文档介绍:word
word
67 / 11
word
实验单元三. 网络扫描
开发设计型实验
实验目的和要求
二、实验内容和原理
Snort能够对网络上的数据包进展抓包分析,但区别于其它嗅探器的是,它能根据所定义的规如此进展响应与处理。Snort 通过对获取的数据包,进展各规如此的分析后,根据规如此链,可采取Activation〔报警并启动另外一个动态规如此链〕、Dynamic〔由其它的规如此包调用〕、Alert〔报警〕,Pass〔忽略〕,Log〔不报警但记录网络流量〕五种响应的机制。 
Snort有数据包嗅探,数据包分析,数据包检测,响应处理等多种功能,每个模块实现不同的功能,各模块都是用插件的方式和Snort相结合,功能扩展方便。例如,预处理插件的功能就是在规如此匹配误用检测之前运行,完成TIP碎片重组,解码,telnet解码等功能,处理插件完成检查协议各字段,关闭连接,攻击响应等功能,输出插件将得理后的各种情况以日志或警告的方式输出。
Snort通过在网络TCP/IP的5层结构的数据链路层进展抓取网络数据包,抓包时需将网卡设置为混杂模式,根据操作系统的不同采用libpcap或winpcap函数从网络中捕获数据包;然后将捕获的数据包送到包解码器进展解码。网络中的数据包有可能是以太网包、令牌环包、TCP/IP包、。在这一过程包解码器将其解码成Snort认识的统一的格式;之后就将数据包送到预处理器进展处理,预处理包括能分片的数据包进展重新组装,处理一些明显的错误等问题。预处理的过程主要是通过插件来完成,比如预处理器完成对请求解码的规格化,Frag2事务处理器完成数据包的组装,Stream4预处理器用来使Snort状态化,端口扫描预处理器能检测端口扫描的能力等;对数据包进展了解码,过滤,预处理后,进入了Snort的最重要一环,进展规如此的建立与根据规如此进展检测。规如此检测是Snort中最重要的局部,作用是检测数据包中是否包含有入侵行为。例如规如此alert tcp any any -> 80〔msg:〞misc large tcp packet〞;dsize:>3000;〕这条规如此的意思是,。规如此语法涉与到协议的类型、内容、长度、报头等各种要素。处理规如此文件的时候,用三维链表来存规如此信息以便和后面的数据包进展匹配,三维链表一旦构建好了,就通过某种方法查找三维链表并进展匹配和发生响应。规如此检测的处理能力需要根据规如此的数量,运行Snort机器的性能,网络负载等因素决定;最后一步就是输出模块,经过检测后的数据包需要以各种形式将结果进展输出,输出形式可以是输出到alert文件、其它日志文件、数据库UNIX域或Socket等。
word
word
67 / 11
word
三、实验项目
〔1〕windows平台上Snort的安装和使用
〔2〕检测外部网络远程登录内部网的非法请求
〔3〕检测ICMP攻击报文
四、实验所需软硬件
1〕仪器设备条件:PC与其网络环境;
2〕物质条件:Windows、Linux、Snort;
3〕相关文献资料:教学所提供的电子文档。
五、操作方法与实验步骤
〔1〕Windows环境下Snort安装配置
所需软件
软件名称
说明
acid
word
word
68 / 11
word
2 测试是否安装成功
打开浏览器,地址为“://localhost:8080/test〞
默认即可,完成后打开命令行测试是否安装成功
命令为“C:\Snort\bin>snort -W〞(W大写),如如下图
word
word
69 / 11
word
5 配置数据库
打开浏览器,输入地址“://localhost:8080/〞,如下列图
创建snort和acid两个账户
word
word
70 / 11
word
6 启用php对MySql的支持
8 安装
9 安装acid
10 配置snort
11 添加snort规如此库
12 测试snort
命令行中输入以下命令
C:\Snort\bin>snort -c "C:\Snort\etc\" -l "C:\Snort\log" -d -e -X -i 2
如果未报错如此安装成功,如下列图
word
word
71 / 11
word
打开浏览器,打开acid页面,效果如下