《Linux操作系统实用教程-第十章ppt课件.pptx》由会员分享,可在线阅读,更多相关《Linux操作系统实用教程-第十章ppt课件.pptx(23页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。2Snort简介简介网络入侵检测系统(NIDS,Network Intrusion Detection System)可以监视网络计算机系统,而snort就是一个功能强大的轻量级的网络入侵检测系统,适用于大中小型网络,尤其适合一些无力承受大型商业入侵检测系统高昂费用的中小型公司使用。snort遵循通用公共许可证GPL,是一款优秀的免费软件,只要遵守GPL的任何组织和个人都可以自由使用。它具有如下的特征:snort是一个轻量级的入侵
2、检测系统,代码极为简洁、短小。功能强大。snort具有实时的流量分析和日志IP网络数据包的能力,能够快速地检测网络攻击,及时发出警报,并且其警报机制非常丰富。10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。可移植性很好。snort具有极好的跨平台性能,目前支持snort的操作系统有Linux、Solaris、BSD、HP-UX和Windows等。能够进行协议分析,对协议数据内容进行搜索和匹配,检测各种不同的攻
3、击方式,对攻击进行实时报警。snort能够分析的协议有TCP、UDP和ICMP等。扩展性好,能够使用插件增加其功能。具有很强的系统防护能力。通过使用FlexResp功能snort能够主动断开恶意连接。10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。3snort的安装的安装通常采用编译安装的方法定制符合需要的snort应用程序。定制一个snort入侵检测系统,至少需要如下软件包的支持。libcap-1.10-1
4、5.tar.gz:snort依赖的抓包库。pcre-7.6.tar.gz:正则式支持库文件。libnet-1.0.2a.tar.gz:libnet库文件。snort-2.8.3.1.tar.gz:入侵检测器。snortrules-snapshot-2.7.tar.gz:入侵检测规则。注意:注意:libnet库必须只用指定版本的源代码。10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。1)安装抓包库libcap从
5、网上下载libcap-1.10-15.tar.gz源程序包,复制到/tmp,然后在终端提示符下执行下列操作:rootmyhost root#cd/tmprootmyhost tmp#tar zxvf libcap-1.10-15.tar.gz 解压解归档源代码包rootmyhost tmp#cd libcap-1.10-15 进入生成的libcap-1.10-15目录rootmyhost libcap-1.10-15#./configure 配置编译的参数,生成Makefile文件rootmyhost libcap-1.10-15#.make 编译源代码rootmyhost libcap-1.
6、10-15#.makeinstall 安装10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。2)安装正则式支持库文件pcre从网上下载pcre-7.6.tar.gz源程序包,复制到/tmp,然后在终端提示符下执行下列操作:rootmyhost libcap-1.10-15#cd/tmprootmyhost tmp#tar zxvf pcre-7.6.tar.gzrootmyhost tmp#cd pcre-7.
7、6rootmyhost pcre-7.6#./configurerootmyhost pcre-7.6#makerootmyhost pcre-7.6#make install10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。3)安装libnet库从网上下载snort-2.8.3.1.tar.gz源程序包,复制到/tmp,然后在终端提示符下执行下列操作:rootmyhost pcre-7.6#cd/tmproo
8、tmyhost tmp#tar zxvf snort-2.8.3.1.tar.gz rootmyhost tmp#cd snort-2.8.3.1rootmyhost libnet-1.0.2a#./configurerootmyhost libnet-1.0.2a#makerootmyhost libnet-1.0.2a#make install10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。4)安装入侵检
9、测器snort从网上下载snort-2.8.3.1.tar.gz源程序包,复制到/tmp,然后在终端提示符下执行下列操作:rootmyhost libnet-1.0.2a#cd/tmprootmyhost tmp#tar zxvf snort-2.8.3.1.tar.gz rootmyhost tmp#cd snort-2.8.3.1rootmyhost snort-2.8.3.1#./configure-prefix=/usr/local/snort-enable-flexresp -with-mysql=/usr/local/mysqlrootmyhost snort-2.8.3.1#ma
10、kerootmyhost snort-2.8.3.1#make install10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。5)安装snort规则库snortrules-snapshot从网上下载snortrules-snapshot-2.7.tar.gz源程序包,复制到/tmp,然后在终端提示符下执行下列操作:rootmyhost snort-2.8.3.1#mkdir/etc/snort 创建存放sno
11、rt配置文件的目录rootmyhost snort-2.8.3.1#mkdir/etc/snort/rules 创建存放snort规则库的目录rootmyhost snort-2.8.3.1#mkdir/var/log/snort 创建存放snort日志的目录rootmyhost snort-2.8.3.1#cp-r./etc/*/etc/snort 将snort相关配置文件复制到指定位置rootmyhost snort-2.8.3.1#cp/tmp/snortrules-snapshot-2.7.tar.gz/etc/snortrootmyhost snort-2.8.3.1#cd/etc/
12、snortrootmyhost snort#tar zxvf snortrules-snapshot-2.7.tar.gz 规则库放置在/etc/snort/rules到此,具有基本功能的snort系统安装完毕。10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。4.配置配置snortsnort安装成功后,需要对其进行相应的配置。进入/etc/snort目录,使用文本编辑器(图形模式下的gedit,文本模式下的v
13、i等)打开snort.conf文件,找到如下图所示的黄色底色的配置行,去掉行首的“#”。10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS配置snort本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。再从snort.conf中找出设置规则库路径的配置行,按照实际位置修改变量RULE_PATH的值,如下图所示的黄色配置行。10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS设置规则库路径修改完毕后,保存退出。本标准适用于已投入商业运行的火力发
14、电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS5.使用使用snortsnort的基本用作数据包嗅探器(packet sniffer)、数据包分析器(packet analyser)和网络入侵检测系统。1)作为数据包嗅探器其作用是从网络中读取数据包,并将其显示在使用者的控制台上。可以利用如下表所示的参数实现嗅探器功能。参 数功 能-v将数据包的TCP/IP包头显示到屏幕上-vd将数据包的IP、TCP、UDP和ICMP包头信息显示到屏幕上-vd
15、e同时显示包头和数据信息-c指定snort使用的配置文件snort实现嗅探功能的参数本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。例10.4 查看网络数据包的包头信息。进入snort的安装路径/usr/local/snort,然后在终端提示符下执行如下的命令:rootmyhost snort#cd binrootmyhost bin#./snort-v执行结构如下图所示。10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS本标准适用于已投入商业运行的火力发电
16、厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS2)数据包分析snort能把截获到的数据包记录到指定的日志文件中,此时需要指定日志文件的存放目录。以下的参数,可以帮助snort完成数据包分析功能。如下表所示。参 数功 能-l log_dir指定snort的日志目录-h ip|host_name指定需要截包的主机的IP地址或主机名-b采用二进制方式记录日志-s将snort日志发送给syslog日志系统snort实现嗅探功能的参数本标准适用于已投入
17、商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。例10.5 将截获的数据包信息记录到指定的日志中。在终端提示符下输入如下的命令,完成snort的日志功能。rootmyhost bin#./snort-ved-l/var/log/snort其日志被记录在指定的日志目录中,其内容如下图所示10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDSsnort抓包日志本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联
18、合循环机组可参照本标准执行,并增补指标。10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS3)网络入侵检测snort最重要的用途还是作为网络入侵检测系统。帮助snort实现网络入侵检测功能的参数如下表所示。参 数功 能-c conf_file指定snort的配置文件-A warn_mech指定snort的警报机制-b采用二进制方式记录日志-s将snort日志发送给syslog日志系统-M WORKSTATIONS使用SMB警报机制snort实现网络入侵检测功能的参数本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组
19、、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。例10.6 在当前系统中启动入侵检测系统。使用如下的命令可以启动snort的入侵检测功能。rootmyhost bin#./snort-ved-l/var/log/snort-c/etc/snort/snort.conf命令执行结果如下图所示。10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDSsnort入侵检测本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。10.5 Linux网络服务安全 10.5.3
20、 入侵入侵检测检测IDSsnort的警报机制有full、fast、socket、none、smb(winpopup)和syslog等6种。其中,前4种警报机制可以使用-A参数设置,其说明如下表。参 数功 能-A fast报警信息包括,时间戳、报警消息、源/目的IP地址和端口-A full默认报警模式-A unsock把报警发送到一个UNIX套接字-A none将snort日志发送给syslog日志系统snort参数-A说明本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。在网络入
21、侵检测模式下,snort可以使用多种方式来配置其输出方式。默认snort以ASCII格式记录日志,并且使用full警报机制。syslog报警机制可以使用-s参数设置,默认的设备LOG_AUTHPRV和LOG_ALERT。smb警报机制通过SAMBA把警报消息发送到Windows主机。为了使用该警报机制,在编译安装过程中,运行“./configure”脚本时,使用“-enable-smbalerts”参数。5.定制定制snort规则规则snort作为网络入侵检测系统,拥有自己的规则语言。从语法上看,该规则语言非常简单,又足够强大。1)snort规则语法snort规则语法如下:rules_acti
22、on protocol src_ip src_port-dst_ip dst_port(rules_option)10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。snort的规则可以从逻辑上分成规则头部和规则选项两个部分。规则头部包括规则动作、协议类型、源/目的地址(对于特定网络地址还包括子网掩码)以及源/目的端口;规则选项包含了报警消息和异常包的特征码信息,使用这些特征码来决定是否采取规则规定的动作。最基本
23、的规则只包含rules_action、protocol、ip_addr(包括src_ip和dst_ip)以及port(包括src_port和dst_port)4个域。例如:log tcp any any-192.168.0.0/24 21使用这条规则,snort可以将任意网络到网络192.168.0.0/24的21端口的数据包记录到日志中。(1)对于匹配特定规则的数据包,snort有如下表所示的3种动作。10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以
24、及联合循环机组可参照本标准执行,并增补指标。10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS(2)方向“-”表示定义规则所适用的通信方向,其左边是源地址,右边是目的地址。方向“”表示在源地址和目的地址之间的通信。动 作说 明pass忽略数据包,即放行数据包log把数据包记录到日志文件alert产生报警消息并日志数据包snort规则动作本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。(3)规则的IP地址和端口部分包括源IP地址/源端口和目的IP地址/目的端口
25、,其中源IP地址和目的IP地址可以表示网络地址和主机地址。当表示网络地址时,应该使用“网络地址/子网掩码”的格式,其中“子网掩码”可以使用点分十进制的方式,如255.255.255.0,也可以使用子网掩码中1的位数表示。为了增加snort规则的灵活性,在IP地址部分可以使用操作符“!”表示非,使用“any”表示任意IP地址或端口,还可以使用操作符“:”限制端口的范围。例如:alert tcp!192.168.0.0/24 any-192.168.0.0/24 1024:65535(msg:”tcp traffice”;)这条规则使得snort将从非192.168.0.0/24网络的任意端口到内
26、部网络192.168.0.0/24的1024至65535端口的数据包发出警报。10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS(4)规则选项组成了snort入侵检测引擎的核心,它被包含着一对小括号中,既易用又强大还灵活。所有的snort规则选项用分号“;”隔开,包括用冒号“:”分开的规则选项关键字和其参数。snort支持如下表所示的选项。选
27、 项说 明content数据包的应用层数据msg记录或报警数据包时打印的消息flagssnort检查的TCP标志depth设置了内容模式匹配函数搜索的最大深度ack检查TCP头的确认部分snort规则选项说明本标准适用于已投入商业运行的火力发电厂纯凝式汽轮发电机组和供热汽轮发电机组的技术经济指标的统计和评价。燃机机组、余热锅炉以及联合循环机组可参照本标准执行,并增补指标。2)添加自制的snort规则了解了snort规则的语法后,可以为实际的应用添加自制的snort规则。具体步骤如下:在snort.conf文件中$RULE_PATH变量指定的路径/etc/snort/rules目录下创建一个自制规则文件,命名new_rule.rules。在new_rule.rules规则文件中,写入新添的规则,如加入以下规则:alert tcp!192.168.0.0/24 any-192.168.0.0/24 80(msg:”Web traffic”;)该规则表示警报从外网的任意端口到内外192.168.0.0/24的所有Web通信。使用gedit文本编辑器打开/etc/snort/snort.conf文件,在文件末端添加如下的语句:include new_rule.rules重启snort,以使新的规则生效。10.5 Linux网络服务安全 10.5.3 入侵入侵检测检测IDS