【正文】 p 地址，例如某學(xué)生的學(xué)號(hào)后 3 位為 001，則可設(shè)置其ip 為 ，中心服務(wù)器地址為IDServer IP Address 。3. 學(xué)生機(jī)安裝 Windows 操作系統(tǒng)并安裝有 DOS 攻擊工具。要求有 WEB 瀏覽器：IE 或者其他；【實(shí)驗(yàn)預(yù)備知識(shí)點(diǎn)】本實(shí)驗(yàn)需要如下的預(yù)備知識(shí)：23 / 2211. 常用網(wǎng)絡(luò)客戶(hù)端的操作：IE 的使用，tel 命令的使用， ping 命令的使用；2. 入侵檢測(cè)的基本概念及入侵檢測(cè)系統(tǒng)的基本構(gòu)成，如數(shù)據(jù)源，入侵分析，響應(yīng)處理等；3. 計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)知識(shí)，如方向、協(xié)議、端口、地址等概念；4. 常用網(wǎng)絡(luò)協(xié)議（如 tcp,udp,icmp）的各字段含義。【實(shí)驗(yàn)內(nèi)容】本實(shí)驗(yàn)需要完成的內(nèi)容如下：1. 配置入侵檢測(cè)規(guī)則；2. 通過(guò)一些常用的網(wǎng)絡(luò)客戶(hù)端操作，判斷已配置的規(guī)則是否有效，并查看相應(yīng)的入侵事件，對(duì)比不同規(guī)則下，產(chǎn)生的不同效果?！緦?shí)驗(yàn)步驟】在每次實(shí)驗(yàn)前，都要打開(kāi)瀏覽器，輸入地址： ，在打開(kāi)的頁(yè)面中輸入學(xué)號(hào)和密碼，登錄 IDS 實(shí)驗(yàn)系統(tǒng)。點(diǎn)擊首頁(yè)左側(cè)“特征匹配檢測(cè)” ，進(jìn)入特征匹配檢測(cè)實(shí)驗(yàn)界面，如圖 12 所示。圖 12 特征匹配實(shí)驗(yàn)*NIDS 檢測(cè)實(shí)驗(yàn)部分1. 點(diǎn)擊 “NIDS 檢測(cè)實(shí)驗(yàn)”，進(jìn)入 NIDS 檢測(cè)實(shí)驗(yàn)界面，如圖 13 所示。24 / 221圖 13 NIDS 檢測(cè)實(shí)驗(yàn)2. 設(shè)置系統(tǒng)檢測(cè)規(guī)則在界面中點(diǎn)擊“ 設(shè)置系統(tǒng)檢測(cè)項(xiàng)目 ”，進(jìn)入當(dāng)前系統(tǒng)檢測(cè)項(xiàng)目表頁(yè)面。在此，可查看當(dāng)前系統(tǒng)對(duì)事件的檢測(cè)情況及事件異常判定，如圖 14 所示。圖 14 檢測(cè)項(xiàng)目表例如，系統(tǒng)當(dāng)前對(duì)大包 ping 事件檢測(cè)，Tel 服務(wù)器事件進(jìn)行檢測(cè)。若要使系統(tǒng)的檢測(cè)規(guī)則變?yōu)椋簩?duì)大包 ping 事件不做檢測(cè)，但仍對(duì) Tel 服務(wù)器事件進(jìn)行檢測(cè)，則按以下步驟進(jìn)行：先點(diǎn)擊“大包 ping 事件” 旁的復(fù)選框，再點(diǎn)擊“ 修改所選設(shè)置”按鈕，出現(xiàn)設(shè)置規(guī)則成功頁(yè)面，最后點(diǎn)擊“返回” ，可重新回到當(dāng)前系統(tǒng)檢測(cè)事件表頁(yè)面。此時(shí)，可看出系統(tǒng)對(duì)大包 ping 事件與 Telne//////t 服務(wù)器事件進(jìn)行檢測(cè)。重復(fù)次步驟可設(shè)置不同的檢測(cè)規(guī)則。3. 啟動(dòng)入侵事件啟動(dòng)大包 ping 事件：點(diǎn)擊電腦左下方的“開(kāi)始” 按鈕，再點(diǎn)擊“ 運(yùn)行”，在輸入框中輸入大包 Ping 命令，如：ping –l 1200。啟動(dòng) Tel 服務(wù)器事件：點(diǎn)擊電腦左下方的“開(kāi)始”按鈕，再點(diǎn)擊“運(yùn)行” ，25 / 221在輸入框中輸入 Tel 命令：tel 。4. 查看入侵事件 點(diǎn)擊左側(cè)導(dǎo)航欄的“NIDS 檢測(cè)實(shí)驗(yàn)”，在右側(cè)的界面中點(diǎn)擊“ 查看系統(tǒng)的檢測(cè)事件”，即可看到系統(tǒng)所檢測(cè)到的入侵事件。點(diǎn)擊該頁(yè)面中的按鈕“刪除檢測(cè)到的入侵事件” ，即可全部刪除所檢測(cè)到的入侵事件，如圖 15 所示。圖 15 檢測(cè)事件表*多協(xié)議檢測(cè)實(shí)驗(yàn)部分 點(diǎn)擊 “多協(xié)議檢測(cè)實(shí)驗(yàn) ”，進(jìn)入多協(xié)議檢測(cè)實(shí)驗(yàn)界面，如圖 16 所示。圖 16 多協(xié)議檢測(cè)類(lèi)型1. TCP 協(xié)議檢測(cè)實(shí)驗(yàn) 點(diǎn)擊“TCP”，進(jìn)入 TCP 協(xié)議檢測(cè)實(shí)驗(yàn)界面。1）設(shè)置入侵檢測(cè)規(guī)則點(diǎn)擊“設(shè)置檢測(cè) TCP 協(xié)議的規(guī)則”，進(jìn)入規(guī)則設(shè)置界面。在此，可查看當(dāng)前26 / 221系統(tǒng)的檢測(cè)規(guī)則同時(shí)可增加或刪除系統(tǒng)的檢測(cè)規(guī)則，如圖 17 所示。圖 17 TCP 檢測(cè)規(guī)則增加檢測(cè)規(guī)則：點(diǎn)擊規(guī)則設(shè)置界面的“增加一條規(guī)則” 按鈕。出現(xiàn)增加規(guī)則界面。下面對(duì)此界面中的一些選項(xiàng)作說(shuō)明：“協(xié)議” ——tcp 協(xié)議；“源地址”——指定數(shù)據(jù)發(fā)送的源地址，該內(nèi)容為用戶(hù)的 ip 地址，用戶(hù)無(wú)權(quán)對(duì)該項(xiàng)進(jìn)行更改； “源端口”——指明數(shù)據(jù)發(fā)送的源端口，此端口可以為任意端口；“目的地址” ——指明數(shù)據(jù)發(fā)送的目的地址，該內(nèi)容為服務(wù)器的 ip 地址，用戶(hù)無(wú)權(quán)對(duì)該項(xiàng)進(jìn)行更改； “目的端口”——指明數(shù)據(jù)發(fā)送的目的端口；“ 事件簽名”——制定規(guī)則名稱(chēng)；“數(shù)據(jù)內(nèi)容”——指定發(fā)送的數(shù)據(jù)內(nèi)容；“大小寫(xiě)敏感 ”——指定檢測(cè)中是否對(duì)數(shù)據(jù)的大小寫(xiě)進(jìn)行區(qū)分，如圖 18 所示。圖 18 添加 TCP 檢測(cè)規(guī)則27 / 221刪除檢測(cè)規(guī)則：在規(guī)則設(shè)置界面中選中某一規(guī)則，點(diǎn)擊“刪除所選規(guī)則” 即可。2）利用數(shù)據(jù)包發(fā)生器發(fā)送數(shù)據(jù)包打開(kāi)“數(shù)據(jù)包發(fā)生器 ”程序，選擇協(xié)議 TCP，確定好端口號(hào)、數(shù)據(jù)內(nèi)容、發(fā)送次數(shù)后，點(diǎn)擊“發(fā)送”，即可向服務(wù)器某端口發(fā)送定制的數(shù)據(jù)包，如圖 19 所示。圖 19 數(shù)據(jù)包發(fā)送圖3）查看入侵事件進(jìn)入 TCP 協(xié)議檢測(cè)實(shí)驗(yàn)界面，點(diǎn)擊“查看 TCP 規(guī)則的檢測(cè)事件 ”，即可看到系統(tǒng)所檢測(cè)到的入侵事件。點(diǎn)擊該頁(yè)面中的按鈕“刪除已檢測(cè)的 TCP 事件”，即可全部刪除所檢測(cè)到的入侵事件，如圖 110 所示。 圖 110 TCP 檢測(cè)事件表2. UDP 協(xié)議檢測(cè)實(shí)驗(yàn) 點(diǎn)擊“UDP” ，進(jìn)入 UDP 協(xié)議檢測(cè)實(shí)驗(yàn)界面。1）設(shè)置入侵檢測(cè)規(guī)則28 / 221點(diǎn)擊“設(shè)置檢測(cè) UDP 協(xié)議的規(guī)則”，進(jìn)入規(guī)則設(shè)置界面。在此，可查看當(dāng)前系統(tǒng)的檢測(cè)規(guī)則同時(shí)可增加或刪除系統(tǒng)的檢測(cè)規(guī)則，如圖 111 所示。圖 111 UDP 檢測(cè)規(guī)則增加檢測(cè)規(guī)則：點(diǎn)擊規(guī)則設(shè)置界面的“增加一條規(guī)則” 按鈕，出現(xiàn)增加規(guī)則界面，如圖 112 所示。此界面中的一些選項(xiàng)詳見(jiàn) TCP 協(xié)議檢測(cè)實(shí)驗(yàn)中的說(shuō)明。圖112 增加 UDP 檢測(cè)規(guī)則刪除檢測(cè)規(guī)則：在規(guī)則設(shè)置界面中選中某一規(guī)則，點(diǎn)擊“刪除所選規(guī)則” 即可。2) 利用數(shù)據(jù)包發(fā)生器發(fā)送數(shù)據(jù)包打開(kāi)“數(shù)據(jù)包發(fā)生器 ”程序，選擇協(xié)議 UDP，確定好端口號(hào)、數(shù)據(jù)內(nèi)容、發(fā)送次數(shù)后，點(diǎn)擊“發(fā)送 ”，即可向服務(wù)器某端口發(fā)送定制的數(shù)據(jù)包，如圖 113 所示。29 / 221圖 113 數(shù)據(jù)包發(fā)送圖3）查看入侵事件進(jìn)入 UDP 協(xié)議檢測(cè)實(shí)驗(yàn)界面，點(diǎn)擊“查看 UDP 規(guī)則的檢測(cè)事件”，即可看到系統(tǒng)所檢測(cè)到的入侵事件。點(diǎn)擊該頁(yè)面中的按鈕“刪除已檢測(cè)的 UDP 事件”，即可全部刪除所檢測(cè)到的入侵事件，如圖 114 所示。圖 114 UDP 檢測(cè)事件3. ICMP 協(xié)議檢測(cè)實(shí)驗(yàn) 點(diǎn)擊“ICMP”，進(jìn)入 ICMP 協(xié)議檢測(cè)實(shí)驗(yàn)界面。1）設(shè)置入侵檢測(cè)規(guī)則點(diǎn)擊“設(shè)置檢測(cè) ICMP 協(xié)議的規(guī)則”，進(jìn)入規(guī)則設(shè)置界面。在此，可查看當(dāng)前系統(tǒng)的檢測(cè)規(guī)則同時(shí)可增加或刪除系統(tǒng)的檢測(cè)規(guī)則, 如圖 115 所示。 30 / 221圖 115 ICMP 檢測(cè)規(guī)測(cè)增加檢測(cè)規(guī)則：點(diǎn)擊規(guī)則設(shè)置界面的“增加一條規(guī)則” 按鈕。出現(xiàn)增加規(guī)則界面。如圖 116 所示。圖 116 添加 ICMP 規(guī)則刪除檢測(cè)規(guī)則：在規(guī)則設(shè)置界面中選中某一規(guī)則，點(diǎn)擊“刪除所選規(guī)則” 即可。2）利用數(shù)據(jù)包發(fā)生器發(fā)送數(shù)據(jù)包打開(kāi)“數(shù)據(jù)包發(fā)生器 ”程序，選擇協(xié)議 ICMP，確定好填充內(nèi)容、發(fā)送次數(shù)后，點(diǎn)擊“發(fā)送”，即可向服務(wù)器某端口發(fā)送定制的數(shù)據(jù)包，如圖 117 所示。31 / 221圖 117 數(shù)據(jù)包發(fā)送圖 3）查看入侵事件 進(jìn)入 ICMP 協(xié)議檢測(cè)實(shí)驗(yàn)界面，點(diǎn)擊“查看 ICMP 規(guī)則的檢測(cè)事件”，即可看到系統(tǒng)所檢測(cè)到的入侵事件。點(diǎn)擊該頁(yè)面中的按鈕“刪除已檢測(cè)的 ICMP 事件”，即可全部刪除所檢測(cè)到的入侵事件，如圖 118 所示。圖118 ICMP 檢測(cè)事件【實(shí)驗(yàn)思考題】1. 請(qǐng)根據(jù)實(shí)驗(yàn)過(guò)程及結(jié)果，思考檢測(cè)模塊是如何檢測(cè)出入侵事件的？2. 請(qǐng)根據(jù)實(shí)驗(yàn)過(guò)程及結(jié)果，思考為什么系統(tǒng)檢測(cè)到的 tel 事件可從正常事件變?yōu)楫惓Ｊ录?2 / 221完整性檢測(cè)實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹?. 了解常見(jiàn)的對(duì)主機(jī)的入侵2. 了解常見(jiàn)的 HIDS 系統(tǒng)檢測(cè)方法【實(shí)驗(yàn)環(huán)境】1. 本實(shí)驗(yàn)的網(wǎng)絡(luò)拓?fù)鋱D如圖 21 所示：I B M 兼容機(jī) I B M 兼容機(jī) I B M 兼容機(jī) I B M 兼容機(jī)服務(wù)器學(xué) 生機(jī)1 學(xué)生機(jī) 2 學(xué)生機(jī) 3 學(xué)生機(jī) N. . . .H U B圖 21 實(shí)驗(yàn)環(huán)境拓?fù)鋱D學(xué)生機(jī)和中心服務(wù)器通過(guò) hub 相連。服務(wù)器上預(yù)設(shè)了用戶(hù)名 stu01, stu02, …, stu50。 相應(yīng)的用戶(hù)名與密碼相同。所以每位學(xué)生可以通過(guò) stu +”學(xué)號(hào)的后兩位” 作為用戶(hù)名登錄系統(tǒng)，后兩位為”51”的，使用 stu01,… 后兩位 00 的，使用 stu50. 中心服務(wù)器 ip 地址為 。2. 服務(wù)器安裝 linux 操作系統(tǒng)，并安裝有 tomcat 服務(wù)器、 MySql 數(shù)據(jù)庫(kù)服務(wù)器、snort 系統(tǒng)。3. 學(xué)生機(jī)安裝 Windows 操作系統(tǒng)，要求有 WEB 瀏覽器：IE 或者其他，要求有 ssh 客戶(hù)端或者 tel 客戶(hù)端， 以登錄服務(wù)器進(jìn)行操作。【實(shí)驗(yàn)預(yù)備知識(shí)點(diǎn)】本實(shí)驗(yàn)需要如下的預(yù)備知識(shí)：1. 常用網(wǎng)絡(luò)客戶(hù)端的操作：IE 的使用，常用 Linux 命令的使用， vi 文本編輯器的使33 / 221用。2. HIDS 基本概念及入侵檢測(cè)系統(tǒng)的基本構(gòu)成，如數(shù)據(jù)源，入侵分析，響應(yīng)處理等。【實(shí)驗(yàn)內(nèi)容】本實(shí)驗(yàn)需要完成的內(nèi)容如下：通過(guò) ssh 登錄到 linux 主機(jī)，按照試驗(yàn)步驟，發(fā)動(dòng)如下的攻擊，查看其對(duì)系統(tǒng)安全的影響，然后查看 HIDS 檢測(cè)報(bào)告。 1. 木馬入侵與檢測(cè)2. 文件篡改與檢測(cè)3. 日志入侵與檢測(cè)【實(shí)驗(yàn)步驟】登錄 IDS 實(shí)驗(yàn)系統(tǒng)后，點(diǎn)擊左側(cè)導(dǎo)航欄的“完整性檢測(cè)” ，進(jìn)入完整性檢測(cè)實(shí)驗(yàn)界面。該實(shí)驗(yàn)可進(jìn)行設(shè)置木馬入侵與檢測(cè)、文件篡改與檢測(cè)、日志入侵與檢測(cè)及查看檢測(cè)報(bào)告等操作。運(yùn)行 ssh 客戶(hù)端，使用自己的用戶(hù)名和密碼登錄到 linux 服務(wù)器，如圖 22 所示。圖 22 使用 ssh 客戶(hù)端登錄界面1. 木馬入侵與檢測(cè) 使用自己的用戶(hù)名、密碼 ssh 登錄到 Linux 主機(jī)，進(jìn)入 bin 目錄: cd bin 查看 shell 腳本 ls_troj 文件內(nèi)容，分析其作用。 vi ls_troj 查看完畢后退出 （按 Esc, 輸入 :q!, 回車(chē)） 。 用此 shell 文件替換 lscp rf ls_troj ls執(zhí)行 ls, ls 查看用戶(hù)主目錄下的文件信息 34 / 221cd ~ 查看新增文件 pd 內(nèi)容： vi pd 查看完畢后退出 （按 Esc, 輸入 :q!, 回車(chē)） 進(jìn)入實(shí)驗(yàn)系統(tǒng)界面，點(diǎn)擊“查看報(bào)告” ，可出現(xiàn)如圖 23 所示的系統(tǒng)報(bào)告界面。圖 23 系統(tǒng)報(bào)告界面 還原系統(tǒng)文件: cd ~ rm －rf pd cd bincp –rf ls_orig ls2. 文件篡改與檢測(cè) 使用自己的用戶(hù)名、密碼 ssh 登錄到 Linux 主機(jī).(如果已經(jīng)登錄，則無(wú)須再次登錄)。進(jìn)入 protect 目錄。 cd ~/protect 修改文件，或者任意增添文件 （可以使用 vi, gedit 等編輯器） 。 進(jìn)入實(shí)驗(yàn)系統(tǒng)界面，點(diǎn)擊“查看報(bào)告” 。3. 日志入侵與檢測(cè) 使用自己的用戶(hù)名、密碼 ssh 登錄到 Linux 主機(jī)， ( 如果已經(jīng)登錄，則無(wú)須再次登錄 ) 。進(jìn)入 log 目錄: cd ~/log 查看 linux 生成的系統(tǒng)日志 syslog, 分析其中有哪些信息。 35 / 221 將 syslog 增加一個(gè)片斷 : echo “A segement is appended to the syslog!” syslog 進(jìn)入實(shí)驗(yàn)系統(tǒng)界面，點(diǎn)擊“查看報(bào)告” 使用 vi 編輯器， 將 syslog 刪除或者修改一個(gè)片斷: vi syslog 輸入 i 進(jìn)入編輯狀態(tài)，移動(dòng)光標(biāo)到任意一行， 輸入 “ dd ”刪除一行。 修改完畢后保存退出 （按 Esc, 輸入 :wq, 回車(chē)） 。 進(jìn)入實(shí)驗(yàn)系統(tǒng)界面，點(diǎn)擊“查看報(bào)告” ?！緦?shí)驗(yàn)思考題】1．本實(shí)驗(yàn)所用 HIDS 是一套有關(guān)數(shù)據(jù)和網(wǎng)絡(luò)完整性保護(hù)的工具，主要是檢測(cè)和報(bào)告系統(tǒng)中文件被改動(dòng)、增加、刪除的詳細(xì)情況，可以用于入侵檢測(cè)、損失的評(píng)估和恢復(fù)、證據(jù)保存等多個(gè)用途。該軟件在基準(zhǔn)數(shù)據(jù)庫(kù)生成時(shí)，會(huì)根據(jù)策略文件中的規(guī)則讀取指定的文件，同時(shí)生成該文件的數(shù)字簽名并存儲(chǔ)在自己的數(shù)據(jù)庫(kù)中。由于使用了多達(dá)四種 Hash 算法，因此準(zhǔn)確度非常高。但是，系統(tǒng)如何保證自身的基準(zhǔn)數(shù)據(jù)庫(kù)的安全呢？36 / 221網(wǎng)絡(luò)流量分析實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹?. 了解入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)大流量事件的檢測(cè)原理。2. 了解入侵事件的發(fā)生過(guò)程?！緦?shí)驗(yàn)環(huán)境】1. 本實(shí)驗(yàn)的網(wǎng)絡(luò)拓?fù)鋱D如圖 31 所示：I B M 兼容機(jī) I B M 兼容機(jī) I B M 兼容機(jī) I B M 兼容機(jī)服務(wù)器學(xué) 生機(jī)1 學(xué)生機(jī) 2 學(xué)生機(jī) 3 學(xué)生機(jī) N. . . .H U B圖 31 網(wǎng)絡(luò)拓?fù)鋱D2. 學(xué)生機(jī)和中心服務(wù)器通過(guò) hub 相連。為保證各學(xué)生機(jī) ip 不相互沖突，學(xué)生可以用學(xué)號(hào)的后 3 位來(lái)設(shè)置 ip 地址，例如某學(xué)生的學(xué)號(hào)后 3 位為 001，則可設(shè)置其 ip 為 ，中心服務(wù)器地址為IDServer IP Address 。3. 學(xué)生機(jī)安裝 Windows 操作系統(tǒng)并安裝有 DOS 攻擊工具。要求有 WEB 瀏覽器：IE 或者其他；【實(shí)驗(yàn)預(yù)備知識(shí)點(diǎn)】本實(shí)驗(yàn)需要如下的預(yù)備知識(shí)：1. 計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)知識(shí)；2. 網(wǎng)絡(luò)中數(shù)據(jù)的傳輸過(guò)程。37 / 221【實(shí)驗(yàn)內(nèi)容】本實(shí)驗(yàn)需要完成的內(nèi)容如下：通過(guò)對(duì)比下載大數(shù)據(jù)文件和發(fā)動(dòng) Dos 攻擊，來(lái)顯示 IDS 對(duì)網(wǎng)絡(luò)正?；顒?dòng)和異常活動(dòng)事件的不同反應(yīng)。【實(shí)驗(yàn)步驟】打開(kāi) IE 瀏覽器，輸入地址： IP Address，在打開(kāi)的頁(yè)面中輸入學(xué)號(hào)和密碼，登錄 IDS 實(shí)驗(yàn)系統(tǒng)