《網(wǎng)絡(luò)攻防與協(xié)議分析》課件-5.關(guān)于用戶操作行為的入侵檢測(cè)配置_第1頁(yè)
《網(wǎng)絡(luò)攻防與協(xié)議分析》課件-5.關(guān)于用戶操作行為的入侵檢測(cè)配置_第2頁(yè)
《網(wǎng)絡(luò)攻防與協(xié)議分析》課件-5.關(guān)于用戶操作行為的入侵檢測(cè)配置_第3頁(yè)
《網(wǎng)絡(luò)攻防與協(xié)議分析》課件-5.關(guān)于用戶操作行為的入侵檢測(cè)配置_第4頁(yè)
《網(wǎng)絡(luò)攻防與協(xié)議分析》課件-5.關(guān)于用戶操作行為的入侵檢測(cè)配置_第5頁(yè)
已閱讀5頁(yè),還剩14頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

關(guān)于用戶操作行為

的入侵檢測(cè)配置1行為管控簡(jiǎn)介用戶行為管控行為管控常用于對(duì)內(nèi)網(wǎng)戶的上或流量進(jìn)理。入侵檢測(cè)系統(tǒng)支持對(duì)內(nèi)網(wǎng)用戶的HTTP行為、郵件行為(SMTP、POP3、IMAP協(xié)議)、FTP行為、Telnet行為、RLOGIN遠(yuǎn)程登錄行為、MSSQL數(shù)據(jù)庫(kù)行為、VoIP行為(SIP、H225-RAS、H225-931、MGCP、SCCP協(xié)議)和電網(wǎng)3761協(xié)議進(jìn)行檢測(cè)。IDSInternet網(wǎng)絡(luò)交互行為網(wǎng)絡(luò)交互行為入侵檢測(cè)防火墻服務(wù)器個(gè)人PC上網(wǎng)行為監(jiān)控告警HTTP協(xié)議行為POST操作:一般用于向服務(wù)器發(fā)送信息,例如論壇發(fā)帖、表單提交、用戶名/密碼登錄。代理上網(wǎng):使用代理服務(wù)器訪問特定網(wǎng)站。此時(shí)要求防火墻必須部署在代理服務(wù)器與上網(wǎng)用戶之間。阻斷后用戶無(wú)法通過代理服務(wù)器上網(wǎng)。瀏覽網(wǎng)頁(yè):用戶通過瀏覽器打開網(wǎng)頁(yè)。文件上傳:用戶通過HTTP協(xié)議向網(wǎng)站上傳文件。文件下載:用戶通過HTTP協(xié)議從網(wǎng)站下載文件。FTP協(xié)議行為針對(duì)FTP協(xié)議工作過程中的指令進(jìn)行管控,其中一些常見指令如下:命令描述ACCT某些系統(tǒng)將帳號(hào)和用戶與文件系統(tǒng)相關(guān)聯(lián)。ALLO為即將傳送的文件分配空間。APPE將文件附加到已經(jīng)存在的文件后面。CDUP在遠(yuǎn)程系統(tǒng)上將當(dāng)前目錄切換到上級(jí)父目錄。CWD改變遠(yuǎn)程系統(tǒng)的工作目錄。DELE刪除遠(yuǎn)程系統(tǒng)的文件。LIST在一個(gè)新建立的數(shù)據(jù)連接上發(fā)送當(dāng)前工作目錄下的文件名列表。MKD創(chuàng)建目錄。MODE指定傳輸模式。PASS提供一個(gè)用戶登錄密碼。PASV指定服務(wù)器數(shù)據(jù)傳輸過程監(jiān)聽等待客戶端的數(shù)據(jù)連接連接建立請(qǐng)求。PORT指定客戶端監(jiān)聽等待服務(wù)器端建立的連接的端口號(hào)。PWD顯示服務(wù)器端的當(dāng)前工作目錄名。REIN重新初始化,退出登錄但是并不斷開連接。命令描述REST從服務(wù)器的一個(gè)標(biāo)識(shí)處重新開始傳輸。RETR從遠(yuǎn)程系統(tǒng)取回一個(gè)文件。RMD刪除一個(gè)目錄。RNFR指定要被命名的文件的老的路徑名,隨后必須是一個(gè)RNTO命令。RNTO指定要被命名的文件的新的路徑名。STOR上載一個(gè)文件到服務(wù)器上,若文件已經(jīng)存在則覆蓋。STOU上載一個(gè)文件到服務(wù)器上,不覆蓋已經(jīng)存在的文件SYST顯示遠(yuǎn)程主機(jī)的操作系統(tǒng)類型。TYPE設(shè)置或顯示文件傳輸類型。USER指定連接到遠(yuǎn)程計(jì)算機(jī)的用戶。XCUP切換到父目錄。XCWD切換到工作目錄。XMKD建立目錄。XPWD顯示當(dāng)前目錄。XRMD刪除目錄。TELNET協(xié)議行為Telnet協(xié)議的行為,表現(xiàn)為建立連接后輸入的命令行操作,因而對(duì)于Telnet協(xié)議的行為管控主要是對(duì)關(guān)鍵命令進(jìn)行監(jiān)控,命令支持關(guān)鍵字匹配。SMTP協(xié)議行為針對(duì)SMTP協(xié)議工作過程中的指令進(jìn)行管控,其中一些常見指令如下:命令描述DATA開始信息寫作EHLOEHLO即extendHELO,可以支持用戶認(rèn)證。EXPN驗(yàn)證給定的郵箱列表是否存在,擴(kuò)充郵箱列表,也常被禁用。HELO向服務(wù)器標(biāo)識(shí)用戶身份,返回郵件服務(wù)器身份。HELP返回指定命令中的信息。MAILFROM在主機(jī)上初始化一個(gè)郵件會(huì)話。NOOP無(wú)操作,服務(wù)器應(yīng)響應(yīng)OK。QUIT終止郵件會(huì)話。RCPTTO標(biāo)識(shí)郵件接收人的地址。RSET重置會(huì)話,取消當(dāng)前傳輸。SAMLFROM發(fā)送郵件到用戶終端和郵箱。SENDFROM發(fā)送郵件到用戶終端。SOMLFROM發(fā)送郵件到用戶終端或郵箱。TURN接收端和發(fā)送端交換角色。VRFY用于驗(yàn)證指定的用戶/郵箱是否存在;由于安全方面的原因,服務(wù)器常禁止此命令。POP3協(xié)議行為針對(duì)POP3協(xié)議工作過程中的指令進(jìn)行管控,其中一些常見指令如下:命令描述APOP認(rèn)可一種安全傳輸口令的辦法,執(zhí)行成功導(dǎo)致狀態(tài)轉(zhuǎn)換。DELE處理服務(wù)器標(biāo)記刪除,QUIT命令執(zhí)行時(shí)才真正刪除。LIST處理服務(wù)器返回指定郵件的大小等。NOOP無(wú)操作,服務(wù)器應(yīng)響應(yīng)OK。PASS密碼認(rèn)證,認(rèn)證通過則狀態(tài)轉(zhuǎn)換。QUIT希望終止會(huì)話。RETR處理服務(wù)器返回郵件的全部文本。RSET撤銷所有的DELE命令。STAT處理請(qǐng)求服務(wù)器回送郵箱統(tǒng)計(jì)資料,如郵件數(shù)、郵件總字節(jié)數(shù)。TOP處理服務(wù)器返回某個(gè)郵件的某幾行內(nèi)容。UIDL處理服務(wù)器返回用于該指定郵件的唯一標(biāo)示,如果沒有指定返回所有的。USER認(rèn)證用戶名。IMAP協(xié)議行為針對(duì)IMAP協(xié)議工作過程中的指令進(jìn)行管控,其中一些常見指令如下:命令描述CREATE創(chuàng)建指定名字的新郵箱。DELETE刪除指定名字的文件夾。RENAME修改文件夾的名稱。LIST列出郵箱中已有的文件夾,有點(diǎn)像操作系統(tǒng)的列目錄命令。APPEND允許Client上載一個(gè)郵件到指定的Folder(文件夾/郵箱)中。SELECT讓Client選定某個(gè)郵箱(Folder),表示即將對(duì)該郵箱(Folder)內(nèi)的郵件作操作。STORE用于修改指定郵件的屬性,包括給郵件打上已讀標(biāo)記、刪除標(biāo)記,等等。CLOSE表示Client結(jié)束對(duì)當(dāng)前Folder(文件夾/郵箱)的訪問,關(guān)閉郵箱該郵箱中所有標(biāo)志為、DELETED的郵件就被從物理上刪除。EXPUNGE在不關(guān)閉郵箱的情況下刪除所有的標(biāo)志為、DELETED的郵件。EXPUNGE刪除的郵件將不可以恢復(fù)。EXAMINE以只讀方式打開郵箱。SEARCH可以根據(jù)搜索條件在處于活動(dòng)狀態(tài)的郵箱中搜索郵件,然后顯示匹配的郵件編號(hào)。COPY把郵件從一個(gè)郵箱復(fù)制到另一個(gè)郵箱。UIDUID命令和FETCH、COPY、STORE命令或者SEARCH命令一起使用,它允許這些命令使用郵件的UID號(hào)而不是在郵箱中的順序號(hào)。CAPABILITY請(qǐng)求返回IMAP服務(wù)器支持的功能列表,服務(wù)器收到客戶機(jī)發(fā)送的CAPABILITY命令后將返回該服務(wù)器所支持的功能。LOGOUT使當(dāng)前登陸用戶退出登陸并關(guān)閉所有打開的郵箱,任何做了\DELETED標(biāo)志的郵件都將在這個(gè)時(shí)候被刪除。2行為管控實(shí)驗(yàn)操作漏洞檢測(cè)配置實(shí)驗(yàn)關(guān)于本實(shí)驗(yàn)通過配置入侵檢測(cè)策略,實(shí)現(xiàn)用戶上網(wǎng)行為的檢測(cè)。實(shí)驗(yàn)?zāi)康睦斫庑袨楣芸氐脑?,練?xí)入侵檢測(cè)策略的配置。實(shí)驗(yàn)背景Kali主機(jī)和靶機(jī)之間,通過防火墻設(shè)備進(jìn)行網(wǎng)絡(luò)連接,防火墻將連接靶機(jī)的流量,通過端口鏡像引流到入侵檢測(cè)設(shè)備。IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻/24/24漏洞檢測(cè)配置實(shí)驗(yàn)-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置1、防火墻接口IP地址配置#啟動(dòng)“pikachu”

靶場(chǎng),sudo密碼centos[centos@localhost~]#sudodockerstartpikachuIDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻/24/24漏洞檢測(cè)配置實(shí)驗(yàn)-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置2、防火墻配置DHCPIDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻/24/24漏洞檢測(cè)配置實(shí)驗(yàn)-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置3、防火墻ge3接口配置鏡像接口引流IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻/24/24漏洞檢測(cè)配置實(shí)驗(yàn)-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置4、防火墻配置一條全通策略,放通流量IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻/24/24漏洞檢測(cè)配置實(shí)驗(yàn)-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置5、配置入侵檢測(cè)ge2接口為“旁路模式”IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻/24/24漏洞檢測(cè)配置實(shí)驗(yàn)-用戶上網(wǎng)行為檢測(cè)配置漏洞攻擊入侵檢測(cè)配置1、配置用戶上網(wǎng)行為管控策略,并在安全策略中應(yīng)用。IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機(jī)CentOS靶機(jī)入侵檢測(cè)防火墻/24/

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論