1.主題の要件
Snortを構成する前に、実験環境を設定する必要があります。実験に必要な環境構成を次の図に示します。
パートA
マシン1でSnortを実行して、ネットワークインターフェイスeth0を監視します。要件は次のとおりです。
1)2番目のマシンから送信されたicmpエコー要求パケットのみをキャプチャします。
2)詳細モードを使用して、端末にデータパケットリンク層とアプリケーション層の情報を表示します。
3)キャプチャした情報をログに記録します。ログディレクトリ/ var / log / snort。
パートB
マシン1でSnortを実行して、ネットワークインターフェイスeth0を監視します。要件は次のとおりです。
1)2番目のマシンから送信されたtelnet要求パケットのみをキャプチャします。
2)キャプチャしたデータパケットをバイナリモードでログファイル/var/log/snort/snort.logに保存します。
パートC
No.1マシンのsnortルールセットディレクトリids / rulesの下に新しいsnortルールセットファイルnew.rulesを作成して、外部ホストからの要求データパケットを警告し、現在のホストのポート80 / TCPをターゲットにして、アラームメッセージ。
マシン1のsnort.conf構成ファイルを編集して、new.rulesルールセットファイルを含めます。
侵入検知モードでsnortを起動して監視すると、2号機が1号機のWebサービスにアクセスします。
第二に、実験ステップ
1.仮想環境を構成します
VMwareでシステムubuntu18.04を使用して、2Gメモリと1つのカーネルで構成された2つの仮想マシンを作成します。ユーザー名は、1番目と2番目のマシンとしてそれぞれubuntu1とubuntu2です。
ネットワークアダプタモードをネットモードに調整します
snortをインストールします
sudo apt update
sudo apt list upgradable
sudo apt install snort
# 网段为192.168.209.0/24
# 网络接口为ens33
snortが正常にインストールされていることを確認します
snort -V
2.ネットワーク接続を確認します
お互いにpingします
ネットワーク接続
3.パートA
最初のマシン:ubuntu1:192.168.209.138
2番目のマシン:ubuntu2:192.168.209.129
1)2番目のマシン(ubuntu2)の最初のマシン(ubuntu1)にpingを実行します。つまり、icmpデータパケットを送信します。
ping 192.168.209.128
2)snortコマンドを使用して、最初のマシンでデータパケットをキャプチャし、データパケットリンク層とアプリケーション層の情報を端末に詳細モードで表示し、同時にレコードをログに記録して、/ var / logに配置します。 / snortディレクトリ
sudo snort –i eth0 –dev icmp and src 192.168.209.129 –l /var/log/snort
3)Wiresharkを使用して保存されたログを開きます
sudo wireshark /var/log/snort/snort.log.1603349361
4.パートB
最初のマシン:ubuntu1:192.168.209.138
2番目のマシン:ubuntu2:192.168.209.129
1)1台目のubuntuがtelnetサービスを開始
sudo apt-get install openbsd-inetd
sudo apt-get install telnetd
sudo /etc/init.d/openbsd-inetd restart
# 查看 telnet服务是否开启
sudo netstat -a | grep telnet
2)No.1マシンは、No。2マシンから送信されたtelnet要求パケットのみをキャプチャし、キャプチャしたデータパケットをバイナリモードでログファイル/var/log/snort/snort.logに保存します。
snort -i ens33 -b tcp and src 192.168.209.129 and dst port 23
3)2番目のマシンがtelnet要求を送信します
telnet 192.168.209.129
4)Wiresharkを使用して保存されたログを開きます
sudo wireshark /var/log/snort/snort.log.1603349361
5.パートC
パートC
No.1マシンのsnortルールセットディレクトリids / rulesの下に新しいsnortルールセットファイルnew.rulesを作成して、外部ホストからの要求データパケットを警告し、現在のホストのポート80 / TCPをターゲットにして、アラームメッセージ。
sudo nano /etc/snort/rules/local.rules
# 向其中加入:
alert tcp any any -> 192.168.209.138 80 (msg:"There is http connect!!!" ;sid:26287)
マシン1のsnort.conf構成ファイルを編集して、new.rulesルールセットファイルを含めます。
sudo nano /etc/snort/snort.conf
# 加入:
include $RULE_PATH/Local.rules
侵入検知モードでsnortを起動して監視すると、2号機が1号機のWebサービスにアクセスします。
snort -c /etc/snort/snort.conf -A console -i ens33
No.2マシンはNo.1マシンで開いたhttpサービスにアクセスします
アラーム情報は図のように端末に表示されます