Лаба_5
.docxМинистерство цифрового развития, связи и массовых коммуникаций Российской Федерации
ордена Трудового Красного Знамени Федеральное государственное бюджетное образовательное учреждение высшего образования
«Московский технический университет связи и информатики»
(МТУСИ)
Кафедра: «Информационная безопасность»
Дисциплина: «Методы и средства защиты информации в компьютерных сетях»
Отчёт по лабораторной работе №5
на тему
«Изучение системы обнаружения атак Snort»
Выполнил:
Проверил:
Москва, 2025
Содержание
Цель работы 3
Ход выполнения задания 4
Вывод 15
Цель работы
Получение навыков работы с программой Snort, изучение принципов создания правил обработки трафика.
Ход выполнения задания
Установим COA Snort, откроем окно командной строки Windows и с помощью команды «cd» перейдем в директорию, где установлено ПО Snort. Затем перейдем в папку bin.
Рисунок 1 – Переход в папку bin ПО Snort
Отобразим список доступных сетевых интерфейсов командой: snort –W
Рисунок 2 – Список доступных сетевых интерфейсов
Запустиим Snort на выбранном интерфейсе в режиме анализатора пакетов, указав параметры завершения работы программы после приема третьего пакета.
snort –v –i 5 –n 3 (указал 5 интерфейс)
Рисунок 3 – Snort анализирует пятый интерфейс
Произведем отправку или прием пакетов. Выполнм в командной строке эхо-запрос на любой узел сети командой «ping».
Рисунок 4 – Обмен пакетами с ya.ru
Создадим в каталоге Snort\etc\ файл с именем «my»и расширением .conf, содержащий следующие строки:
var HOME_NET<IP-адрес вашего компьютера>
var EXTERNAL_NET !$HOME_NET
Рисунок 5 – Создание файла my.conf
Рисунок 6 – Создание файла my.conf
Запустии СОА Snort, указав необходимый сетевой интерфейс, файл конфигурации, а также расположение log-файла программы.
snort –i <интерфейс> -c ../etc/my.conf –l ../log
Рисунок 7 – Запуск Snort с необходимыми параметрами
Выполним несколько эхо-запросов с помощью другого компьютера сети.
ping<IP-адрес вашего компьютера>
Отправил ping на свой адрес, так как у меня один компьютер.
Рисунок 8 – ping на свой адрес
Дополните файл «my.conf» строками: preprocessor flow: stats_interval 0 hash 2 preprocessor sfportscan: proto { all } scan_type { all } sense_level { medium } logfile { portscan.log }для настройки препроцессора sfPortscan.
Рисунок 9 – Дополнение файла my.conf
Используйте утилиту nmap для проверки обнаружения сканирования портов программой Snort. Используйте следующие команды для запуска сканирования:
nmap <IP-адрес вашего компьютера> -v –sT –p <диапазон портов> — для сканирования методом с полным циклом подключения (метод Connect);
nmap <IP-адрес вашего компьютера> -v –sS –p <диапазон портов> — для сканирования с неполным циклом подключения (метод SYN);
nmap <IP-адрес вашего компьютера> -v –sN –p <диапазон портов> — для сканирования при помощи TCP-пакета со сброшенными флагами (метод NULL);
nmap <IP-адрес вашего компьютера> -v –sX –p <диапазон портов> — для сканирования при помощи TCP-пакета со всеми установленными флагами (метод XMAS);
Рисунок 10 – Утилита Nmap
nmap -v –sT –p — для сканирования методом с полным циклом подключения (метод Connect);
Рисунок 11 – Сканирование методом Connect
nmap -v –sS –p — для сканирования с неполным циклом подключения (метод SYN);
Рисунок 12 – Сканирование методом SYN
nmap -v –sN –p — для сканирования при помощи TCP-пакета со сброшенными флагами (метод NULL);
Рисунок 13 – Сканирование методом NULL
nmap -v –sX –p — для сканирования при помощи TCP-пакета со всеми установленными флагами (метод XMAS)
Рисунок 14 – Сканирование методом XMAS
Выясним, какие методы сканирования позволяют практически выявлять наличие открытых портов.
Проверив на практике все 4 метода, можно понять, что:
метод «Connect» нужно использовать, если важна точность, а не скрытность.
метод «SYN» нужно использовать, если нужна скорость и минимизация обнаружения.
методы «NULL» и «XMAS» — имеют ограниченную применимость и часто дают ложные результаты.
Вывод
В ходе данной работы мы получили навыкоы работы с программой Snort и изучили принципы создания правил обработки трафика.