1. Requisitos de la asignatura
El entorno experimental debe configurarse antes de la configuración de Snort. La configuración del entorno requerida para el experimento se muestra en la siguiente figura:
Parte A
Ejecute Snort en la máquina 1 para monitorear la interfaz de red eth0. Los requisitos son los siguientes:
1) Capture únicamente el paquete de solicitud de eco icmp enviado por la segunda máquina.
2) Utilice el modo detallado para mostrar la capa de enlace de paquetes de datos y la información de la capa de aplicación en el terminal.
3) Registre la información capturada, directorio de registro / var / log / snort.
Parte B
Ejecute Snort en la máquina 1 para monitorear la interfaz de red eth0. Los requisitos son los siguientes:
1) Capture únicamente el paquete de solicitud de telnet enviado por la segunda máquina.
2) Almacene el paquete de datos capturado en el archivo de registro /var/log/snort/snort.log en modo binario.
Parte C
Cree un nuevo archivo de conjunto de reglas de snort new.rules en el directorio de conjuntos de reglas de snort ids / rules en la máquina n. ° 1 para alarmar el paquete de datos de solicitud del host externo y apuntar al puerto 80 / tcp del host actual, y personalizar el mensaje de alarma.
Edite el archivo de configuración snort.conf en la máquina 1 para incluir el archivo de conjunto de reglas new.rules.
Inicie snort en el modo de detección de intrusos para monitorear, y la máquina No. 2 accede al servicio web de la máquina No. 1.
En segundo lugar, los pasos experimentales
1. Configurar el entorno virtual
Cree dos máquinas virtuales con el sistema ubuntu18.04 en VMware, configuradas con memoria 2G y 1 kernel, y los nombres de usuario son ubuntu1 y ubuntu2 respectivamente como primera y segunda máquina
Ajuste su modo de adaptador de red al modo de red
Instalar snort
sudo apt update
sudo apt list upgradable
sudo apt install snort
# 网段为192.168.209.0/24
# 网络接口为ens33
Verifique que snort se haya instalado correctamente
snort -V
2. Verifique la conectividad de la red
Ping uno al otro
Conexión de red
3. Parte A
La primera máquina: ubuntu1: 192.168.209.138
La segunda máquina: ubuntu2: 192.168.209.129
1) Haga ping a la primera máquina (ubuntu1) en la segunda máquina (ubuntu2), es decir, envíe el paquete de datos icmp
ping 192.168.209.128
2) Utilice el comando snort para capturar paquetes de datos en la primera máquina y muestre la capa de enlace del paquete de datos y la información de la capa de aplicación en el terminal en modo detallado, y registre los registros al mismo tiempo y colóquelos en / var / log. directorio / snort
sudo snort –i eth0 –dev icmp and src 192.168.209.129 –l /var/log/snort
3) Utilice Wireshark para abrir el registro guardado
sudo wireshark /var/log/snort/snort.log.1603349361
4. Parte B
La primera máquina: ubuntu1: 192.168.209.138
La segunda máquina: ubuntu2: 192.168.209.129
1) ubuntu en la primera máquina abre el servicio telnet
sudo apt-get install openbsd-inetd
sudo apt-get install telnetd
sudo /etc/init.d/openbsd-inetd restart
# 查看 telnet服务是否开启
sudo netstat -a | grep telnet
2) La máquina n. ° 1 solo captura el paquete de solicitud de telnet enviado por la máquina n. ° 2 y almacena el paquete de datos capturado en el archivo de registro /var/log/snort/snort.log en modo binario.
snort -i ens33 -b tcp and src 192.168.209.129 and dst port 23
3) La máquina n. ° 2 envía una solicitud de telnet
telnet 192.168.209.129
4) Utilice Wireshark para abrir el registro guardado
sudo wireshark /var/log/snort/snort.log.1603349361
5. Parte C
Parte C
Cree un nuevo archivo de conjunto de reglas de snort new.rules en el directorio de conjuntos de reglas de snort ids / rules en la máquina n. ° 1 para alarmar el paquete de datos de solicitud del host externo y apuntar al puerto 80 / tcp del host actual, y personalizar el mensaje de alarma.
sudo nano /etc/snort/rules/local.rules
# 向其中加入:
alert tcp any any -> 192.168.209.138 80 (msg:"There is http connect!!!" ;sid:26287)
Edite el archivo de configuración snort.conf en la máquina 1 para incluir el archivo de conjunto de reglas new.rules.
sudo nano /etc/snort/snort.conf
# 加入:
include $RULE_PATH/Local.rules
Inicie snort en el modo de detección de intrusos para monitorear, y la máquina No. 2 accede al servicio web de la máquina No. 1.
snort -c /etc/snort/snort.conf -A console -i ens33
La máquina n. ° 2 accede al servicio http abierto en la máquina n. ° 1
La información de la alarma se muestra en el terminal como se muestra en la figura.