20199325 2019-2020-2 《网络攻防实践》第6周作业
动手实践一:
使用Snort对给定pcap文件(第四章中的)进行入侵检测,并对检测出的攻击进行说明。在BT4Linux攻击机或Windows Attacker攻击机上使用Snort,对给定的pcap文件进行入侵检测,获得报警日志。
Snort运行命令提示如下:
- 从离线的pcap文件读取网络日志数据源
- 在Snort.conf中配置明文输出报警日志文件
- 指定报警日志log目录(或缺省log目录=/var/log/snort)
实践作业二:
分析虚拟网络攻防环境中蜜网网关的防火墙和IDS/IPS配置规则,并撰写分析报告,说明蜜网网关是如何利用防火墙和入侵检测技术完成其攻击数据捕获和控制需求的。
具体分析配置规则与启动项文件包括:
- 防火墙(netfilter+IPTables):/etc/init.d/rc.firewall
- 入侵检测系统(Snort):/etc/init.d/hflow-snort与/etc/snort/snort.conf;
- 入侵防御系统(Snort_inline):/etc/init.d/hflow-snort_inline与/etc/snort_inline/snort_inline.conf
分析内容如下。
- 上述脚本是如何实现蜜网网关的数据捕获和数据控制机制?
- 获取IPTables的实际规则列表、Snort和Snort_inline的实际执行参数
- 蜜网网关开关机之后,防火墙、NIDS、NIPS是如何启动的?
- Bonus:蜜网网关中的Snort规则是如何自动升级的?