11網(wǎng)絡(luò)安全監(jiān)控

第十一章網(wǎng)絡(luò)安全監(jiān)控建議學(xué)時：4假消息攻擊目錄contentSnort入侵檢測系統(tǒng)配置與使用實驗2網(wǎng)絡(luò)流量捕獲與分析實驗1Honeyd蜜罐配置與使用實驗331網(wǎng)絡(luò)流量捕獲與分析實驗實驗原理網(wǎng)絡(luò)安全監(jiān)控的可靠性和準確性很大程度上依賴于所收集數(shù)據(jù)的可靠性和完備性。攻擊者的行為與正常用戶的行為之間總是存在著某種差異，高效、全面地收集能夠準確反映這種差異的數(shù)據(jù)是區(qū)分攻擊行為與正常行為的重要前提。實驗?zāi)康睦斫獠煌N類掃描報文格式及SYN洪泛攻擊原理，掌握根據(jù)數(shù)據(jù)包內(nèi)容判斷網(wǎng)絡(luò)攻擊類型的方法。41.1實驗設(shè)計Wireshark：本實驗使用Windows平臺下的版本W(wǎng)ireshark3.4.9。WinPcap：在Windows10系統(tǒng)中和Wireshark3.4.9配合使用WinPcap_4_1_3版本Nmap：本實驗使用Kali2021.2系統(tǒng)中默認安裝的Nmap7.91版本Hping3：命令行下的TCP/IP數(shù)據(jù)包生成和解析工具。除了掃描的功能，它還可以進行ICMP洪泛、UDP洪泛、TCPSYN洪泛等一系列DoS攻擊。Kali2021.2系統(tǒng)中默認安裝hping3版本實驗方法實驗工具使用Wireshark數(shù)據(jù)包捕獲與分析工具對Nmap掃描報文以及TCPSYN洪泛攻擊報文進行捕獲與分析。實驗環(huán)境虛擬機1為被靶機，其操作系統(tǒng)為Windows10，64位。虛擬機2為攻擊主機，其操作系統(tǒng)為Kali2021.2，64位。1.1實驗設(shè)計61.2實驗步驟環(huán)境準備，安裝Wireshark并進行設(shè)置Nmap掃描報文的捕獲與解析NmapARP掃描報文NmapICMP掃描報文NmapTCPConnect/SYN端口掃描報文NmapXMAS掃描報文TCPSYN洪泛攻擊報文捕獲與解析01020372Snort入侵檢測系統(tǒng)配置與使用實驗實驗原理Snort是一個開放源碼的網(wǎng)絡(luò)入侵檢測系統(tǒng)，可以對網(wǎng)絡(luò)流量進行實時分析，并能夠檢測出多種類型的入侵和探測行為，如隱秘掃描、操作系統(tǒng)指紋探測、SMB掃描等。Snort規(guī)則是入侵檢測系統(tǒng)的重要組成部分，其規(guī)則集是Snort的攻擊特征庫，每條規(guī)則都對應(yīng)一條攻擊特征，Snort通過它來識別攻擊行為。每一條Snort規(guī)則包括規(guī)則頭部和規(guī)則選項兩個部分。規(guī)則頭包含規(guī)則的動作，協(xié)議，源和目標IP地址與網(wǎng)絡(luò)掩碼，以及源和目標端口信息；規(guī)則選項部分包含報警消息內(nèi)容和要檢查的包的具體部分。實驗?zāi)康耐ㄟ^Snort入侵檢測系統(tǒng)實現(xiàn)主機的入侵檢測，掌握Snort入侵檢測系統(tǒng)的工作原理和規(guī)則設(shè)置方法。82.1實驗設(shè)計Snort：Snort是一個開放源碼的網(wǎng)絡(luò)入侵檢測系統(tǒng)，可以對網(wǎng)絡(luò)流量進行實時分析，并能夠檢測出多種類型的入侵和探測行為Npcap1.55：WinPcap優(yōu)化版Nmap7.91實驗方法實驗工具同11.3節(jié)網(wǎng)絡(luò)流量捕獲與分析實驗環(huán)境實驗環(huán)境搭建基于Snort入侵檢測系統(tǒng)的入侵檢測環(huán)境，針對性配置規(guī)則，進而發(fā)現(xiàn)攻擊行為92.2實驗步驟環(huán)境準備，安裝Npcap軟件安裝與配置Snort入侵檢測系統(tǒng)Snort網(wǎng)絡(luò)嗅探模式Snort日志記錄模式Snort入侵檢測模式查看Snort報警信息010203040506102.3問題討論1、分析Nmap工具進行操作系統(tǒng)指紋識別時所發(fā)探測數(shù)據(jù)包的特征，如何設(shè)置Snort入侵檢測系統(tǒng)的相應(yīng)規(guī)則進行識別？2、怎樣使用Snort入侵檢測系統(tǒng)對SQL注入數(shù)據(jù)包進行監(jiān)測和報警？3、怎樣結(jié)合數(shù)據(jù)庫，通過入侵檢測數(shù)據(jù)庫分析控制臺（ACID或BASE）進行網(wǎng)絡(luò)報文的統(tǒng)計？113Honeyd蜜罐配置與使用實驗實驗原理Honeyd是一款針對類UNIX系統(tǒng)設(shè)計的低交互開源蜜罐，用于對可疑活動進行檢測、捕獲和預(yù)警。Honeyd能在網(wǎng)絡(luò)層次上模擬大量蜜罐，可用于模擬多個IP地址的情況。當攻擊者企圖訪問時，Honeyd就會接收到連接請求，并以目標系統(tǒng)的身份，對攻擊者進行回復(fù)。實驗?zāi)康陌惭b配置Honeyd蜜罐，深入了解Honeyd蜜罐的安全配置方法和主要功能。123.1實驗設(shè)計Honeyd：本實驗使用免安裝的壓縮包Honeyd_kit-1.0c-a進行配置，其中包括ARPd工具實驗方法實驗工具使用Honeyd蜜罐實現(xiàn)對WindowsXP操作系統(tǒng)的模擬和對Web服務(wù)的模擬實驗環(huán)境虛擬機1為測試機，其操作系統(tǒng)為Windows10，64位。虛擬機2為宿主機，其操作系統(tǒng)為Kali2021.2，64位。3.1實驗設(shè)計143.2實驗步驟安裝、配置Honeyd蜜罐，虛擬出Windows單個主機配置ARPd和Honeyd的啟動模式啟動ARPd和Honeyd驗證Honeyd主機的連通性在測試機Windows10中ping蜜罐虛擬出的主機，測試Honeyd主機是否可達在測試機Windows10中打開瀏覽器，訪問Honeyd模擬的Web服務(wù)01020304153.3問題討論1、利用Honeyd模擬多網(wǎng)段的虛擬路由拓撲結(jié)構(gòu)，請寫出你的設(shè)計方案、腳本，并給出實驗結(jié)果。2、利用Honeyd研究Nmap操作系統(tǒng)指紋探測產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包及特征，并提供分析報告。3、分析Honeyd源碼結(jié)構(gòu)，并編譯生成Windows系統(tǒng)下可運行的程序。附錄工具資源Wireshark3.4.9：/download.htmlWinPcap_4_1_3：/pcsoft/wangluo/4313.htmlNmap7.91：Kali默認安裝Hping3：Kali默認安裝Snort：/downloads#（可下載新版本snort，需下載對應(yīng)