理解入侵檢測的作用和原理,掌握snort入侵檢測的資料報記錄的方法。
入侵檢測是指對入侵行為的發現、報警和響應,它通過對計算機網路或計算機系統中的若干關鍵點收集資訊並對其進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。
在windows平台建立基於snort的ids,進行資料報記錄實驗並分析資料報
1、學生機與實驗室網路直連
2、vpc1與實驗室網路直連
3、學生機與vpc1物理鏈路連通
1、點選開始實驗進入實驗環境
2、輸入預設賬號administrator,密碼123456,進入目標主機桌面。
3、開啟d:\tools目錄,安裝winpcap_4_1_2.exe(按照嚮導提示安裝即可)
安裝wireshark(按照嚮導預設安裝即可)
安裝snort_2_9_1_2_installer.exe(預設安裝即可)
4、安裝完成後單擊「開始」「執行」,輸入「cmd」,開啟命令列,
5、使用下面命令檢測安裝是否成功:
cd c:\snort\bin (回車)
snort –w
如果出現小豬的形狀就說明安裝成功了,此時,snort已經可以用於嗅探模式了。
6、輸入嗅探模式命令snort –i 1(此處選擇1是網絡卡選擇,由上圖可以看出1號網絡卡有可用的ip位址)
7、snort資料報記錄器模式
上面介紹的嗅探器模式只是把資訊顯示在螢幕上,如果要把這些資料資訊記錄到硬碟上並制定到乙個目錄中,那就需要使用資料報記錄器模式。
進入dos介面,c:\snort\bin目錄下執行命令(具體過程見4、5步):
snort –i 1 –de –l 「c:\snort\log」
8、進入snort包記錄器模式。可以到c:\snort\log 下檢視snort記錄的資料報(用wireshark檢視):snort.log.**檔案。
9、以上就是通過snort獲取的資料報,可簡單分析日誌記錄的資料報。
10、實驗完成,關閉程式和虛擬機器。
http資料報概要記錄
http協議也就是超文字傳輸協議在通訊時,由客戶端發出請求連線,服務端建立連線 然後,客戶端發出http請求 request 服務端返回響應資訊 respond 由此完成乙個http操作。connecting to go2.163.com 連線伺服器 connected to go2.163.com...
傳送乙個記錄資料報
1.伺服器端 type tmsg001 packed record 定義記錄型別 userid array 0.19 of char password array 0.17 of char end psendmsg tmsg001 定義指標型別 varpsend psendmsg 定義指標 psen...
資料報格式 USB資料報解析
由域構成的包有四種型別,分別是令牌包 資料報 握手包和特殊包,前面三種是重要的包,不同包的域結構不同,介紹如下 1 令牌包 分為輸入包 輸出包 設定包和幀起始包 注意這裡的輸入包是用於設定輸入命令的,輸出包是用來設定輸出命令的,而不是放資料的 其中輸入包 輸出包和設定包的格式都是一樣的 sync p...