入侵檢測系統(tǒng)實(shí)訓(xùn)教程課件_第1頁
入侵檢測系統(tǒng)實(shí)訓(xùn)教程課件_第2頁
入侵檢測系統(tǒng)實(shí)訓(xùn)教程課件_第3頁
入侵檢測系統(tǒng)實(shí)訓(xùn)教程課件_第4頁
入侵檢測系統(tǒng)實(shí)訓(xùn)教程課件_第5頁
已閱讀5頁,還剩123頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、入侵檢測系統(tǒng)實(shí)訓(xùn)教程12入侵檢測系統(tǒng)實(shí)訓(xùn)教程定義入侵檢測系統(tǒng)(Intrusion Detection System, IDS)是一種安全設(shè)備,它依照一定的安全策略,通過軟件、硬件,對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視,盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。IDS是防火墻之后的第二道安全閘門。必要性傳統(tǒng)的防火墻在工作時(shí),存在兩方面的不足:一、防火墻完全不能阻止來自內(nèi)部的攻擊;二、由于性能的限制,防火墻通常不能提供主動(dòng)的、實(shí)時(shí)的入侵檢測能力。入侵檢測系統(tǒng)可以彌補(bǔ)防火墻的不足,為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測及采取相應(yīng)的防護(hù)手段。3入侵檢測系統(tǒng)實(shí)訓(xùn)教程功能任

2、務(wù)1. 實(shí)時(shí)檢測實(shí)時(shí)監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文;發(fā)現(xiàn)并實(shí)時(shí)處理所捕獲的數(shù)據(jù)報(bào)文;2.安全審計(jì)對系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析;發(fā)現(xiàn)異?,F(xiàn)象;得出系統(tǒng)的安全狀態(tài),找出所需要的證據(jù);3.主動(dòng)響應(yīng)主動(dòng)切斷連接或與防火墻聯(lián)動(dòng),調(diào)用其他程序處理。4入侵檢測系統(tǒng)實(shí)訓(xùn)教程分類入侵檢測系統(tǒng)基本分為2類: 1. 基于主機(jī)的入侵檢測系統(tǒng)(HIDS):以操作系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源保護(hù)所在的系統(tǒng),一般只能檢測該主機(jī)上發(fā)生的入侵。 2. 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS) :其輸入數(shù)據(jù)來源于網(wǎng)絡(luò)的信息流,能夠檢測該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵。 5入侵檢測系統(tǒng)實(shí)訓(xùn)教程工作流程 入侵檢測系統(tǒng)為了分析、判斷特定行為

3、或者事件是否為違反安全策略的異常行為或者攻擊行為,需要經(jīng)過四個(gè)過程。(1)數(shù)據(jù)采集階段 網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)或者主機(jī)入侵檢測系統(tǒng)(HIDS) 都需要采集必要的數(shù)據(jù)用于入侵分析。 (2)數(shù)據(jù)過濾及縮略根據(jù)預(yù)定義的設(shè)置,進(jìn)行必要的數(shù)據(jù)過濾及縮略,從而提高檢測、分析的效率。 (3)檢測/分析根據(jù)定義的安全策略,進(jìn)行檢測/分析。 (4)報(bào)警及響應(yīng) 一旦檢測到違反安全策略的行為或者事件,進(jìn)行報(bào)警及響應(yīng)。6入侵檢測系統(tǒng)實(shí)訓(xùn)教程7入侵檢測系統(tǒng)實(shí)訓(xùn)教程網(wǎng)絡(luò)入侵檢測技術(shù)模式匹配技術(shù) 假定所有入侵行為和手段(及其變種)都能夠表達(dá)為一種模式或特征,那么所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)。模式匹配的關(guān)鍵

4、是如何表達(dá)入侵的模式,把真正的入侵與正常行為區(qū)分開來。模式匹配的優(yōu)點(diǎn)是誤報(bào)少,局限是只能發(fā)現(xiàn)已知的攻擊,對未知的攻擊無能為力。異常檢測技術(shù)異常檢測技術(shù)假定所有入侵行為都是與正常行為不同的。如果建立系統(tǒng)正常行為的軌跡,那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。對于異常閥值與特征的選擇是異常發(fā)現(xiàn)技術(shù)的關(guān)鍵。比如,通過流量統(tǒng)計(jì)分析將異常時(shí)間的異常網(wǎng)絡(luò)流量視為可疑。異常檢測技術(shù)的局限是并非所有的入侵都表現(xiàn)為異常,而且系統(tǒng)的軌跡難于計(jì)算和更新。協(xié)議分析技術(shù)協(xié)議分析是目前最先進(jìn)的檢測技術(shù),通過對數(shù)據(jù)包進(jìn)行結(jié)構(gòu)化協(xié)議分析來識別入侵企圖和行為。協(xié)議分析是根據(jù)構(gòu)造好的算法實(shí)現(xiàn)的,這種技術(shù)比模式匹

5、配檢測效率更高,并能對一些未知的攻擊特征進(jìn)行識別,具有一定的免疫功能。8入侵檢測系統(tǒng)實(shí)訓(xùn)教程案例拓?fù)鋱D圖標(biāo)二層百兆交換機(jī)高端路由交換機(jī)路由器IDS服務(wù)器終端防火墻入侵檢測系統(tǒng)實(shí)訓(xùn)教程單元1 IDS系統(tǒng)部署單元2 查詢工具的安裝與使用單元3 安全響應(yīng)策略的配置及聯(lián)動(dòng)單元4 常見攻擊模擬9單元1 IDS系統(tǒng)部署任務(wù)1 IDS傳感器安裝配置任務(wù)2 IDS軟件支持系統(tǒng)安裝配置任務(wù)3 IDS監(jiān)控與管理環(huán)境搭建10111.1 任務(wù)目的 1. 理解DC NIDS系統(tǒng)構(gòu)成;2. 掌握DC NIDS傳感器的配置要點(diǎn)。1.2 任務(wù)設(shè)備及要求設(shè)備: DCNIDS-1800 系列設(shè)備一臺;要求:使用串口連接硬件設(shè)備的

6、命令行界面,掌握IDS傳感器的配置要點(diǎn)。任務(wù)1 IDS傳感器安裝配置121.3 任務(wù)步驟1.3.1 連接硬件設(shè)備,進(jìn)行拓?fù)洵h(huán)境搭建(1)連接好配置線纜與PC機(jī)的COM口后,打開傳感器的電源開關(guān),啟動(dòng)設(shè)備。任務(wù)1 IDS傳感器安裝配置IDS系統(tǒng)連接拓?fù)涫疽饧泄芾砑翱刂婆_PC2控制口檢測口PC113(2) 啟動(dòng)超級終端,連接Sensor。任務(wù)1 IDS傳感器安裝配置14任務(wù)1 IDS傳感器安裝配置151.3.2 配置傳感器按鍵盤任意鍵啟動(dòng)傳感器的登錄界面。輸入出廠默認(rèn)的傳感器密碼:admin,即可登錄傳感器主菜單。任務(wù)1 IDS傳感器安裝配置161配置管理信息和時(shí)間任務(wù)1 IDS傳感器安裝配置1

7、72配置傳感器網(wǎng)絡(luò)參數(shù)任務(wù)1 IDS傳感器安裝配置本任務(wù)設(shè)置為“dcids”181.4 任務(wù)思考與練習(xí)IDS硬件設(shè)備配置中涉及兩類密鑰,一個(gè)是管理員密鑰,一個(gè)是管理通道密鑰,任務(wù)中注意不要修改管理員密鑰,否則會因丟失密鑰導(dǎo)致設(shè)備返廠維修。而管理通道密鑰的設(shè)置則必須與其未來軟件服務(wù)平臺的相應(yīng)密鑰對應(yīng)方可正常使用此傳感器。因此須記清楚管理通道密鑰以備后續(xù)配置使用。傳感器管理端口在后續(xù)硬件版本中可能不僅只有兩個(gè)端口??筛鶕?jù)實(shí)際情況任選一個(gè)端口作為管理端口,其余端口均可同時(shí)作為監(jiān)控端口連接到網(wǎng)絡(luò)中。任務(wù)1 IDS傳感器安裝配置192.1 任務(wù)目的1掌握DC NIDS系統(tǒng)軟件的安裝流程。2.2 任務(wù)設(shè)備

8、及要求1. 安裝IDS分布式管理系統(tǒng)軟件并進(jìn)行合理配置;2. 啟動(dòng)各軟件服務(wù)任務(wù)2 IDS軟件支持系統(tǒng)安裝配置202.3 任務(wù)步驟2.3.1安裝數(shù)據(jù)庫 選擇“安裝SQL Server 2000組件”。 選擇“安裝數(shù)據(jù)庫服務(wù)器”。任務(wù)2 IDS軟件支持系統(tǒng)安裝配置21任務(wù)2 IDS軟件支持系統(tǒng)安裝配置22任務(wù)2 IDS軟件支持系統(tǒng)安裝配置(11)(12)本任務(wù)設(shè)置SA密碼為123456(13)(14)(15)232.3.2 安裝LogServer 雙擊光盤中的LogServer安裝文件,即開始LogServer的安裝過程。 讀取壓縮包內(nèi)容后,系統(tǒng)提示開始進(jìn)行數(shù)據(jù)服務(wù)器的安裝。選擇必要的參數(shù),如文

9、件存放位置,輸入必要的信息,如用戶名和單位即可完成安裝過程。安裝文件復(fù)制完成,系統(tǒng)進(jìn)入數(shù)據(jù)服務(wù)初始化配置對話框。任務(wù)2 IDS軟件支持系統(tǒng)安裝配置24任務(wù)2 IDS軟件支持系統(tǒng)安裝配置服務(wù)器地址:0服務(wù)器端口:1433數(shù)據(jù)庫名稱:IDS_LogServer訪問帳號名:sa訪問密鑰串:123456D:IDSdataD:IDSLOG252.3.3安裝事件收集器(EC)單擊安裝光盤中的EC安裝文件,系統(tǒng)開始解壓縮包。任務(wù)2 IDS軟件支持系統(tǒng)安裝配置26輸入一系列必要信息,進(jìn)入文件復(fù)制過程,出現(xiàn)安裝完成提示框后,單擊完成,即完成了EC的安裝。完成后,系統(tǒng)提示必須進(jìn)行許可密鑰的安裝,否則系統(tǒng)無法運(yùn)行。

10、任務(wù)2 IDS軟件支持系統(tǒng)安裝配置272.3.4安裝許可密鑰運(yùn)行“開始程序入侵檢測系統(tǒng)入侵檢測系統(tǒng)(網(wǎng)絡(luò))安裝許可證”安裝程序。單擊瀏覽,選擇系統(tǒng)的License文件。任務(wù)2 IDS軟件支持系統(tǒng)安裝配置282.4 任務(wù)思考與練習(xí)本任務(wù)的安裝過程已經(jīng)簡化為一體化安裝,需要注意的是在實(shí)際工作中,幾個(gè)軟件并非必須安裝到同一臺設(shè)備上,可以根據(jù)情況作分布式的部署,未來的控制臺也可以安裝到網(wǎng)絡(luò)中的任何地點(diǎn),需要登陸控制臺界面時(shí),通過網(wǎng)絡(luò)與各個(gè)相應(yīng)的服務(wù)器組件建立連接。任務(wù)2 IDS軟件支持系統(tǒng)安裝配置293.1 任務(wù)目的 學(xué)會使用IDS主控制臺進(jìn)行基本操作。3.2 任務(wù)設(shè)備及要求安裝IDS控制臺并登陸;增

11、加新用戶并配置加載策略;配置交換機(jī)以配合數(shù)據(jù)包的監(jiān)測。任務(wù)3 IDS監(jiān)控與管理環(huán)境搭建303.3 任務(wù)步驟3.3.1 安裝控制臺控制臺安裝過程相對比較簡單,輸入必要的信息(如安裝路徑等),單擊下一步即可完成安裝。任務(wù)3 IDS監(jiān)控與管理環(huán)境搭建313.3.2 管理賬號登陸增加新用戶啟動(dòng)DCNIDS管理控制臺,登錄管理控制臺。任務(wù)3 IDS監(jiān)控與管理環(huán)境搭建注意大小寫用戶名:Admin密碼:Admin32系統(tǒng)默認(rèn)的管理用戶只具備有限的權(quán)利。單擊“添加用戶”,可添加一個(gè)新用戶并配置其屬性及權(quán)限。選擇已存在的用戶可以查看用戶屬性和權(quán)限。任務(wù)3 IDS監(jiān)控與管理環(huán)境搭建333.3.3 新用戶重新登陸添

12、加組件使用新創(chuàng)建的用戶duwc重新登錄控制臺進(jìn)行后續(xù)操作。添加“傳感器”。任務(wù)3 IDS監(jiān)控與管理環(huán)境搭建34添加“LogServer”組件。任務(wù)3 IDS監(jiān)控與管理環(huán)境搭建353.3.4 連接硬件線纜任務(wù)3 IDS監(jiān)控與管理環(huán)境搭建集中管理及控制臺PC2控制口檢測口PC1363.3.5 配置交換機(jī)相應(yīng)端口作鏡像目的進(jìn)入交換機(jī)的控制臺,作如下配置:dcs(config)#monitor session 1 source interface ethernet 0/0/1;2dcs(config)#monitor session 1 destination interface ethernet 0

13、/0/24任務(wù)3 IDS監(jiān)控與管理環(huán)境搭建373.4 任務(wù)思考與練習(xí)傳感器共兩個(gè)網(wǎng)絡(luò)接口,配置有IP地址的網(wǎng)絡(luò)接口主要工作是進(jìn)行管理數(shù)據(jù)的傳輸,它是否也對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測?熟練進(jìn)行傳感器的部署,熟悉控制臺默認(rèn)登錄用戶和口令,理解控制臺用戶權(quán)限的設(shè)置和管理。任務(wù)3 IDS監(jiān)控與管理環(huán)境搭建單元2 查詢工具的安裝與使用任務(wù)1 IDS查詢工具及報(bào)表工具的安裝任務(wù)2 使用報(bào)表工具察看模擬攻擊38391.1 任務(wù)目的 了解并掌握查詢工具和報(bào)表生成工具的安裝使用方法; 1.2 任務(wù)設(shè)備及要求啟動(dòng)數(shù)據(jù)庫和IDS的必要服務(wù)器,打開控制臺界面和事件查詢工具和報(bào)表生成器。任務(wù)1 IDS查詢工具及報(bào)表工具的安裝40

14、1.3 任務(wù)步驟1.3.1 IDS系統(tǒng)啟動(dòng)啟動(dòng)數(shù)據(jù)庫和IDS的必要服務(wù)器。任務(wù)1 IDS查詢工具及報(bào)表工具的安裝411.3.2 登錄控制臺任務(wù)1 IDS查詢工具及報(bào)表工具的安裝421.3.3啟動(dòng)報(bào)表生成器安裝報(bào)表及查詢工具。任務(wù)1 IDS查詢工具及報(bào)表工具的安裝43啟動(dòng)報(bào)表生成器。任務(wù)1 IDS查詢工具及報(bào)表工具的安裝441.4 任務(wù)思考與練習(xí) 報(bào)表工具的主要作用在哪里?登陸報(bào)表生成器的用戶是在哪里創(chuàng)建的,其是否可與IDS系統(tǒng)管理用戶合二為一?任務(wù)1 IDS查詢工具及報(bào)表工具的安裝452.1 任務(wù)目的通過綜合環(huán)境攻擊事件,引發(fā)IDS數(shù)據(jù)處理和報(bào)警的過程,通過查詢工具和報(bào)表工具進(jìn)行全方位察看。2

15、.2 任務(wù)設(shè)備及要求在3中啟動(dòng)UDP flooding攻擊器,對外網(wǎng)和內(nèi)網(wǎng)的主機(jī)進(jìn)行攻擊,在安全事件察看和報(bào)表生成器中分別進(jìn)行查看。觀察安全事件查詢工具中的顯示,使用報(bào)表生成器進(jìn)行報(bào)表生成。任務(wù)2 使用報(bào)表工具察看模擬攻擊462.3 任務(wù)步驟2.3.1啟動(dòng)攻擊過程在3中啟動(dòng)UDP flooding攻擊器,對外網(wǎng)和內(nèi)網(wǎng)的主機(jī)進(jìn)行攻擊,同時(shí)在外網(wǎng)主機(jī)1中也開啟類似的攻擊。任務(wù)2 使用報(bào)表工具察看模擬攻擊47根據(jù)源IP地址查看任務(wù)2 使用報(bào)表工具察看模擬攻擊從外網(wǎng)1啟動(dòng)的對0的攻擊行為 48任務(wù)2 使用報(bào)表工具察看模擬攻擊安全事件統(tǒng)計(jì)圖49任務(wù)2 使用報(bào)表工具察看模擬攻擊IDS系統(tǒng)同時(shí)提供根據(jù)攻擊的

16、目標(biāo)IP地址、事件、傳感器進(jìn)行分類統(tǒng)計(jì)安全事件列表的功能。根據(jù)傳感器查看 根據(jù)事件查看 根據(jù)目標(biāo)IP地址查看 50事件詳細(xì)說明在安全事件查看器中,我們可以通過雙擊每個(gè)事件列表?xiàng)l目,打開詳細(xì)的事件說明任務(wù)2 使用報(bào)表工具察看模擬攻擊中風(fēng)險(xiǎn)smb事件一般信息描述 中風(fēng)險(xiǎn)smb事件詳細(xì)信息描述 512.3.3使用報(bào)表生成器察看攻擊事件通過與數(shù)據(jù)庫的通訊,可獲得安全事件的報(bào)表形式顯示,根據(jù)入侵的數(shù)據(jù),我們可以看到如下的報(bào)表類。任務(wù)2 使用報(bào)表工具察看模擬攻擊星期N告警類別統(tǒng)計(jì) 周告警類別統(tǒng)計(jì) 月告警類別統(tǒng)計(jì) 季度告警類別統(tǒng)計(jì) 52系統(tǒng)同時(shí)也提供了風(fēng)險(xiǎn)狀況統(tǒng)計(jì)、數(shù)據(jù)統(tǒng)計(jì)、交叉統(tǒng)計(jì)報(bào)表等安全事件報(bào)表。任務(wù)

17、2 使用報(bào)表工具察看模擬攻擊53按照前面的步驟將當(dāng)前的統(tǒng)計(jì)數(shù)據(jù)調(diào)出,單擊”工具欄”上的 “導(dǎo)出報(bào)表” 按鈕,彈出“Export Report”對話框,選擇導(dǎo)出文件格式。此處選擇.rtf格式,然后使用word將其打開。任務(wù)2 使用報(bào)表工具察看模擬攻擊542.3.4使用安全事件查詢工具察看單擊“IDS管理控制臺”的“工具欄”中的“查詢”按鈕,打開登錄界面,輸入正確的信息,登錄進(jìn)入安全事件查詢工具界面。任務(wù)2 使用報(bào)表工具察看模擬攻擊55任務(wù)2 使用報(bào)表工具察看模擬攻擊添加數(shù)據(jù)庫選中“日志服務(wù)器”,單擊“添加”按鈕,或右擊”日志服務(wù)器”,選擇”添加數(shù)據(jù)庫”,打開“添加日志服務(wù)器”窗口,輸入當(dāng)前日志服

18、務(wù)器的IP地址(確保服務(wù)正在運(yùn)行),單擊“確定”按鈕添加一臺日志服務(wù)器。56任務(wù)2 使用報(bào)表工具察看模擬攻擊新建查詢在新增的日志服務(wù)器0下新建一個(gè)查詢,在彈出的“設(shè)置查詢條件”對話框中設(shè)置查詢的條件。57任務(wù)2 使用報(bào)表工具察看模擬攻擊查看2006-9-22日來自3的入侵事件。單擊任何一個(gè)條目,可在下方列出此攻擊的詳細(xì)信息。利用“導(dǎo)出文本”或“導(dǎo)出Excel”按鈕可以將查詢結(jié)果以不同文件格式導(dǎo)出。582.4 任務(wù)思考與練習(xí)怎樣察看IDS系統(tǒng)策略對某攻擊行為的具體定義?組合各種事件查詢條件對系統(tǒng)安全事件進(jìn)行查詢,并進(jìn)行導(dǎo)出和保存操作。任務(wù)2 使用報(bào)表工具察看模擬攻擊單元3 安全響應(yīng)策略的配置及聯(lián)

19、動(dòng)任務(wù)1 IDS聯(lián)動(dòng)插件安裝與使用任務(wù)2 在網(wǎng)絡(luò)內(nèi)部模擬攻擊行為,觀察并分析IDS系統(tǒng)和防火墻的響應(yīng)59601.1 任務(wù)目的 1理解IDS系統(tǒng)與防火墻聯(lián)動(dòng)的優(yōu)越性;2學(xué)會配置IDS系統(tǒng)與神州數(shù)碼防火墻進(jìn)行聯(lián)動(dòng)。 1.2 任務(wù)設(shè)備及要求1在安裝EC的主機(jī)上安裝IDS與DCFW-1800防火墻聯(lián)動(dòng)插件。2配置IDS系統(tǒng)與防火墻的聯(lián)動(dòng)任務(wù)1 IDS聯(lián)動(dòng)插件安裝與使用61聯(lián)動(dòng)原理防火墻:只能基于策略被動(dòng)防御攻擊,無法自動(dòng)調(diào)整策略設(shè)置以阻斷攻擊。IDS:只能及時(shí)主動(dòng)發(fā)現(xiàn)攻擊信號,缺乏有效的響應(yīng)處理機(jī)制。安全防護(hù)體系:防火墻+IDS任務(wù)1 IDS聯(lián)動(dòng)插件安裝與使用621.3 任務(wù)步驟1.3.1正確部署ID

20、S軟硬件后,安裝聯(lián)動(dòng)插件在安裝EC的主機(jī)上安裝IDS與DCFW-1800防火墻聯(lián)動(dòng)插件。輸入必要的信息,單擊下一步即可完成安裝。任務(wù)1 IDS聯(lián)動(dòng)插件安裝與使用631.3.2配置IDS軟件系統(tǒng)Response.cfg文件用記事本程序打開操作系統(tǒng)的系統(tǒng)目錄下的Response.cfg文件。修改文件中的IP地址為防火墻的IP地址;修改文件中IP地址后面的端口號為防火墻安全管理界面使用的端口號;修改文件中URL列表后面的資源文件夾為:cgi-bin。(注:如果防火墻的版本為3.X,則此處應(yīng)修改為:dcfw。)任務(wù)1 IDS聯(lián)動(dòng)插件安裝與使用641.3.3配置神州數(shù)碼DCNIDS服務(wù)管理器配置事件收集

21、服務(wù);任務(wù)1 IDS聯(lián)動(dòng)插件安裝與使用確認(rèn)處于選中狀態(tài)配置安全事件響應(yīng)服務(wù);確保處于選中狀態(tài)651.3.4配置神州數(shù)碼防火墻系統(tǒng)將DCNIDS互動(dòng)插件所在的主機(jī)地址設(shè)置為防火墻的管理IP地址。在瀏覽器的地址欄中輸入防火墻的URL,管理員登錄后,在主菜單的系統(tǒng)配置中選擇端口設(shè)置,進(jìn)入防火墻管理用戶配置界面。確保EC主機(jī)也是防火墻的管理主機(jī)。任務(wù)1 IDS聯(lián)動(dòng)插件安裝與使用661.3.5使用命令測試配置正確與否打開IDS互動(dòng)插件主機(jī)(EC主機(jī))的命令行,在命令行下輸入如下命令:C:response sip=*.*.*.* sport=* dip=*.*.*.* dport=* time=*任務(wù)1

22、IDS聯(lián)動(dòng)插件安裝與使用 防火墻聯(lián)動(dòng)策略添加 測試聯(lián)動(dòng)配置 671.3.6配置應(yīng)用到傳感器中的策略,并重新應(yīng)用。在控制臺選擇策略,并選中當(dāng)前應(yīng)用到傳感器中的策略,單擊編輯鎖定進(jìn)行修改;選擇需要配置的攻擊名;在右側(cè)配置窗口配置響應(yīng),選中向神州數(shù)碼DCFW-1800防火墻發(fā)送響應(yīng);在響應(yīng)方式右側(cè),配置響應(yīng)后的發(fā)送參數(shù),包括源IP地址、源端口、目的IP地址、目的端口和過期時(shí)間。任務(wù)1 IDS聯(lián)動(dòng)插件安裝與使用681.4 任務(wù)思考與練習(xí)IDS聯(lián)動(dòng)插件的安裝是否受到軟件版本的影響?有哪些類型的防火墻系統(tǒng)可以與本IDS系統(tǒng)進(jìn)行聯(lián)動(dòng)?任務(wù)1 IDS聯(lián)動(dòng)插件安裝與使用692.1 任務(wù)目的在網(wǎng)絡(luò)內(nèi)部模擬攻擊行為

23、,觀察并分析IDS系統(tǒng)和防火墻的響應(yīng)。2.2 任務(wù)設(shè)備及要求啟動(dòng)模擬環(huán)境中的攻擊行為,觀察防火墻是否有動(dòng)態(tài)阻止行為發(fā)生。任務(wù)2 在網(wǎng)絡(luò)內(nèi)部模擬攻擊行為,觀察并分析IDS系統(tǒng)和防火墻的響應(yīng)702.3 任務(wù)步驟2.3.1 在內(nèi)網(wǎng)一側(cè)啟動(dòng)攻擊,察看聯(lián)動(dòng)結(jié)果在網(wǎng)絡(luò)內(nèi)部主機(jī)3中啟動(dòng)udpflood的攻擊。在IDS控制臺發(fā)現(xiàn)此入侵行為,出現(xiàn)相應(yīng)報(bào)告的同時(shí),在防火墻的管理界面發(fā)現(xiàn)添加了阻止攻擊行為的策略條目。任務(wù)2 在網(wǎng)絡(luò)內(nèi)部模擬攻擊行為,觀察并分析IDS系統(tǒng)和防火墻的響應(yīng)712.3.2在外網(wǎng)側(cè)發(fā)動(dòng)攻擊,察看聯(lián)動(dòng)效果從外網(wǎng)主機(jī)1啟動(dòng)udpflood攻擊時(shí),控制臺發(fā)現(xiàn)此入侵之后在防火墻中發(fā)現(xiàn)自動(dòng)增加了阻止外網(wǎng)

24、主機(jī)的策略條目。任務(wù)2 在網(wǎng)絡(luò)內(nèi)部模擬攻擊行為,觀察并分析IDS系統(tǒng)和防火墻的響應(yīng)722.4 任務(wù)思考與練習(xí)為什么IDS系統(tǒng)互動(dòng)插件必須要安裝在EC主機(jī)上,IDS互動(dòng)的過程應(yīng)該是怎樣的?改變UDPflooding的入侵端口號為除7,19之外的任意端口,觀察入侵檢測系統(tǒng)以及其與防火墻的聯(lián)動(dòng)狀態(tài),解釋其原因。任務(wù)2 在網(wǎng)絡(luò)內(nèi)部模擬攻擊行為,觀察并分析IDS系統(tǒng)和防火墻的響應(yīng)單元4 常見攻擊模擬任務(wù)1 安全攻擊特洛伊木馬任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer任務(wù)3 安全攻擊任務(wù)掃描器+口令探測任務(wù)4 安全攻擊任務(wù)拒絕服務(wù)攻擊73741.1 任務(wù)目的 認(rèn)識特洛伊木馬的攻擊原理并進(jìn)行防范。1.2 任

25、務(wù)設(shè)備及要求1netbull 軟件2控制主機(jī)一臺3被控制主機(jī)一臺4交換機(jī)一臺任務(wù)1 安全攻擊特洛伊木馬木馬攻擊模擬受攻擊主機(jī)木馬監(jiān)控端751.3 任務(wù)步驟1.3.1 使用netbull軟件生成服務(wù)器端木馬程序netbull.zip解包后會產(chǎn)生以下幾個(gè)文件:buildserver.exe (用于把a(bǔ)utobind.dat,peepshell.dll,peepserver.exe,keycap.dll捆綁成一個(gè)單獨(dú)的可執(zhí)行文件newserver.exe)peepshell.dll (自動(dòng)運(yùn)行二個(gè)可執(zhí)行文件的外殼)autobind.dat (用于在服務(wù)器端自動(dòng)執(zhí)行一系列動(dòng)作的外殼)keycap.dl

26、l (按鍵捕捉DLL)peepserver.exe (在服務(wù)器端真正執(zhí)行的EXE文件)peep.exe (客戶端EXE文件)任務(wù)1 安全攻擊特洛伊木馬76任務(wù)1 安全攻擊特洛伊木馬運(yùn)行peep.exe77任務(wù)1 安全攻擊特洛伊木馬配置服務(wù)器78任務(wù)1 安全攻擊特洛伊木馬運(yùn)行buildserver.exe在當(dāng)前目錄下自動(dòng)生成一個(gè)newserver.exe文件,然后E-mail給被攻擊者。791.3.2 啟動(dòng)木馬程序服務(wù)器端,從監(jiān)控端對感染木馬的主機(jī)進(jìn)行監(jiān)視服務(wù)器端運(yùn)行newserver.exe文件即開始接受木馬監(jiān)控指令。newserver.exe運(yùn)行后會自動(dòng)脫殼成checkdll.exe,并設(shè)置

27、成開機(jī)自動(dòng)運(yùn)行。Netbull通過TCP的23444端口對遠(yuǎn)端程序進(jìn)行控制。任務(wù)1 安全攻擊特洛伊木馬801.3.3 在控制臺控制被攻擊主機(jī)增加一臺受控主機(jī),并設(shè)置受控主機(jī)IP地址。單擊連接快捷鍵,監(jiān)控端開始與受控端連接,此時(shí)便可對遠(yuǎn)端受控主機(jī)進(jìn)行操控了。任務(wù)1 安全攻擊特洛伊木馬81控制臺操作系統(tǒng)信息顯示任務(wù)1 安全攻擊特洛伊木馬受控主機(jī)端彈出的對話框控制臺操作消息控制臺操作進(jìn)程管理進(jìn)程號控制臺操作查找控制臺操作服務(wù)器在線修改82文件管理任務(wù)1 安全攻擊特洛伊木馬83控制屏幕任務(wù)1 安全攻擊特洛伊木馬841.3.4 在遠(yuǎn)端主機(jī)手動(dòng)殺掉此木馬的駐留程序在任務(wù)管理器終止當(dāng)前的checkdll.e

28、xe進(jìn)程;刪除系統(tǒng)system32目錄下的checkdll.exe文件;在注冊表中將checkdll.exe從啟動(dòng)目錄中刪除;恢復(fù)被公牛捆綁的文件: notepad.exe、regedit.exe、reged32.exe、drwtsn32.exe、winmine.exe重新啟動(dòng)計(jì)算機(jī)任務(wù)1 安全攻擊特洛伊木馬851.4 任務(wù)思考與練習(xí)通過如上的手動(dòng)查殺NETBULL的操作,是否一定可以將公牛完全查殺干凈!如果沒有成功還應(yīng)該進(jìn)一步查殺哪些可能被捆綁的應(yīng)用程序?如何利用IDS防御NETBULL攻擊。任務(wù)1 安全攻擊特洛伊木馬862.1 任務(wù)目的1了解sniffer的功能;2了解sniffer監(jiān)聽網(wǎng)

29、絡(luò)數(shù)據(jù)的過程和實(shí)現(xiàn)原理;3掌握sniffer進(jìn)行網(wǎng)絡(luò)監(jiān)聽特定數(shù)據(jù)的操作。2.2 任務(wù)設(shè)備及要求設(shè)備:1sniffer 軟件2交換機(jī)(支持流量鏡象接口)3監(jiān)聽主機(jī)4被監(jiān)聽主機(jī)(需進(jìn)行網(wǎng)絡(luò)操作,例如上網(wǎng))任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer87要求:1使用sniffer捕獲局域網(wǎng)特定數(shù)據(jù)幀2使用sniffer分析可能存在的攻擊數(shù)據(jù)3使用sniffer分析捕獲的敏感數(shù)據(jù),獲取信息4使用sniffer制造特定的數(shù)據(jù)對網(wǎng)絡(luò)進(jìn)行干擾任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer882.3 任務(wù)步驟2.3.1 按照拓?fù)鋱D搭建網(wǎng)絡(luò)環(huán)境,配置交換機(jī)的網(wǎng)絡(luò)監(jiān)聽接口和主機(jī)的網(wǎng)絡(luò)地址任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sn

30、iffersniffer使用環(huán)境Sniffer主機(jī)上網(wǎng)客戶端鏡像目的鏡像源892.3.2在主機(jī)中安裝sniffer,啟動(dòng),配置安裝過程中輸入必要的信息,單擊下一步即可完成安裝。任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer90任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer2.3.2在主機(jī)中安裝sniffer,啟動(dòng),配置啟動(dòng)sniffer,選擇主機(jī)的網(wǎng)卡,單擊“確定”按鈕,進(jìn)入軟件主界面。 912.3.3使用sniffer捕獲局域網(wǎng)特定數(shù)據(jù)幀定制過濾器任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer92選定過濾器任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer93捕捉過程單擊“Start”按鈕,系統(tǒng)自動(dòng)開啟“exp

31、ert”信息框。任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer94停止并察看當(dāng)“Stop and Display”按鈕變?yōu)榭刹僮鲿r(shí),單擊并觀察界面變化。任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer952.3.4使用sniffer監(jiān)聽從外網(wǎng)發(fā)來的洪泛攻擊數(shù)據(jù)定制過濾器建立名為udpflooding的過濾器,用于過濾udpflooding的數(shù)據(jù)報(bào)。在Advanced標(biāo)簽中選擇IP-UDP,選中協(xié)議。選擇定制的過濾器。任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer96選定過濾器查看新制定的過濾器,選定后單擊“確定”按鈕。任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer97開啟sniffer監(jiān)聽啟動(dòng)外網(wǎng)主機(jī)對內(nèi)網(wǎng)主機(jī)

32、的洪泛攻擊啟動(dòng)PC2中的udp洪泛攻擊任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer98查看并分析sniffer的監(jiān)聽結(jié)果任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer992.3.5 使用sniffer監(jiān)聽內(nèi)網(wǎng)主機(jī)發(fā)往外網(wǎng)的重要數(shù)據(jù)定制過濾器源主機(jī)地址為可以上網(wǎng)的主機(jī)地址,調(diào)整任務(wù)拓?fù)涞腎P地址設(shè)置。選擇此過濾器進(jìn)行過濾。任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer100開啟sniffer的監(jiān)聽功能啟動(dòng)內(nèi)網(wǎng)主機(jī)登錄外網(wǎng)主機(jī)網(wǎng)站的過程登錄sina網(wǎng)站,并登錄VIP信箱,進(jìn)入郵箱界面。此時(shí)關(guān)閉sniffer的抓包過程,進(jìn)行查看。查看并分析sniffer的監(jiān)聽結(jié)果停止后選擇display-find frame

33、。任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer101任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer定制查找條件。獲取winnyxieml的sina郵箱登錄密碼。1022.3.6使用sniffer制造特定的數(shù)據(jù)對網(wǎng)絡(luò)進(jìn)行干擾使用數(shù)據(jù)包生成器,生成數(shù)據(jù)包并按照特定的發(fā)送頻率等參數(shù)向網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)。任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer103任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer1042.4 任務(wù)思考與練習(xí)如果希望定制的數(shù)據(jù)包類型為正確的局域網(wǎng)類型,數(shù)據(jù)的哪些字段需要進(jìn)行怎樣的調(diào)整?使用sniffer捕獲特定的ping數(shù)據(jù)包,使用sniffer防造特定的arp查詢報(bào)文,利用被查詢對象的回復(fù)使特定主

34、機(jī)添加arp緩存條目。任務(wù)2 安全攻擊任務(wù)網(wǎng)絡(luò)監(jiān)聽sniffer1053.1 任務(wù)目的 1了解掃描器和口令探測攻擊過程;2了解常用掃描器的使用方式和功能;3掌握使用掃描器掃描網(wǎng)絡(luò)安全薄弱點(diǎn)和口令探測的方法。3.2 任務(wù)設(shè)備及要求設(shè)備:1X-Scan及SSS軟件2具備IIS服務(wù)的目標(biāo)服務(wù)器3客戶端主機(jī)一臺4交換機(jī)一臺任務(wù)3 安全攻擊任務(wù)掃描器+口令探測掃描拓?fù)渚邆銲IS服務(wù)的服務(wù)器客戶端主機(jī)106要求:1在客戶端主機(jī)中安裝掃描器和口令探測工具2客戶端主機(jī)中啟動(dòng)掃描器掃描服務(wù)器中的端口弱口令用戶列表3分析探測器探測結(jié)果4改進(jìn)系統(tǒng)的網(wǎng)絡(luò)安全性任務(wù)3 安全攻擊任務(wù)掃描器+口令探測1073.3 任務(wù)步驟

35、3.3.1在客戶端主機(jī)中安裝掃描器和口令探測工具運(yùn)行文件x-scan_gui.exe啟動(dòng)x-scan的圖形化界面。任務(wù)3 安全攻擊任務(wù)掃描器+口令探測1083.3.2安裝SSS啟動(dòng)安裝文件、完成安裝過程。注冊后,運(yùn)行SSS進(jìn)入其主界面。任務(wù)3 安全攻擊任務(wù)掃描器+口令探測1093.3.3 在客戶端主機(jī)中配置掃描器參數(shù)配置x-scan對服務(wù)器主機(jī)進(jìn)行端口掃描的參數(shù)。任務(wù)3 安全攻擊任務(wù)掃描器+口令探測1103.3.4在客戶端主機(jī)中使用掃描器,分析掃描結(jié)果任務(wù)3 安全攻擊任務(wù)掃描器+口令探測此主機(jī)目前開啟了FTP,SMTP,NNTP和 HTTP服務(wù) 不必要的端口 13、17、19處于開放狀態(tài)1113.3.4在客戶端主機(jī)中使用掃描器,分析掃描結(jié)果如下圖是利用掃描器探測出的此主機(jī)的FTP用戶名口令和密碼以及系統(tǒng)用戶甚至是管理員的口令(空)。任務(wù)3 安全攻擊任務(wù)掃描器+口令探測112任務(wù)3 安全攻擊任務(wù)掃描器+口令探測此主機(jī)已開啟了http服務(wù),且所有的http服務(wù)文件全部使用默認(rèn)的配置。113任務(wù)3 安全攻擊任務(wù)掃描器+口令探測SSS掃描器對同一臺機(jī)器的掃描屬性配置和結(jié)果 。1143.3.5 改進(jìn)系統(tǒng)的網(wǎng)絡(luò)安

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論