计算机安全_Lab4_Snort实验

最新推荐文章于 2025-02-15 23:38:56 发布
最新推荐文章于 2025-02-15 23:38:56 发布
阅读量6.3k 收藏 55
点赞数 8
CC 4.0 BY-SA版权
分类专栏: 计算机安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43752953/article/details/90748367
本文详述了一次基于Snort的实验室,重点是Snort的三种工作模式,以及如何配置Snort规则以检测HTTP访问和远程root用户登录。通过创建规则并运行Snort,实验成功地在检测到外部计算机通过HTTP访问和root用户登录时触发了警报。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

1 实验描述

2 实验准备

3 实验内容

3.1 Snort三种工作模式

3.2 snort规则定义

3.3 task 1 :检测到其他计算机通过HTTP协议访问计算机时,显示警报。

3.4 task 2 :当有人通过任何方法以root用户身份在计算机外部登录计算机时,该规则将显示警报。

4 实验总结

1 实验描述

 对于网络安全而言入侵检测是一件非常重要的事。入侵检测系统(IDS)用于检测网络中非法与恶意的请求。Snort是一款免费、开源的网络入侵防御系统(Network Intrusion Prevention System,NIPS)和网络入侵检测系统(Network Intrusion Detection System,NIDS)工具,用于管理和防御黑客入侵 Web 站点、应用程序和支持 Internet 的程序。 本实验为了了解snort入侵检测系统中,对于外界访问本机系统依据规则提出警告等相关操作。查阅资料,编写具有防护警告的snort rules,了解snort运行机理。

2 实验准备

1. 预装daq所需程序

snort使用数据采集器(daq)监听防火墙数据包队列,所以按照daq。需预装的程序有:flex、bison、libcap

安装flex

安装bison

安装libpcap-dev

2. 安装daq

  安装后make

3. 安装snort所需程序

安装libpcre3-dev

安装libdumbnet-dev

安装zlib1g-dev

4. 安装snort

此处遇到错误:

解决办法:加上—disable-open-appid

最低0.47元/天 解锁文章

200万优质内容无限畅学
29、加密BitTorrent流量检测与二元椭圆曲线加密方案
c2d3e4f的博客
07-21 24
本文探讨了加密BitTorrent流量的检测方法以及基于二元椭圆曲线的简单加密方案。通过基于特征码的深度包检测技术,利用Snort规则对BitTorrent加密流量进行了有效识别和分析,并结合实验验证了检测方法的准确性。同时,提出了一种消息映射直接且确定的二元椭圆曲线加密方案,其安全性与EC El Gamal密码系统相当,适用于带宽受限的应用场景。研究还展望了未来结合基于熵的流方法实现高速环境下的混合检测,以及对加密方案的进一步优化。
网络安全学习中的工具
gugonggugong的博客
12-06 3468
1> Nmap Nmap,也就是Network Mapper,最早是Linux下的网络扫描和嗅探工具包。 系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器,但是黑客会利用nmap来搜集目标电脑的网络设定,从而计划攻击的方法。 其基本功能有三个,一是探测一组主机是否在线;其次是扫描 主机端口,嗅探所提供的网络服务;还可以推断主机所用的操作系统 。 2> P0f p0f是一个纯粹的被动指纹识别工具,它在不干涉双方通信的情...
snort实验.doc
06-18
对于网络安全而言,入侵检测是一件非常重要的事。入侵检测系统(IDS)用于检测网络中非法与恶意的请求。 Snort是一款免费、开源的网络入侵防御系统(Network Intrusion Prevention System,NIPS)和网络入侵检测系统(Network Intrusion Detection System,NIDS)工具,用于管理和防御黑客入侵 Web 站点、应用程序和支持 Internet 的程序。
snort实验(一)
qq_43481350的博客
03-24 3789
snort模式 snort包含三种模式:嗅探器、数据包记录器以及网络入侵检测系统。 Snort作为网络入侵检测系统 1、利用snort命令启动入侵检测系统: sudo snort -d -h 192.168.202.134/24 -l ./log -c snort.conf -i en33 解释如下: (1)-d:显示应用层数据 (2)-h:指定snort.conf中HOME_NET的值,如下所示: 此条命令指明HOME_NET=192.168.202.134/24(此地址需要更换为自己的虚拟机地址)。
snort 实验
qq_28938301的博客
05-18 772
报的错大意是找不到黑白名单的文件,而在snort.conf文件中可以看到系统找寻的路径是在rules文件夹下,所以在rules文件夹内新建white_list.rules和black_list.rules即可,而以后如果要使用黑白名单的功能时只需对这两个文件进行写入即可。IDS 模式运行时会创建一些目录,本文配置文件储存在 /etc/snort 中(要先根据自己安装的设置进行路径定位),规则储存在 /etc/snort/rules中,日志粗存在 /var/log/snort 中,
网络安全——基于Snort的入侵检测实验
网络工程
12-12 8856
其中,"/etc/snort/rules"是用于存放规则文件的路径,Snort就是根据诸多的规则文件给用户提供预警和提示的。③ 清除规则:执行"sudo vi /etc/snort/snort.conf"命令,把除了local.rules之外的规则全部注释掉(把local.rules之后的include语句注释掉;3、在配置检测规则中,可根据用户所需,根据实际的情况进行规则的设置,本实验设置的是ICMP、HTTP数据包;1、入侵检测的检测引擎就是通过对规则选项的分析构成了Snort 检测引擎的核心。
HFUT网络安全概论Snort实验
hfut天天的博客
10-26 1978
HFUT网络安全概论Snort实验
利用Lab4Snort进行计算机网络安全监控:HTTP访问与root权限检测
Lab4 Snort是针对计算机网络安全的一次实践性学习任务,主要利用Snort这个网络入侵检测系统来进行监控和保护。Snort是一款开源的网络行为检测工具,主要用于实时检测网络流量中的可疑活动,包括但不限于攻击、异常...
网络安全学习路径
qq_40685088的博客
02-15 506
蓝队/SOC分析 | 威胁情报分析、EDR响应、ATT&CK框架 | 安全运维工程师 || 密码学应用 | 非对称加密算法、TLS协议优化、区块链安全 | 密码学研究员 | || 逆向工程 | 恶意软件分析、反混淆技术、动态调试 | 病毒分析师/逆向工程师 |- 编程语言:Python(自动化脚本)、C/C++(底层漏洞分析)
【网络安全实验snort实现高级IDS
weixin_52553215的博客
02-01 2250
加深理解:我们说理解/etc/snort/sid-msg.map这个文件的意义非常重要,实体signature表示的是报警信息列表规范化,即将报警事件信息按规则编号(sig_id)、规则描述(sig_name)、规则分类编号(sig_class_id)规则优先级(sig_priority)规则版本号(sig_rev),规则在snort中的内部编号(sig_sid;根据上面命令执行结果会在/var/log/snort/目录下生成报警文件,大家可以看到报警文件格式都是snort.log.时间戳。
信息安全实验三:Snort入侵检测系统的配置与使用
04-09
信息安全实验三:Snort入侵检测系统的配置与使用 信息安全实验三:Snort入侵检测系统的配置与使用
snort 教程
12-11
此文件包含一个snort配置样例。 共分五步骤: 1 设置网络变量 2 配置动态加载库 3 配置预处理器 4 配置输出插件 5 增加任意的运行时配置向导 6 自定义规则集
网络入侵检测系统(Snort实验 实验平台的搭建和测试
duoaduo618的专栏
02-23 7146
(晕,怎么不能粘贴图片啊,先发文档,图片慢慢加吧····)当初做实验的时候,参看了网上很多文章,但是因为每个机子的环境不一样所以要根据自己的机子进行调试才能出来想要的结果。恩。就是这样·(这个是自己论文里的一部分,所以会出现类似4.1这样的编号) 4.1实验平台的搭建 1)实验软件: (1)Microsoft virtual pc虚拟机 (2)windows server 2003镜像文件
网络安全—Snort的入侵检测实验
weixin_75158417的博客
12-07 2751
和前面其他软件的安装方法一样,首先进入/root/snort 目录,然后解压 snort 再使用命令 cd snort-2.9.7.0 进入 snort 的目录,执行命令“./configure && make && make install” 进行安装,安装完成如下图。在终端中执行命令 snort -i ens33 -de -l /var/log/snort 命令,该命令含义为启动 snort,记录详细信息保存到路径为/var/log/snort 目录。使用 ctrl+c 按键结束 snort 的进程。
实验snort与单台防火墙联动
qq_34073852的博客
06-20 1124
一、基础知识 二、实验步骤 1. 2. 3.
Snort入侵检测系统简介
Nicholas的专栏
02-18 5696
前言 防火墙可以比喻为办公室门口的警卫,用来检查进出者的身份。而入侵检测系统就像是网上的警报器,当发现入侵者时,指出入侵者的来历、他们正在做什么。入侵检测系统被视为防火墙之后的第二道安全闸门。 实验目的 1.掌握snortIDS工作机理   2.应用snort三种方式工作   3.熟练编写snort规则 Snort IDS 概述 Snort IDS(入侵检测系统)是一个强大的网络入侵检测...
入侵检测软件Snort的使用实验
weixin_30755393的博客
03-13 2605
1.安装和配置 IDS 软件 Snort并查看网卡信息 从返回的结果可知主机上有哪个物理网卡正在工作及该网卡的详细信息。图中显示此计算机只有1个网卡,且该网卡具有物理地址。 2.输入 snort –v –i1命令启用 Snort并捕捉到一些流量 3. 配置snort 3.1打开 snort配置文件, 设置 Snort 的内部网络和外部网络网络检测范围。将 Snort.conf 文件...
linux下snort安装和简单ping入侵检测实例
talentlJ
03-26 6879
一、linux安装snort:(测试系统是Red Hat Enterprise Linux 5 ) 下载snort-2.8.4.1.tar.gz源码包,snort官网:http://www.snort.org/,本文snort版本官网可能没有了,百度找一下吧 获得源码之后,使用tar xvf snort-2.8.4.1.tar.gz -C /root 解压到/root目录下,然后进入源码包目录
var RULE_PATH /etc/snort/rules var SO_RULE_PATH /etc/snort/so_rules var PREPROC_RULE_PATH /etc/snort/preproc_rules
最新发布
05-17
### 回答问题 #### **1. 这些变量的作用是什么?** 在 Snort 配置文件(通常是 `/etc/snort/snort.conf`)中,`var` 关键字用于定义变量。以下是对这些变量的解释: - **`RULE_PATH`**: 指定规则文件的路径。例如,`/etc/snort/rules` 表示规则文件存储在该目录下。 - **`SO_RULE_PATH`**: 指定共享对象(Shared Object, SO)规则文件的路径。SO 规则是动态加载的规则,通常用于扩展 Snort 的功能。 - **`PREPROC_RULE_PATH`**: 指定预处理器规则文件的路径。预处理器规则用于处理网络流量中的特定协议或行为。 --- #### **2. 示例代码:验证变量是否正确配置** 以下是一个简单的步骤来验证这些变量是否正确配置: ##### **(1) 检查变量定义** 打开 `snort.conf` 文件,确保变量已正确定义: ```conf var RULE_PATH /etc/snort/rules var SO_RULE_PATH /etc/snort/so_rules var PREPROC_RULE_PATH /etc/snort/preproc_rules ``` ##### **(2) 检查目录是否存在** 运行以下命令检查这些目录是否存在: ```bash ls -ld /etc/snort/rules ls -ld /etc/snort/so_rules ls -ld /etc/snort/preproc_rules ``` 如果目录不存在,请手动创建它们: ```bash sudo mkdir -p /etc/snort/rules sudo mkdir -p /etc/snort/so_rules sudo mkdir -p /etc/snort/preproc_rules ``` ##### **(3) 测试 Snort 配置** 使用以下命令测试 Snort 配置文件是否正确: ```bash sudo snort -T -c /etc/snort/snort.conf ``` 如果没有错误信息,则说明配置文件加载成功。 --- ### **3. 给出解释** #### **(1) `var` 的作用** `var` 是 Snort 配置文件中的一个关键字,用于定义变量。这些变量可以在配置文件的其他部分引用。例如: ```conf include $RULE_PATH/scan.rules ``` 上述配置会将 `$RULE_PATH` 替换为 `/etc/snort/rules`,从而加载 `/etc/snort/rules/scan.rules` 文件。 #### **(2) 各变量的具体用途** - **`RULE_PATH`**: 存储静态规则文件,如 `scan.rules`、`http.rules` 等。 - **`SO_RULE_PATH`**: 存储动态加载的规则文件,通常以 `.so`(共享对象)形式存在。这些规则可以扩展 Snort 的检测能力。 - **`PREPROC_RULE_PATH`**: 存储与预处理器相关的规则文件。预处理器用于处理特定类型的流量,例如 HTTP、FTP、DNS 等。 #### **(3) 为什么需要这些变量?** 通过使用变量,可以简化配置文件的维护工作。如果规则文件的存储路径发生变化,只需修改变量定义即可,而无需逐一修改所有 `include` 指令。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值