Snort入侵检测系统实验

这篇具有很好参考价值的文章主要介绍了Snort入侵检测系统实验。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

  • 实验内容
  1. 搭建网络防御环境
  2. 学习使用检测工具Snort
  3. 对网络进行攻击,查看和分析网络防御工具报告
  4. 对实验结果进行分析整理,形成结论

三、实验步骤

  1. 安装入侵检测系统Snort
    1. 安装daq依赖程序,输入如下命令:

sudo apt-get install flex

sudo apt-get install bison

sudo apt install aptitude

sudo aptitude install libpcap-dev

    1. 安装daq,输入如下命令:

wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz

tar xvfz daq-2.0.7.tar.gz

cd daq-2.0.7

./configure && make && sudo make install

    1. 安装snort的依赖程序,输入如下命令:

aptitude install libpcre3-dev

aptitude install libdumbnet-dev

aptitude install zlib1g-dev

apt install openssl

apt-get install libssl-dev

安装LuaJIT:

sudo wget http://luajit.org/download/LuaJIT-2.0.5.tar.gz

sudo tar -zxvf LuaJIT-2.0.5.tar.gz

cd LuaJIT-2.0.5/

sudo make && sudo make install

LuaJIT-2.0.5安装完成

Snort入侵检测系统实验

    1. 开始安装Snort,输入以下命令:

     Snort入侵检测系统实验

选择官网当前的版本进行下载

wget https://www.snort.org/downloads/snort/snort-2.9.20.tar.gz

tar xvfz snort-2.9.20.tar.gz

cd snort-2.9.20

./configure --enable-sourcefire && make && sudo make install

Snort入侵检测系统实验

已成功安装

  1. Snort进行配置:
    1. 创建一些必要的文件夹

#Snort的安装目录

sudo mkdir -p /etc/snort/rules/iplists

sudo mkdir -p /etc/snort/preproc_rules

sudo mkdir /usr/local/lib/snort_dynamicrules

sudo mkdir /etc/snort/so_rules

#存储过滤规则和服务器黑白名单

sudo touch /etc/snort/rules/iplists/default.blacklist

sudo touch /etc/snort/rules/iplists/default.whitelist

sudo touch /etc/snort/rules/so_rules

#创建日志目录

sudo mkdir /var/log/snort

sudo mkdir /var/log/snort/archived_logs

#调整权限

sudo chmod -R 5775 /etc/snort

sudo chmod -R 5775 /var/log/snort

sudo chmod -R 5775 /var/log/snort/archived_logs

sudo chmod -R 5775 /etc/snort/rules/so_rules

sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules

    1. 复制文件到 /etc/snort

cp /snort-2.9.20/etc/*.conf* /etc/snort

cp /snort-2.9.20/etc/*.map /etc/snort

cp /snort-2.9.20/etc/*.dtd /etc/snort

cp /snort-2.9.20/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor/* /usr/local/lib/snort_dynamicpreprocessor/

    1. 修改默认配置

# 打开配置文件

sudo vim /etc/snort/snort.conf

# 修改路径 找到对应复制

var RULE_PATH /etc/snort/rules

var SO_RULE_PATH /etc/snort/so_rules

var PREPROC_RULE_PATH /etc/snort/preproc_rules

var WHITE_LIST_PATH /etc/snort/rules/iplists/

var BLACK_LIST_PATH /etc/snort/rules/iplists/

Snort入侵检测系统实验

    1. 修改配置文件让黑白名单生效

Snort入侵检测系统实验

    1. 安装rules包

wget https://www.snort.org/downloads/registered/snortrules-snapshot-29181.tar.gz

sudo tar zxvf snortrules-snapshot-29181.tar.gz -C /etc/snort

sudo cp /etc/snort/so_rules/precompiled/RHEL-8/x86-64/2.9.18.1/* /usr/local/lib/snort_dynamicrules/

    1. 启动测试

Snort入侵检测系统实验

  1. 利用Snort检测ping攻击
    1. 在rules/icmp-info.rules文件中设置如下规则:

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP Large ICMP Packet"; dsize:>800; reference:arachnids,246; classtype:bad-unknown; sid:499; rev:4;)

Snort入侵检测系统实验

    1. 使用snort规则对流量进行检测,将结果输出到snort日志中

snort -i eth0 -c /etc/snort/snort.conf -A fast -l /var/log/snort/

Snort入侵检测系统实验

成功开启snort进行检测

    1. 使用局域网内主机对安装snort主机进行包>800的ping攻击

ping 192.168.223.153 -l 1000

Snort入侵检测系统实验

    1. 在日志中查看检测结果:

Snort入侵检测系统实验

可以看到成功检测包大于800的ping攻击

  1. 利用Snort检测nmap扫描
    1. 在 /etc/snort/rules/local.rules下进行tcp规则配置

vim /etc/snort/rules/local.rules

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"nmap scan";sid:1000000888;)

Snort入侵检测系统实验

保存并退出

    1. 启动snort进行局域网内的扫描检测

sudo snort -i eth0 -c /etc/snort/snort.conf -A fast -l /var/log/snort/

Snort入侵检测系统实验

  1. 使用宿主机进行局域网内的namp扫描(使用同一网段的另一台kali机)Snort入侵检测系统实验
    1. 在var/log/snort中查看检测结果

Snort入侵检测系统实验

 可以看到,成功检测到nmap的扫描文章来源地址https://www.toymoban.com/news/detail-418529.html

到了这里,关于Snort入侵检测系统实验的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【网络安全】2.2 入侵检测和防御系统

    入侵检测和防御系统(Intrusion Detection and Prevention Systems,简称IDPS)是网络安全的重要组成部分。它们可以帮助我们发现并阻止网络攻击。在本篇文章中,我们将详细介绍IDPS的工作原理,类型,如何配置和使用IDPS,以及如何处理IDPS发现的威胁。 入侵检测和防御系统是一种设

    2024年02月08日
    浏览(48)
  • Security Onion(安全洋葱)开源入侵检测系统(ids)安装

    Security Onion是一款专为入侵检测和NSM(网络安全监控)设计的Linux发行版。其安装过程很简单,在短时间内就可以部署一套完整的NSM收集、检测和分析的套件。Security Onion可能是主动的,用于识别漏洞或过期的SSL证书。或者也可能是被动的,如事件响应和网络取证。其镜像可以作

    2024年02月09日
    浏览(44)
  • 【论文阅读】xNIDS:可解释的基于深度学习的网络入侵检测系统的主动入侵响应(USENIX-2023)

      基于深度学习的网络入侵检测系统(DL-NIDS)得到了显著的探索,并显示出卓越的性能,但存在两个问题: 检测结果和可操作的解释之间存在语义差距,不足以对检测到的入侵作出积极的回应 高错误成本使网络运营商不愿意仅仅根据检测结果做出反应(即高误报带来的警

    2024年02月05日
    浏览(55)
  • 【论文阅读】对抗溯源图主机入侵检测系统的模仿攻击(NDSS-2023)

    作者:伊利诺伊大学芝加哥分校-Akul Goyal、Gang Wang、Adam Bates;维克森林大学-Xueyuan Han、 引用:Goyal A, Han X, Wang G, et al. Sometimes, You Aren’t What You Do: Mimicry Attacks against Provenance Graph Host Intrusion Detection Systems[C]//30th Network and Distributed System Security Symposium. 2023. 原文地址:https://www.n

    2024年02月13日
    浏览(45)
  • 基于Flume+spark+Flask的分布式实时日志分析与入侵检测系统

    完整项目地址:https://download.csdn.net/download/lijunhcn/88463174 简介 LogVision是一个整合了web日志聚合、分发、实时分析、入侵检测、数据存储与可视化的日志分析解决方案。聚合采用Apache Flume,分发采用Apache Kafka,实时处理采用Spark Streaming,入侵检测采用Spark MLlib,数据存储使用H

    2024年01月16日
    浏览(45)
  • 三种图神经网络(GGNN GCN GAT)关于入侵检测系统的应用

    消息传递是指在图神经网络(Graph Neural Network,GNN)中,从节点向邻居节点传递信息的过程。这个过程通常被称为“ 消息传递步骤 ”或“信息传播步骤”。 在消息传递步骤中,每个节点将自身的特征和邻居节点的特征合并,并计算出一个新的节点表示,然后将这个新的节点

    2024年02月04日
    浏览(41)
  • Security onion 开源IDS入侵检测系统 2.3.220超详细保姆级部署教程

    Security Onion是一个免费和开放的Linux发行版,用于威胁搜索、企业安全监控和日志管理。 易于使用的设置向导允许你在几分钟内为你的企业建立一支分布式传感器部队 Security Onion包括一个原生的网络界面,其内置的工具可供分析师用于响应警报、威胁狩猎、将证据编入案例、

    2024年02月12日
    浏览(46)
  • 人工智能安全实验一 入侵检测

    实验         一             项目名称:          入侵检测          一、实验目的    对数据集进行数据处理,使用信息增益方法来选取特征,产生训练集和测试集,并对数据进行归一化,构建模型,并对模型进行训练,得到函数的系数。构建分类器,最大化

    2024年01月22日
    浏览(48)
  • 高项(3)信息化和信息系统基础知识2-移动互联网-安全属性-安全层次-安全保护等级-加密技术-防火墙-入侵检测-DDN-蜜罐技术-无线网络安全-Web威胁防护技术-运行维护信息系统生命周期-软件测试V

    27.在大数据研究中,数据之间的关联关系比因果关系更重要 28.移动互联网的核心是互联网,移动互联网是桌面互联网的补充和延伸,应用和内容仍是移动互联网的根本。 29.安全属性 秘密性:信息不被未授权者知晓的属性; 完整性:信息是正确的、真实的、未被篡改的、完整

    2024年04月14日
    浏览(62)
  • 实验9-10 在Windows下搭建入侵检测平台

    实验目的 :掌握在Windows中搭建基于snort的入侵检测系统(IDS),熟悉简单的配置方法,能够使用IDS检测并分析网络中的数据流。 Snort是一个强大的基于误用检测的轻量级网络入侵检测系统,它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜

    2024年02月04日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包