【導(dǎo)讀】師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。盡我所知，除文中特別加。而使用過的材料。均已在文中作了明確的說明并表示了謝意。除了文中特別加以標(biāo)注引用的內(nèi)容外，本論文。不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫的成果作品。究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式標(biāo)明。全意識(shí)到本聲明的法律后果由本人承擔(dān)。同意學(xué)校保留并向國家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。本人授權(quán)大學(xué)可以將本學(xué)位。印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。涉密論文按學(xué)校規(guī)定處理。序清單等），文科類論文正文字?jǐn)?shù)不少于萬字。有圖紙應(yīng)符合國家技術(shù)標(biāo)準(zhǔn)規(guī)范。圖表整潔，布局合理，文字注釋必須使用。而且是必須考慮的問題之一了。析，并提出了相應(yīng)的安全防范技術(shù)措施。其它不軌行為的攻擊。防護(hù)措施已迫在眉捷。本人結(jié)合實(shí)際經(jīng)驗(yàn)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)措施進(jìn)行了

　　

【正文】 支持或者 Snort 默認(rèn)的 MySQL 和 ODBC 數(shù)據(jù)庫支持的方式，如圖 42 所示。 圖 42 Snort 安裝選項(xiàng)對(duì)話框 “開始”菜單，選擇“運(yùn)行”命令，輸入 cmd 并按 Enter 鍵，在命令行方式下輸入如下命令： C:\〉 cd D:\Snort\bin D:\Snort\bin〉 snortW （ 1）如果 Snort 安裝成功，系統(tǒng)將顯示兩個(gè)物理網(wǎng)卡正在工作及網(wǎng)卡的詳細(xì)信息。輸入 snortvi2 命令啟用 Snort。其中， v 表示使用 Verbose 模式，把信息包打印在屏幕上； i2 表示監(jiān)聽第二個(gè)網(wǎng)卡。為了進(jìn)一步查看 Snort 的運(yùn)行狀況，可以認(rèn)為制造一些 ICMP 網(wǎng)絡(luò)流量。在局域網(wǎng)段中的另一臺(tái)主機(jī)（ ）上使用的 Ping指令，探測運(yùn)行 Snort 的主機(jī)?；氐竭\(yùn)行 Snort 的主機(jī)（ ），第 16 頁（共 23 頁） 發(fā)現(xiàn) Snort 已經(jīng)記錄了這次探測的數(shù)據(jù)包， Snort 在屏幕上輸出了從 到 的 ICMP 數(shù)據(jù)包頭。 （ 2）打開 D:\Snort\etc\，設(shè)置 Snort 的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)檢測范圍。將 文件中的 var HOME_NEW any 語句中的 Any 改為自己所在的子網(wǎng)地址，即將 Snort 檢測的內(nèi)部網(wǎng)絡(luò)設(shè)置為本機(jī)所在的局域網(wǎng)。如本地 IP 為，則將 Any 改為 HOME_NET 的值改為本地網(wǎng)絡(luò)的標(biāo)識(shí)，即 。 （ 3）配置網(wǎng)段內(nèi)提供網(wǎng)絡(luò)服務(wù)的 IP 地址，只需要把默認(rèn)的 $ HOME_NET 改成對(duì)應(yīng)主機(jī)地址即可： var DNS_SERVERS $ HOME_NET var SMTP_SERVERS $ HOME_NET var HTTP_SERVERS $ HOME_NET var SQL_SERVERS $ HOME_NET var TELNET_SERVERS $ HOME_NET var SNMP_SERVERS $ HOME_NET 如果不需要監(jiān)視某種類型的服務(wù)，可以用 號(hào)將上述語句其注釋掉。 （ 4）修改設(shè)置檢測包含的規(guī)則。在配置文件末尾，定義了與規(guī)則相關(guān)的配置 ，格式如下： Include $ RULE_PATH/ Include $ RULE_PATH/ Include $ RULE_PATH/ 其中，變量 $ RULE_PATH 指明了規(guī)則文件存放的路徑，可以在語句 var RULE_PATH../rules 中將變量 RULE_PATH 改為存放規(guī)則集的目錄，如D:\snort\ 上下載最 新的規(guī)則集，將其解壓存放到規(guī)則默認(rèn)路徑下。 (5) 在 文件中，修改配置文件 和 的路徑： Include D:\Snort\etc\ Include D:\Snort\etc\ 其中， 文件保存的是和規(guī)則的警報(bào)級(jí)別相關(guān)的配置， 文件保存了提供更對(duì)警報(bào)相關(guān)信息的鏈接。 Windows 平臺(tái)下 Snort 的使用 嗅探器模式。檢測 Snort 安裝是否成功時(shí)，用到的就是 Snort 嗅探器模式。輸入命令如下： Snort vi2 使用 Snort 只將 IP 和 TCP/UDP/ICMP 的包頭信息輸出到屏幕上。如果要看到應(yīng)用層的數(shù)據(jù)，可以輸入如下命令： Snort vdi2 第 17 頁（共 23 頁） 如果需要輸出更詳細(xì)的信息，輸入命令： Snort vdei2 可以顯示數(shù)據(jù)鏈路層的信息。 。上面的命令只是在屏幕上輸出，如果要記錄在 LOG 文件上，需要預(yù)先建立一個(gè) Log 目錄。輸入 下面的命令啟用數(shù)據(jù)包記錄器模式： snort dvei21d:\Snort\logh 其中， 1 選項(xiàng)指定了存放日志的文件夾； h 指定目標(biāo)主機(jī)，這里檢測對(duì)象是局域網(wǎng)段內(nèi)的所有主機(jī)，如不指定 h，則默認(rèn)檢測本機(jī)； K 指定了記錄的格式，默認(rèn)是 Tcpdump 格式，此處使用 ASCII 碼。在命令行窗口運(yùn)行了該指令后，將打開保存日志的目錄。 在 Log 目錄下自動(dòng)生成了許多文件夾和文件，文件夾是以數(shù)據(jù)包目主機(jī)的IP 地址命名的（如圖 43 所示），每個(gè)文件夾下記錄的日志就是和 該外部主機(jī)相關(guān)的網(wǎng)絡(luò)流量。打開其中任一個(gè)，使用記事本查看日志文件，會(huì)發(fā)現(xiàn)文件的內(nèi)容和嗅探器模式下的屏幕輸出類似，如圖 44 所示。 圖 43 Snort數(shù)據(jù)包記錄器模式記錄的日志 IDS 模式。 Snort 最重要的用途還是昨晚基于誤用檢測技術(shù)的 NIDS。輸入下面的命令啟動(dòng) IDS 模式 : snorti2dev1 ./logh :/Snort /etc/ 相比數(shù)據(jù)包記錄模式中使用的命令，該命令只增加 了一個(gè)選項(xiàng) c，用于告訴 Snort使用 Snort。 Conf 中規(guī)則集文件。 Snort 會(huì)對(duì)每個(gè)包和規(guī)則集進(jìn)行匹配，如符合規(guī)則就采取規(guī)則所指定的動(dòng)作。 下面將通過對(duì)運(yùn)行了 Snort 的目標(biāo)主機(jī)進(jìn)行有意攻擊，來觀察 Snort 檢測入侵的能力。受限，向目標(biāo)主機(jī)發(fā)送 ICMP 長數(shù)據(jù)包來觀測 Snort 的反應(yīng)。 第 18 頁（共 23 頁） 圖 44 Snort數(shù)據(jù)包記錄器模式下日志內(nèi)容 ICMP 長數(shù)據(jù)包是有潛在危險(xiǎn)的，一般會(huì)被視為入侵；然后，使用網(wǎng)絡(luò)端口掃描工具 Nmap 對(duì)目標(biāo)主機(jī)進(jìn)行掃描，觀察 Snort 的檢測情況。具體操作步驟如下： (1)在安裝好 Snort 的目標(biāo)主機(jī)命令行方式下，輸入上面的命令，使 Snort 工作在 IDS 模式。 (2)在局域網(wǎng)的另一臺(tái)主機(jī)（ ）上向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包，輸入下面的命令： Ping 1 45678 (3)在目標(biāo)主機(jī)中打開 Log 文件夾，此時(shí)可以發(fā)現(xiàn) Log 的根目錄下自動(dòng)生成了一個(gè)名為 Alert 的文件。使用 Notepad 打開該文件并觀察其內(nèi)容，如圖 45 所示。 Snort 警報(bào)中記錄了剛才發(fā)送的 ICMP 長數(shù)據(jù)包，其中每條記錄包括警報(bào)的類型和數(shù)據(jù)包的包頭。發(fā)送的 ICMP 長數(shù) 據(jù)包之所以出現(xiàn)在警報(bào)中，是因?yàn)樗奶卣骱?Snort 預(yù)先定義的規(guī)則相符。 第 19 頁（共 23 頁） 圖 45 Snort 記錄的 ICMP報(bào)警 (4)在 Snort 的安裝目錄下打開 Rules 文件夾，用 Notepad 打開 文件，可以發(fā)現(xiàn)和該攻擊對(duì)應(yīng)的規(guī)則如圖 46 所示，完整的內(nèi)容如下： 圖 46 ICMP數(shù)據(jù)包對(duì)應(yīng)的檢測規(guī)則 alert icmp $ EXTERNA_NET any $ HOME_NET any (msg:ICMP Large ICMP Packet。dsize:800。 reference:arachnids,246。classtype:badunknown。 sid:499。 rev:4。) (5)執(zhí)行端口掃描的檢測。把 Snort。 Conf 文件中相應(yīng)端口配置部分的內(nèi)容修改為如圖 47 所示的值。其中， proto 指定了需要檢測的協(xié)議類型，包括 TCP、UDP、 ICMP 和 IP， all 表示檢測所有的協(xié)議； sense_level 指定檢測的靈敏度，靈敏度高可以增加檢測率，但有可能會(huì)同時(shí)增加誤報(bào)率， Snort 的默認(rèn)選 項(xiàng)是 low；logfile 指定檢測結(jié)果的輸出文件名，該文件將創(chuàng)建在 log 目錄下。 第 20 頁（共 23 頁） 圖 47配置 Snort端口掃描選項(xiàng) (6)在 上運(yùn)行 Nmap，對(duì)目標(biāo)主機(jī)（ ）進(jìn)行 SYN 掃描，在命令行方式下輸入如下命令： nmap sS (7)在目標(biāo)主機(jī)上查看記錄端口掃描檢測結(jié)果的文件 Portscan，如圖 48 所示?？梢钥闯?， Snort 準(zhǔn)確地識(shí)別并分析記錄了端口掃描攻擊相關(guān)的信息，如攻擊者的 IP 地址是 ，掃描的范圍從 21 號(hào)端口到 38037 號(hào)端口，攻擊者掃描到 2 個(gè)開放的端口： 139 和 文件中記錄的并不是單條的網(wǎng)絡(luò)數(shù)據(jù)包記錄，而是 Snort 的端口掃描模塊對(duì)數(shù)據(jù)包和其他特性綜合分析的結(jié)果，如在單位時(shí)間內(nèi)來自同一 IP 的警報(bào)信息或 TCP 數(shù)據(jù)包的統(tǒng)計(jì)特征等。 圖 48 Snort 端口掃描檢測結(jié)果 第 21 頁（共 23 頁） (8)打開 Alarm 文件。如圖 49 所示，發(fā)現(xiàn) Alarm 文件里增加了與端口掃描相關(guān)的警告。 Alarm 文件中記錄的是單個(gè)數(shù)據(jù)包和規(guī)則匹配的結(jié)果。 如圖 49 Snort對(duì)端口掃描攻擊的警報(bào) (9)在 Rules 文件夾中打開檢測端口掃描的規(guī)則集，可以找到與端口掃描警報(bào)相對(duì)應(yīng)的規(guī)則。 alert tcp $ EXTERNAL_NET any $ HOME_NET any (msg:SCAN XMAS。 flow: stateless。 flags ： SRAFPU,12。 reference: arachnids,144。 classtype: attemptedrecon。 sid: 625。rev:7。) 第 22 頁（共 23 頁） 總結(jié) 總之，網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，而不是萬能的。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個(gè)方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。第 23 頁（共 23 頁） 參考文獻(xiàn) [1] 崔寶江．信息安全實(shí)驗(yàn)指導(dǎo)．北京：國防工業(yè)出版社， 2020 [2] 蔡紅柳，何新華，信息安全技術(shù)及應(yīng)用實(shí)驗(yàn)．北京：科學(xué) 出版社， 2020 [3] 荊繼武，信息安全技術(shù)教程 . 北京：中國人民公安大學(xué)出版社， 2020 年 [4]龐南，信息安全管理教程 . 北京：中國人民公安大學(xué)出版社， 2020 年 [5] 楊永川，信息安全 .北京： 中國人民公安大學(xué)出版社， 2020 年 [6] 李冬靜，信息對(duì)抗 . 北京： 中國人民公安大學(xué)出版社， 2020 年 [7]蔣平，電子數(shù)據(jù) . 北京： 中國人民公安大學(xué)出版社， 2020 年 [8]閆強(qiáng)，電子商務(wù)安全管理 .北京：機(jī)械工業(yè)出版社， 2020 年 [9]石淑華，計(jì)算機(jī)網(wǎng)絡(luò)安全 . 北京：人民郵電出版社， 2020 年 [10]邵波，計(jì)算機(jī)安全技術(shù)及應(yīng)用 . 北京：電子工業(yè)出版社， 2020 年 [11]石志國，信息安全概論 .北京：清華大學(xué)出版社， 2020 年 [12]信息對(duì)抗與網(wǎng)絡(luò)安全賀雪晨編著，清華大學(xué)出版社， 2020 年 [13]朱建軍，網(wǎng)絡(luò)安全防范手冊 .北京：人民郵電出版社， 2020 年 [14]閆宏生，計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù) .北京：電子工業(yè)出版社， 2020 年