【導讀】師的指導下進行的研究工作及取得的成果。盡我所知，除文中特別加。而使用過的材料。均已在文中作了明確的說明并表示了謝意。除了文中特別加以標注引用的內(nèi)容外，本論文。不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫的成果作品。究做出重要貢獻的個人和集體，均已在文中以明確方式標明。全意識到本聲明的法律后果由本人承擔。同意學校保留并向國家有關(guān)部門或機構(gòu)送交論文的復印件和電子版，允許論文被查閱和借閱。本人授權(quán)大學可以將本學位。印或掃描等復制手段保存和匯編本學位論文。涉密論文按學校規(guī)定處理。序清單等），文科類論文正文字數(shù)不少于萬字。有圖紙應符合國家技術(shù)標準規(guī)范。圖表整潔，布局合理，文字注釋必須使用。而且是必須考慮的問題之一了。析，并提出了相應的安全防范技術(shù)措施。其它不軌行為的攻擊。防護措施已迫在眉捷。本人結(jié)合實際經(jīng)驗，對計算機網(wǎng)絡安全與防護措施進行了

　　

【正文】 支持或者 Snort 默認的 MySQL 和 ODBC 數(shù)據(jù)庫支持的方式，如圖 42 所示。 圖 42 Snort 安裝選項對話框 “開始”菜單，選擇“運行”命令，輸入 cmd 并按 Enter 鍵，在命令行方式下輸入如下命令： C:\〉 cd D:\Snort\bin D:\Snort\bin〉 snortW （ 1）如果 Snort 安裝成功，系統(tǒng)將顯示兩個物理網(wǎng)卡正在工作及網(wǎng)卡的詳細信息。輸入 snortvi2 命令啟用 Snort。其中， v 表示使用 Verbose 模式，把信息包打印在屏幕上； i2 表示監(jiān)聽第二個網(wǎng)卡。為了進一步查看 Snort 的運行狀況，可以認為制造一些 ICMP 網(wǎng)絡流量。在局域網(wǎng)段中的另一臺主機（ ）上使用的 Ping指令，探測運行 Snort 的主機?；氐竭\行 Snort 的主機（ ），第 16 頁（共 23 頁） 發(fā)現(xiàn) Snort 已經(jīng)記錄了這次探測的數(shù)據(jù)包， Snort 在屏幕上輸出了從 到 的 ICMP 數(shù)據(jù)包頭。 （ 2）打開 D:\Snort\etc\，設置 Snort 的內(nèi)部網(wǎng)絡和外部網(wǎng)絡檢測范圍。將 文件中的 var HOME_NEW any 語句中的 Any 改為自己所在的子網(wǎng)地址，即將 Snort 檢測的內(nèi)部網(wǎng)絡設置為本機所在的局域網(wǎng)。如本地 IP 為，則將 Any 改為 HOME_NET 的值改為本地網(wǎng)絡的標識，即 。 （ 3）配置網(wǎng)段內(nèi)提供網(wǎng)絡服務的 IP 地址，只需要把默認的 $ HOME_NET 改成對應主機地址即可： var DNS_SERVERS $ HOME_NET var SMTP_SERVERS $ HOME_NET var HTTP_SERVERS $ HOME_NET var SQL_SERVERS $ HOME_NET var TELNET_SERVERS $ HOME_NET var SNMP_SERVERS $ HOME_NET 如果不需要監(jiān)視某種類型的服務，可以用 號將上述語句其注釋掉。 （ 4）修改設置檢測包含的規(guī)則。在配置文件末尾，定義了與規(guī)則相關(guān)的配置 ，格式如下： Include $ RULE_PATH/ Include $ RULE_PATH/ Include $ RULE_PATH/ 其中，變量 $ RULE_PATH 指明了規(guī)則文件存放的路徑，可以在語句 var RULE_PATH../rules 中將變量 RULE_PATH 改為存放規(guī)則集的目錄，如D:\snort\ 上下載最 新的規(guī)則集，將其解壓存放到規(guī)則默認路徑下。 (5) 在 文件中，修改配置文件 和 的路徑： Include D:\Snort\etc\ Include D:\Snort\etc\ 其中， 文件保存的是和規(guī)則的警報級別相關(guān)的配置， 文件保存了提供更對警報相關(guān)信息的鏈接。 Windows 平臺下 Snort 的使用 嗅探器模式。檢測 Snort 安裝是否成功時，用到的就是 Snort 嗅探器模式。輸入命令如下： Snort vi2 使用 Snort 只將 IP 和 TCP/UDP/ICMP 的包頭信息輸出到屏幕上。如果要看到應用層的數(shù)據(jù)，可以輸入如下命令： Snort vdi2 第 17 頁（共 23 頁） 如果需要輸出更詳細的信息，輸入命令： Snort vdei2 可以顯示數(shù)據(jù)鏈路層的信息。 。上面的命令只是在屏幕上輸出，如果要記錄在 LOG 文件上，需要預先建立一個 Log 目錄。輸入 下面的命令啟用數(shù)據(jù)包記錄器模式： snort dvei21d:\Snort\logh 其中， 1 選項指定了存放日志的文件夾； h 指定目標主機，這里檢測對象是局域網(wǎng)段內(nèi)的所有主機，如不指定 h，則默認檢測本機； K 指定了記錄的格式，默認是 Tcpdump 格式，此處使用 ASCII 碼。在命令行窗口運行了該指令后，將打開保存日志的目錄。 在 Log 目錄下自動生成了許多文件夾和文件，文件夾是以數(shù)據(jù)包目主機的IP 地址命名的（如圖 43 所示），每個文件夾下記錄的日志就是和 該外部主機相關(guān)的網(wǎng)絡流量。打開其中任一個，使用記事本查看日志文件，會發(fā)現(xiàn)文件的內(nèi)容和嗅探器模式下的屏幕輸出類似，如圖 44 所示。 圖 43 Snort數(shù)據(jù)包記錄器模式記錄的日志 IDS 模式。 Snort 最重要的用途還是昨晚基于誤用檢測技術(shù)的 NIDS。輸入下面的命令啟動 IDS 模式 : snorti2dev1 ./logh :/Snort /etc/ 相比數(shù)據(jù)包記錄模式中使用的命令，該命令只增加 了一個選項 c，用于告訴 Snort使用 Snort。 Conf 中規(guī)則集文件。 Snort 會對每個包和規(guī)則集進行匹配，如符合規(guī)則就采取規(guī)則所指定的動作。 下面將通過對運行了 Snort 的目標主機進行有意攻擊，來觀察 Snort 檢測入侵的能力。受限，向目標主機發(fā)送 ICMP 長數(shù)據(jù)包來觀測 Snort 的反應。 第 18 頁（共 23 頁） 圖 44 Snort數(shù)據(jù)包記錄器模式下日志內(nèi)容 ICMP 長數(shù)據(jù)包是有潛在危險的，一般會被視為入侵；然后，使用網(wǎng)絡端口掃描工具 Nmap 對目標主機進行掃描，觀察 Snort 的檢測情況。具體操作步驟如下： (1)在安裝好 Snort 的目標主機命令行方式下，輸入上面的命令，使 Snort 工作在 IDS 模式。 (2)在局域網(wǎng)的另一臺主機（ ）上向目標主機發(fā)送數(shù)據(jù)包，輸入下面的命令： Ping 1 45678 (3)在目標主機中打開 Log 文件夾，此時可以發(fā)現(xiàn) Log 的根目錄下自動生成了一個名為 Alert 的文件。使用 Notepad 打開該文件并觀察其內(nèi)容，如圖 45 所示。 Snort 警報中記錄了剛才發(fā)送的 ICMP 長數(shù)據(jù)包，其中每條記錄包括警報的類型和數(shù)據(jù)包的包頭。發(fā)送的 ICMP 長數(shù) 據(jù)包之所以出現(xiàn)在警報中，是因為它的特征和 Snort 預先定義的規(guī)則相符。 第 19 頁（共 23 頁） 圖 45 Snort 記錄的 ICMP報警 (4)在 Snort 的安裝目錄下打開 Rules 文件夾，用 Notepad 打開 文件，可以發(fā)現(xiàn)和該攻擊對應的規(guī)則如圖 46 所示，完整的內(nèi)容如下： 圖 46 ICMP數(shù)據(jù)包對應的檢測規(guī)則 alert icmp $ EXTERNA_NET any $ HOME_NET any (msg:ICMP Large ICMP Packet。dsize:800。 reference:arachnids,246。classtype:badunknown。 sid:499。 rev:4。) (5)執(zhí)行端口掃描的檢測。把 Snort。 Conf 文件中相應端口配置部分的內(nèi)容修改為如圖 47 所示的值。其中， proto 指定了需要檢測的協(xié)議類型，包括 TCP、UDP、 ICMP 和 IP， all 表示檢測所有的協(xié)議； sense_level 指定檢測的靈敏度，靈敏度高可以增加檢測率，但有可能會同時增加誤報率， Snort 的默認選 項是 low；logfile 指定檢測結(jié)果的輸出文件名，該文件將創(chuàng)建在 log 目錄下。 第 20 頁（共 23 頁） 圖 47配置 Snort端口掃描選項 (6)在 上運行 Nmap，對目標主機（ ）進行 SYN 掃描，在命令行方式下輸入如下命令： nmap sS (7)在目標主機上查看記錄端口掃描檢測結(jié)果的文件 Portscan，如圖 48 所示。可以看出， Snort 準確地識別并分析記錄了端口掃描攻擊相關(guān)的信息，如攻擊者的 IP 地址是 ，掃描的范圍從 21 號端口到 38037 號端口，攻擊者掃描到 2 個開放的端口： 139 和 文件中記錄的并不是單條的網(wǎng)絡數(shù)據(jù)包記錄，而是 Snort 的端口掃描模塊對數(shù)據(jù)包和其他特性綜合分析的結(jié)果，如在單位時間內(nèi)來自同一 IP 的警報信息或 TCP 數(shù)據(jù)包的統(tǒng)計特征等。 圖 48 Snort 端口掃描檢測結(jié)果 第 21 頁（共 23 頁） (8)打開 Alarm 文件。如圖 49 所示，發(fā)現(xiàn) Alarm 文件里增加了與端口掃描相關(guān)的警告。 Alarm 文件中記錄的是單個數(shù)據(jù)包和規(guī)則匹配的結(jié)果。 如圖 49 Snort對端口掃描攻擊的警報 (9)在 Rules 文件夾中打開檢測端口掃描的規(guī)則集，可以找到與端口掃描警報相對應的規(guī)則。 alert tcp $ EXTERNAL_NET any $ HOME_NET any (msg:SCAN XMAS。 flow: stateless。 flags ： SRAFPU,12。 reference: arachnids,144。 classtype: attemptedrecon。 sid: 625。rev:7。) 第 22 頁（共 23 頁） 總結(jié) 總之，網(wǎng)絡安全是一個綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，而不是萬能的。為此建立有中國特色的網(wǎng)絡安全體系，需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。第 23 頁（共 23 頁） 參考文獻 [1] 崔寶江．信息安全實驗指導．北京：國防工業(yè)出版社， 2020 [2] 蔡紅柳，何新華，信息安全技術(shù)及應用實驗．北京：科學 出版社， 2020 [3] 荊繼武，信息安全技術(shù)教程 . 北京：中國人民公安大學出版社， 2020 年 [4]龐南，信息安全管理教程 . 北京：中國人民公安大學出版社， 2020 年 [5] 楊永川，信息安全 .北京： 中國人民公安大學出版社， 2020 年 [6] 李冬靜，信息對抗 . 北京： 中國人民公安大學出版社， 2020 年 [7]蔣平，電子數(shù)據(jù) . 北京： 中國人民公安大學出版社， 2020 年 [8]閆強，電子商務安全管理 .北京：機械工業(yè)出版社， 2020 年 [9]石淑華，計算機網(wǎng)絡安全 . 北京：人民郵電出版社， 2020 年 [10]邵波，計算機安全技術(shù)及應用 . 北京：電子工業(yè)出版社， 2020 年 [11]石志國，信息安全概論 .北京：清華大學出版社， 2020 年 [12]信息對抗與網(wǎng)絡安全賀雪晨編著，清華大學出版社， 2020 年 [13]朱建軍，網(wǎng)絡安全防范手冊 .北京：人民郵電出版社， 2020 年 [14]閆宏生，計算機網(wǎng)絡安全與防護 .北京：電子工業(yè)出版社， 2020 年