù)采集庫(kù)）cdsrcsudotarzxvflibdaq-3.0.9.tar.gzcdlibdaq-3.0.9/sudo./bootstrapsudo./configuresudomakesudomakeinstall注意：到這里對(duì)編譯結(jié)果進(jìn)行驗(yàn)證，看各項(xiàng)設(shè)置是否如下圖所示，如果是再繼續(xù)下面的安裝，如果不是，則需要回去看哪里出了問(wèn)題。圖5-1驗(yàn)證編譯結(jié)果（3）安裝TCMallocTCMalloc全稱(chēng)Thread-CachingMalloc，即線程緩存的內(nèi)存分配，是GooglePerfTools工具集中的一個(gè)庫(kù)，用于改進(jìn)多線程程序中的內(nèi)存處理，實(shí)現(xiàn)高效的多線程內(nèi)存管理，可以提高程序性能、減少內(nèi)存使用，用于替代系統(tǒng)的內(nèi)存分配相關(guān)的函數(shù)（malloc、free，new，new[]等）。sudotarzxvfgperftools-2.9.1.tar.gzcdgperftools-2.9.1/./configuresudomake&&sudomakeinstall（4）安裝snort3sudotarzxvfsnort3-.tar.gzcdsnort3-/sudo./configure_cmake.sh--prefix=/usr/local--enable-tcmalloccdbuild/sudomake&&sudomakeinstallsudoldconfig //更新共享庫(kù)Snort-V //查看版本信息圖5-2查看版本信息snort-c/usr/local/etc/snort/snort.lua//用默認(rèn)的配置文件進(jìn)行測(cè)試圖5-3用默認(rèn)的配置文件進(jìn)行測(cè)試（5）網(wǎng)卡的配置(減少I(mǎi)DS上截?cái)嗟臄?shù)據(jù)包)sudoethtool-keth0|grepreceive-off //檢測(cè)網(wǎng)卡GRO與LRO狀態(tài)LRO(LargeReceiveOffload)，通過(guò)將接收到的多個(gè)TCP數(shù)據(jù)聚合成一個(gè)大的數(shù)據(jù)包，然后傳遞給網(wǎng)絡(luò)協(xié)議棧處理，以減少上層協(xié)議棧處理開(kāi)銷(xiāo)，提高系統(tǒng)接收TCP數(shù)據(jù)包的能力。GRO(GenericReceiveOffload)，是LRO的升級(jí)，克服了LRO的一些缺點(diǎn)，更通用。后續(xù)的驅(qū)動(dòng)都使用GRO的接口，而不是LRO。圖5-4檢測(cè)網(wǎng)卡GRO與LRO狀態(tài)sudoethtool-Keth0groofflrooff //臨時(shí)關(guān)閉GRO和LRO圖5-5臨時(shí)關(guān)閉GRO和LRO（6）將下載snort3規(guī)則復(fù)制到規(guī)則目錄中sudomkdir/var/log/snortsudotarzxvfsnortrules-snapshot-31470.tar.gz-C/usr/local/etc/snortsudocp/usr/local/etc/snort/etc/*/usr/local/etc/snort（7）修改snort3的配置文件并測(cè)試在/usr/local/etc/snort/snort_defaults.lua中修改路徑變量的值圖5-6修改路徑變量的值在/usr/local/etc/snort/snort.lua修改要包含的規(guī)則，并做如下修改：注釋掉第86行圖5-7修改snort.lua1將247行改成如下所示圖5-8修改snort.lua2測(cè)試：snort-c/usr/local/etc/snort/snort.lua圖5-9測(cè)試結(jié)果（8）新增自定義的測(cè)試規(guī)則文件并測(cè)試自定義測(cè)試規(guī)則文件新建test.rules文件：sudovi/usr/local/etc/snort/rules/test.rules 在test.rules文件添加下面規(guī)則：alerticmpanyany->anyany(msg:"ICMPTrafficDetected";sid:10000001;metadata:policysecurity-ipsalert;)測(cè)試在配置文件/usr/local/etc/snort/snort.lua的177行加上規(guī)則文件test.rules：圖5-10在snort.lua中添加test.rules測(cè)試：snort-c/usr/local/etc/snort/snort.luasudosnort-c/usr/local/etc/snort/snort.lua-ieth0-Aalert_fast靜默運(yùn)行：snort-q-D-c/usr/local/etc/snort/snort.lua-ieth0-Aalert_fast查看snort的PID：ps-ef|grepsnort結(jié)束snort：kill-9PID號(hào)重啟snort：kill-SIGHUPPID號(hào)2.啟用json輸出插件啟用json輸出插件，將Snort3的告警信息寫(xiě)入json格式的文本文件，以便導(dǎo)入到安全信息和事件管理系統(tǒng)SIEM中（如Splunk）。（1）修改snort.lua文件啟用json輸出插件（在第7節(jié)：配置輸出中，大約237行）：alert_json={file=true,limit=100,fields='secondsactionclassb64_datadirdst_addrdst_apdst_porteth_dsteth_len\eth_srceth_typegidicmp_codeicmp_idicmp_seqicmp_typeifaceip_idip_lenmsgmpls\pkt_genpkt_lenpkt_numpriorityprotorevruleservicesidsrc_addrsrc_apsrc_port\targettcp_acktcp_flagstcp_lentcp_seqtcp_wintosttludp_lenvlantimestamp',}（2）運(yùn)行SNORT3sudosnort-c/usr/local/etc/snort/snort.lua-s65535-knone-l/var/log/snort-ieth0查看日志：cat/var/log/snort/alert_json.txt（或tail-f/var/log/snort/alert_json.txt）后臺(tái)靜默運(yùn)行：-q-D查看snort的PID：ps-ef|grepsnort結(jié)束snort：kill-9PID號(hào)重啟snort：kill-SIGHUPPID號(hào)3.Snort的規(guī)則例一：22（SSH）端口訪問(wèn)檢測(cè)SSH：SSH為SecureShell的縮寫(xiě)，是較可靠，專(zhuān)為遠(yuǎn)程登錄會(huì)話(huà)和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。默認(rèn)端口號(hào)為22。（1）編寫(xiě)規(guī)則文件sudovi/usr/local/etc/snort/rules/test.rules以下規(guī)則檢測(cè)任何訪問(wèn)目標(biāo)主機(jī)22端口的TCP請(qǐng)求包：alertTCPanyany->$HOME_NET22(logto:"task1";msg:"TCPSSHLogin22";sid:100000001)（2）在snort.conf規(guī)則集中包含test.rules規(guī)則文件sudovi/usr/local/etc/snort.confinclude$RULE_PATH/test.rules（3）啟動(dòng)snortsnort-d-llogs-cetc/snort.conf-Afast（4）測(cè)試訪問(wèn)目標(biāo)22端口，查看警報(bào)記錄，在客戶(hù)端（client）執(zhí)行如下命令：tail-flogs/alertsshroot@00例二：檢測(cè)TCP包中含有"admin"字段（1）編寫(xiě)規(guī)則文件sudovi/usr/local/etc/snort/rules/test.rules以下規(guī)則凡是TCP包中包含"admin"字段的，都警報(bào)并記錄：alertTCPanyany<>$HOME_NETany(logto:"task2";msg:"TCPContentadmin";content:"admin";sid:100000002)（2）在snort.conf規(guī)則集中包含test.rules規(guī)則文件（步驟同例一）sudovi/usr/local/etc/snort.confinclude$RULE_PATH/test.rules（3）啟動(dòng)snortsnort-d-llogs-cetc/snort.conf-Afast（4）啟動(dòng)apache2服務(wù)啟動(dòng)apache2：serviceapache2start查看apache2運(yùn)行狀態(tài)：serviceapache2status（5）測(cè)試訪問(wèn)目標(biāo)80端口的WEB服務(wù)，查看警報(bào)記錄，在客戶(hù)端（client）執(zhí)行如下命令：監(jiān)控警報(bào)記錄：tail-flogs/alert訪問(wèn)snort所在主機(jī)的web服務(wù)：curl00/login?user=admin&pass=admin123例三：簡(jiǎn)單檢測(cè)SQL聯(lián)合查詢(xún)注入（1）編寫(xiě)規(guī)則文件sudovi/usr/local/etc/snort/rules/test.rules以下規(guī)則檢測(cè)TCP包中是否有"union""select"字段：alertTCPanyany<>$HOME_NETany(logto:"task3";msg:"SQLInjection";content:"union";content:"select";sid:100000003)（2）在snort.conf規(guī)則集中包含test.rules規(guī)則文件（步驟同例一）sudovi/usr/local/etc/snort.confinclude$RULE_PATH/test.rules（3）啟動(dòng)snortsnort-d-llogs-cetc/snort.conf-Afast（4）啟動(dòng)apache2服務(wù)（步驟同例二，如果前面已經(jīng)啟動(dòng)，此步驟可跳過(guò)）啟動(dòng)apache2：serviceapache2start查看apache2運(yùn)行狀態(tài)：serviceapache2status（5）測(cè)試訪問(wèn)目標(biāo)80端口的WEB服務(wù)，查看警報(bào)記錄，在客戶(hù)端（client）執(zhí)行如下命令：監(jiān)控警報(bào)記錄：tail-flogs/alert通過(guò)curl訪問(wèn)snort所在主機(jī)的web服務(wù)：curl"00/login?id=1'unionselect1,2,3--+"例四：檢測(cè)NMAP掃描（1）檢測(cè)NMAPPing掃描修改local.rules，添加下面的規(guī)則：sudovi/etc/snort/rules/local.rulesalerticmpanyany->anyany(msg:"NMAPpingsweepScan";dsize:0;sid:10000004;rev:1;)重啟SNORT使規(guī)則生效ps-ef|grepsnortkill-SIGHUP進(jìn)程號(hào)進(jìn)入KALI，在終端下輸入下面命令啟動(dòng)NMAPsudonmap-sP8--disable-arp-ping//--disable-arp-ping參數(shù)，讓NMAP只發(fā)送ICMP掃描（NMAP也會(huì)發(fā)送ARP數(shù)據(jù)包進(jìn)行掃描）查看是否有報(bào)警信息tail-fcd/var/log/snort/alert08/20-03:25:00.924431[**][1:10000004:1]NMAPpingsweepScan[**][Priority:0]{ICMP}8->30（2）檢測(cè)NMAPTCP/UDP掃描能夠檢測(cè)到攻擊使用NMAP的端口爆破、連接及漏洞利用行為修改local.rules，添加下面的規(guī)則：sudovi/etc/snort/rules/local.rulesalerttcpanyany->anyany(msg:"NMAPTCPScan";sid:10000005;rev:1;)alertudpanyany->anyany(msg:"NAMPUDPScan";sid:10000006;rev:1;)重啟SNORT使規(guī)則生效ps-ef|grepsnortkill-SIGHUP進(jìn)程號(hào)進(jìn)入KALI，在終端下輸入下面命令啟動(dòng)NMAPsudonmap-sU-p1-2008sudonmap-sT-p1-2008查看是否有報(bào)警信息tail-fcd/var/log/snort/alert08/20-04:20:15.952989[**][1:10000005:1]NMAPTCPScan[**][Priority:0]{TCP}30:57376->8:5308/20-04:16:33.268075[**][1:10000006:1]NAMPUDPScan[**][Priority:0]{UDP}30:52052->8:40（3）檢測(cè)NMAPXMAS掃描有時(shí)攻擊者不是用TCP通訊進(jìn)行掃描，而使用XMAS通過(guò)Fin、PSH和URG發(fā)送數(shù)據(jù)包進(jìn)行掃描。修改local.rules，添加下面的規(guī)則：sudovi/etc/snort/rules/local.rulesalerttcpanyany->anyany(msg:"NMAPXMASTreeScan";flags:FPU;sid:10000007;rev:1;)重啟SNORT使規(guī)則生效ps-ef|grepsnortkill-SIGHUP進(jìn)程號(hào)進(jìn)入KALI，在終端下輸入下面命令啟動(dòng)NMAPsudonmap-sX-p1-2008查看是否有報(bào)警信息tail-fcd/var/log/snort/alert08/20-05:03:13.103167[**][1:10000007:1]NMAPXMASTreeScan[**][Priority:0]{TCP}30:58696->8:173（4）檢測(cè)Fin掃描修改local.rules，添加下面的規(guī)則：sudovi/etc/snort/rules/local.rulesalerttcpanyany->anyany(msg:"NMAPFINScan";flags:F;sid:10000008;rev:1;)重啟SNORT使規(guī)則生效ps-ef|grepsnortkill-SIGHUP進(jìn)程號(hào)進(jìn)入KALI，在終端下輸入下面命令啟動(dòng)NMAPsudonmap-sF-p1-2008查看是否有報(bào)警信息tail-fcd/var/log/snort/alert08/20-05:08:12.242521[**][1:10000008:1]NMAPFINScan[**][Priority:0]{TCP}30:50923->8:129（5）檢測(cè)NULL掃描檢測(cè)修改local.rules，添加下面的規(guī)則：sudovi/etc/snort/rules/local.rulesalerttcpanyany->anyany(msg:"NMAPFINScan";flags:F;sid:10000008;rev:1;)重啟SNORT使規(guī)則生效ps-ef|grepsnortkill-SIGHUP進(jìn)程號(hào)進(jìn)入KALI，在終端下輸入下面命令啟動(dòng)NMAPsudonmap-sN-p1-2008查看是否有報(bào)警信息tail-fcd/var/log/snort/alert08/20-05:15:08.276151[**][1:10000009:1]NMAPNULLScan[**][Priority:0]{TCP}30:43044->8:125Snort的規(guī)則還是很靈活的，作為IDS入侵檢測(cè)是很有效的，但是其匹配規(guī)則并不是很十分精確，實(shí)際過(guò)程中還是要搭配其他安全設(shè)備一起使用。4.Snort規(guī)則的測(cè)試（1）修改教材5.3.2節(jié)創(chuàng)建的規(guī)則文件test.rules（在規(guī)則目錄/usr/local/etc/snort/rules/中）的測(cè)試規(guī)則，使其匹配源目IP地址分別為31和的ICMP包。alerticmp31any->any(msg:"ICMPTrafficDetected";sid:10000001;metadata:policysecurity-ipsalert;)（2）輸入下面的命令啟動(dòng)Snort，將報(bào)警信息輸出到控制臺(tái)。sudosnort-c/usr/local/etc/snort/snort.lua-ieth0-Aalert_fast（3）可以直接用ping命令進(jìn)行測(cè)試，看是否可以匹配指定流量。（4）測(cè)試成功之后，再將修改規(guī)則為如下內(nèi)容，通過(guò)2個(gè)content選項(xiàng)對(duì)ICMP包的內(nèi)容進(jìn)行限制。其中第一個(gè)content選項(xiàng)“content:"|06060606|";depth:4;offset:8;”表示Snort會(huì)從數(shù)據(jù)區(qū)載荷的第8字節(jié)后的4字節(jié)中開(kāi)始匹配content選項(xiàng)內(nèi)容。第二個(gè)content選項(xiàng)“content:"|06060606|";within:4;distance:6;”表示Snort會(huì)從上一個(gè)content選項(xiàng)匹配成功的串尾跳過(guò)6字節(jié)后開(kāi)始匹配4字節(jié)。alerticmp31any->any(msg:"ICMPTrafficDetected";content:"|06060606|",depth4,offset8;content:"|06060606|",within4,distance6;sid:10000001;metadata:policysecurity-ipsalert;)（5）利用Scapy構(gòu)造ICMP數(shù)據(jù)包進(jìn)行測(cè)試，步驟如下：在Kali虛擬機(jī)中輸入下面命令安裝Scapy。sudoapt-getinstallscapy安裝完成后，即可輸入下面命令啟動(dòng)Scapy，啟動(dòng)成功可以看到Scapy的提示符為“>>>”。sudoscapy輸入下面4行代碼，以IP類(lèi)對(duì)象為例構(gòu)造一個(gè)數(shù)據(jù)包，定義為ICMP類(lèi)對(duì)象，構(gòu)造符合規(guī)則內(nèi)容要求的數(shù)據(jù)包，并在eth0接口每隔1秒循環(huán)發(fā)送數(shù)據(jù)包（按Crl+C組合鍵可以停止數(shù)據(jù)包的發(fā)送）。i=IP(src="31",dst="")u=ICMP()pay="12345678\x06\x06\x06\x06abcdef\x06\x06\x06\x06sendp(Ether()/i/u/pay,iface="eth0",loop=1,inter=1)驗(yàn)證Snort是否可以匹配上述ICMP流量，輸出預(yù)期的告警信息。測(cè)試完成后，輸入quit或按Crl+D組合鍵退出Scapy程序。[實(shí)驗(yàn)項(xiàng)目結(jié)果]按要求完成以下實(shí)驗(yàn)任務(wù)，記錄實(shí)驗(yàn)數(shù)據(jù)和結(jié)果，及時(shí)解決實(shí)驗(yàn)過(guò)程中出現(xiàn)的問(wèn)題，并撰寫(xiě)實(shí)驗(yàn)心得和收獲，按時(shí)提交實(shí)驗(yàn)報(bào)告。1．SNORT3的安裝與配置2．SNORT告警輸出格式3.Snort規(guī)則的編寫(xiě)4.自定義規(guī)則的測(cè)試[分析與思考]1.嘗試不同規(guī)則頭和不同規(guī)則選項(xiàng)2.嘗試自己編寫(xiě)snort規(guī)則，檢測(cè)訪問(wèn)web服務(wù)的請(qǐng)求數(shù)據(jù)包[實(shí)驗(yàn)項(xiàng)目評(píng)價(jià)]實(shí)驗(yàn)的評(píng)價(jià)除了考核學(xué)生專(zhuān)業(yè)能力的同時(shí)，還注重考核學(xué)生的責(zé)任意識(shí)、動(dòng)手能力、分析和解決問(wèn)題的能力的能力。一、實(shí)驗(yàn)項(xiàng)目成績(jī)構(gòu)成本實(shí)驗(yàn)成績(jī)?cè)谡n程中所占的比重是8%，即滿(mǎn)分為8分。為了方便計(jì)算和打分，本實(shí)驗(yàn)在記錄成績(jī)時(shí)使用百分制，即本實(shí)驗(yàn)滿(mǎn)分計(jì)為100分。實(shí)驗(yàn)項(xiàng)目成績(jī)（滿(mǎn)分100分）=實(shí)驗(yàn)表現(xiàn)（滿(mǎn)分60分）+實(shí)驗(yàn)報(bào)告（滿(mǎn)分40分）。二、實(shí)驗(yàn)項(xiàng)目成