当前位置:文档之家› 端口扫描检测攻击实验

端口扫描检测攻击实验


18. 双击“安全事件列表”中的具体事件,可以弹出“安全事件”对话框,如图 10: (图 10)
件。首先,我们要通过“添加”按钮来调用添加“日志服务器”对话框,在对话框中输 入日志服务器 IP 地址。 13. 如图 6,选择先前添加的日志服务器上右击菜单中“添加查询”,实现查询条件的设置:
(图 6) 14. 在弹出的“设置查询条件”对话框中选择“目标 IP 选择”,在“单一 IP”中输入远端被
服务端 XP 系统的 IP 地址,点击 Scan 按钮运行扫描,如图 1:
(图 1)
5. 在 Nmap Output 框中,会呈现端口扫描结果,其不仅给出了目标的端口开放细节、操作 系统猜测等信息。同时该扫描的多次连接行为已经被远程 Windows XP 系统防火墙日志 记录了下来。
6. 运行远程桌面客户端程序 mstsc.exe,输入服务器端 IP 地址,点击 Connect 连接,如 图 2:
件,这里我们只设置了被扫描系统的 IP 条件做为筛选; 16. 查询结果如图 8,呈现了近期相关的告警事件,里面列出了威胁的详细信息:
(图 8) 17. 我们也可以通过“安全事件”来查看 IDS 实时事件,如果现在使用冰河客户端连接操作,
是可以看到 IDS 检测到的事件信息的,如图 9:
(图 9)
如上设置,点击确定。然后选“高级“ –安全日志记录”设置“
如图选中,“记录被丢弃的数据包“和“记录成功的连接”,点击“确定”。 3. 在客户端安装 NMAP 程序: 在 C:/目录下运行“nmap-5.00-setup”,安装 nmap; 4. 安装完成后,通过桌面快捷图标运行 nmap 程序,在 nmap 程序界面 Target 图 7)
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 【注意】 这里我们可以选择查询时间、目标 IP、事件等级等条件来做更复杂的搜索。 ※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 15. 点击“查询”按钮后,会弹出查询条件具体信息对话框,请仔细察看你所设置的查询条
实验拓扑
RG-IDS
IDS-Server
VM Client
实验环境 [实验必备环境]
客户端::Windows2000/XP/2003 服务端:Windows XP 工具: NMAP 端口扫描程序
VM Server
入侵检测设备 IDS
实验过程指导 [实验完成步骤,力求完整]
1. 服务器 Administrator 用户的登陆密码设为 123456 2. 在实验之前需要打开系统防火墙,打开的方法是:"开始"-"设置'-"控制面板"-"安全中心 "-"windows 防火墙”
(图 4) 11. 如图 5,IDS 管理 console 窗口,在工具栏中点击“查询”按钮,调用“事件查询工具”。
(图 5)
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 【注意】 通过工具栏中的“安全事件”按钮可以查看 IDS 告警实时事件;“策略”按钮可以 查看 IDS 检测签名; ※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 12. 在 “事件查询工具”程序中,我们可以设置查询条件,来关注筛选出来的安全告警事
端口扫描检测攻击实验
场景
扫描,是攻击者相目标主机发起进攻的一个常用手段,在通过此手段获得相关信息,根 据扫描结果制定进一步攻击的策略。为了预防网络攻击者对主机信息的获得,监控扫描行为 的发生,可通过 IDS 对此类事件进行监控。
实验目标
可完成对主机防护的 IDS 部署 能够根据所面临的威胁配置账户策略 能够完成对帐号的审计操作 能够根据不同的应用环境配置访问权限
(图 2) 7. 以 Administrator(管理员)身份登陆服务器桌面。 8. 远程 Windows XP 系统防火墙日志,默认存储在 C:\WINDOWS\pfirewall.log 位置中,我
们将其打开,如图 3 所示,很明显日志中已经记录了大量来自 192.168.25.30 到 192.168.25.48 各个端口的扫描动作:
(图 3)
9. 由于 XP 系统自带的防火墙日志记录信息有限,并未能充分描述清楚这类信息,所以接 下来我们来通过查看 IDS 设备对攻击行为的检测记录来获得更多的信息。
10. 在监测的主机上双击 Windows 2003 系统桌面上的“RG-IDS 管理控制台”程序,在对话 框中输入实验准备时获取的事件收集器地址、账号、密码,如图 4:
相关主题