HFUTネットワークセキュリティSnort実験の概要

その他 2021-03-07 14:08:01 訪問数: null

1.主題の要件

Snortを構成する前に、実験環境を設定する必要があります。実験に必要な環境構成を次の図に示します。

ここに画像の説明を挿入します

パートA

マシン1でSnortを実行して、ネットワークインターフェイスeth0を監視します。要件は次のとおりです。

1)2番目のマシンから送信されたicmpエコー要求パケットのみをキャプチャします。

2)詳細モードを使用して、端末にデータパケットリンク層とアプリケーション層の情報を表示します。

3)キャプチャした情報をログに記録します。ログディレクトリ/ var / log / snort。

パートB

マシン1でSnortを実行して、ネットワークインターフェイスeth0を監視します。要件は次のとおりです。

1)2番目のマシンから送信されたtelnet要求パケットのみをキャプチャします。

2)キャプチャしたデータパケットをバイナリモードでログファイル/var/log/snort/snort.logに保存します。

パートC

No.1マシンのsnortルールセットディレクトリids / rulesの下に新しいsnortルールセットファイルnew.rulesを作成して、外部ホストからの要求データパケットを警告し、現在のホストのポート80 / TCPをターゲットにして、アラームメッセージ。

マシン1のsnort.conf構成ファイルを編集して、new.rulesルールセットファイルを含めます。

侵入検知モードでsnortを起動して監視すると、2号機が1号機のWebサービスにアクセスします。

第二に、実験ステップ

1.仮想環境を構成します

VMwareでシステムubuntu18.04を使用して、2Gメモリと1つのカーネルで構成された2つの仮想マシンを作成します。ユーザー名は、1番目と2番目のマシンとしてそれぞれubuntu1とubuntu2です。

ネットワークアダプタモードをネットモードに調整します

ここに画像の説明を挿入します
ここに画像の説明を挿入します

snortをインストールします

sudo apt update
sudo apt list upgradable
sudo apt install snort

# 网段为192.168.209.0/24
# 网络接口为ens33

snortが正常にインストールされていることを確認します

snort -V

1603347811813

1603347584739

2.ネットワーク接続を確認します

お互いにpingします

1603347961582
1603347994638

ネットワーク接続

3.パートA

最初のマシン:ubuntu1:192.168.209.138

2番目のマシン:ubuntu2:192.168.209.129

1)2番目のマシン(ubuntu2)の最初のマシン(ubuntu1)にpingを実行します。つまり、icmpデータパケットを送信します。

ping 192.168.209.128

1603348337659

2)snortコマンドを使用して、最初のマシンでデータパケットをキャプチャし、データパケットリンク層とアプリケーション層の情報を端末に詳細モードで表示し、同時にレコードをログに記録して、/ var / logに配置します。 / snortディレクトリ

sudo snort –i eth0 –dev icmp and src 192.168.209.129 –l /var/log/snort

1603348410793

1603349467423
1603349494664

3)Wiresharkを使用して保存されたログを開きます

sudo wireshark /var/log/snort/snort.log.1603349361

16033495973251603383233260

4.パートB

最初のマシン:ubuntu1:192.168.209.138

2番目のマシン:ubuntu2:192.168.209.129

1)1台目のubuntuがtelnetサービスを開始

sudo apt-get install openbsd-inetd
sudo apt-get install telnetd
sudo /etc/init.d/openbsd-inetd restart
# 查看 telnet服务是否开启
sudo netstat -a | grep telnet

2)No.1マシンは、No。2マシンから送信されたtelnet要求パケットのみをキャプチャし、キャプチャしたデータパケットをバイナリモードでログファイル/var/log/snort/snort.logに保存します。

snort -i ens33 -b tcp and src 192.168.209.129 and dst port 23

1603382520474

3)2番目のマシンがtelnet要求を送信します

telnet 192.168.209.129

1603382343555
1603382288278

4)Wiresharkを使用して保存されたログを開きます

sudo wireshark /var/log/snort/snort.log.1603349361

1603382840052
1603383275946

5.パートC

パートC

No.1マシンのsnortルールセットディレクトリids / rulesの下に新しいsnortルールセットファイルnew.rulesを作成して、外部ホストからの要求データパケットを警告し、現在のホストのポート80 / TCPをターゲットにして、アラームメッセージ。

sudo nano /etc/snort/rules/local.rules
# 向其中加入:
alert tcp any any -> 192.168.209.138 80 (msg:"There is http connect!!!" ;sid:26287)

1603383516057

マシン1のsnort.conf構成ファイルを編集して、new.rulesルールセットファイルを含めます。

sudo nano /etc/snort/snort.conf
# 加入:
include $RULE_PATH/Local.rules

1603383770074

侵入検知モードでsnortを起動して監視すると、2号機が1号機のWebサービスにアクセスします。

snort -c /etc/snort/snort.conf -A console -i ens33

No.2マシンはNo.1マシンで開いたhttpサービスにアクセスします

1603384621241
1603384507523

アラーム情報は図のように端末に表示されます

おすすめ

転載: blog.csdn.net/qq_44082148/article/details/109298566
おすすめ
ライナスは「ドッグフードを食べる」ことに最も積極的!
Open Source Daily | Winamp プレーヤーがオープンソースになりつつある; 生成 AI の戦いは第 2 ラウンドにエスカレート; AI はバブルの初期段階に入った; Yongming を Alibaba Cloud に導入しますか?
ランキング
C言語プログラミングの最新の方法(第2回)第12章回答(自分で書いた回答、継続的に更新)
フレームワークの蜂のアップロードファイルに移動します
タイトルバーシリーズ:タイトルバーで遭遇したピットを非表示にする
Unityはゲームオブジェクトの様々な状況を取得します
N個の異なるボールは、Mどのように多くの種類のプログラムのと同じ袋に入れられますか?
オブジェクト指向のクラス、オブジェクト21
C ++オブジェクト指向プログラミングの研究ノート(8)
P3954 [NOIP2017 普及组] 成绩
分業のプロセス間通信 - ロック
ハッカーは通常、DOSコマンドウィンドウを使用します
アーカイブ
もっと
2024-05-20(5)
2024-05-19(0)
2024-05-18(30)
2024-05-17(6)
2024-05-16(24)
2024-05-15(5)
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)

コードワールド

© 2018 codetd.com