3 入侵检测技术
Snort是一个强大的轻量级的网络入侵检测系统,它具有实时数据流量分析和记录IP网络数据包功能,能够进行协议分析,对网络数据包内容进行协议分析,对网络数据包内容进行搜索/匹配,他能够检测各种不同的攻击方式,对攻击进行实时报警,此外,Snort是开放源的入侵检测系统,并且有很好的扩展性和可移植性。
3.1 嗅探器
嗅探器模式是从网络上读取数据包并作为连续不断的流显示在终端上。 1.启动Snort,进入实验平台,单击工具栏:“控制台”按钮,进入IDS工作目录,运行Snort对网络etho进行监听。并遵循以下要求:
1)仅捕获同组主机发出的icmp回显请求数据包; 2)利用详细模式在终端显示数据链路层,应用层信息; 3)对捕获的信息进行日志记录。
Snort命令:Snort -i etho -deo icmp and src net 172.16.0.37 -l/var/log/Snort 2.查看Snort日志记录 Snort数据包记录
1)对网络接口etho进行监听,仅捕获同组主机发出的Telent请求数据包,并将捕获数据包以二进制方式进行,存储到日志文件中;
2)当前主机执行上述命令,同组主机Telent远程登录当前主机; 3)停止Snort,捕获读取Snort.log文件,查看数据包内容。
3.2 数据包记录器
数据包记录器模式是把数据包记录到硬盘上。
1.对网络接口etho进行监听,仅捕获同组主机发出的telnet请求数据包并将捕获数据包以二进制方式进行存储到日志文件中。
Snort命令:Snort -i etho -b top and src net 172.16.0.37 and dst port 23 2.当前主机执行上述命令,同组主机telnet远程登录到当前主机。 3.停止Snort捕获,读取Snort.log文件,查看数据包内容。 Snort命令:Snort -r/var/log/Snort/Snort.log.1304385940
3.3 网络入侵检测系统
网路入侵检测模式是最复杂的,而且是可配置的。可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。
1.在Snort规则集目录/opt/ids/rules下新建Snort规则集文件new.rules,对来自外部主机的目标为当前主机80/tcp端口的请求数据包进行报警。 报警消息自定义,Snort规则alert tcp! 172.16.0.39 any→172.16.0.39 80
2.编辑Snort.conf配置文件,使其包含new.rules规则集文件,具体操作如下:使用Vim编辑器打开Snort.conf,切至编辑模式,在最后添加新行包含规则集文件new.rules。添加包涵new.rules规则集文件语句Include $RULE-PATH/new.rules
3.以入侵检测方式启动Snort,进行监听
启动命令:/Snort -c Snort conf。以入侵检测公事启动Snort,同组主机访问当前主机Web服务。
4 病毒攻防技术
实验目的:
1.了解脚本病毒的工作原理
2.了解脚本病毒常见的感染目标和感染方式 3.掌控编写脚本病毒专杀工具的一般方法
主要仪器名称:
Windows脚本安全wsh 能够解释执行VBS和JS文件
4.1 简介
脚本程序的执行环境需要WSH环境,WSH为宿主脚本创建环境。即当脚本到达计算机时,WSH充当主机的不分,它使对象和服务可用于脚本,并提供一系列脚本执行指南。
4.2 脚本病毒的主要特征
1. 由于脚本是直接执行,可以直接通过自我复制的方式传染其他同类文件,并且使异常处理变得非常容易;
2. 脚本病毒通过HTML文档,Email附件或其它方式,可以在很短的时间内传遍世界各地;
3. 新型的邮件病毒,邮件正文即为病毒,用户接收到带毒文件后,即使不将邮件打开,只要将鼠标指向邮件,通过预览功能被激活;
4. 病毒源码容易被获取,变种多;
5. 欺骗性强。
4.3 脚本病毒的查杀方法
1.卸载Windows Scriping Host;
2.禁用文件系统对象FileSystem()bject;
3.在Windows目录中或任务管理器进程里,找到
WScript.exe更改名称,结束进程或删除,如右图;
4.设置浏览器;
5.禁止OE自动收发邮件功能;
6.进入注册表编辑器,找到注册表项:
HKEY_LOCAL_MACHINE\\software\\Microsoft\\Windows\\CurrentVersion\\run\\MSKernel32,将其删除,如下图;
7.设计脚本病毒专杀工具查杀病毒,如下图。
《网络安全技术》课程总结报告
