深入理解SNORT入侵检测系统：实验与应用

本次实验报告主要围绕"11-2019051114-李芷靖-SNORT入侵检测系统1"展开，涉及的是暨南大学信息安全专业的本科实验。实验目的是让学生熟悉SNORT入侵检测系统在Windows环境下的安装和配置，通过三个任务深入理解其工作原理和应用。 首先，实验目标是掌握SNORT作为入侵检测系统（IDS）的基础功能。SNORT可比喻为网络上的警报器，通过规则匹配数据包进行实时流量分析，它的体系结构包括数据包嗅探模块、预处理模块、检测模块和报警/日志模块。数据包嗅探模块负责捕获主机间的通信数据包，预处理模块则对数据包进行重组、协议解码和异常检测，然后检测模块根据预设规则检查数据，如果匹配则发送警报。 实验分为三个任务： 1. 数据包嗅探、记录与简单报警：学生需要学习如何使用snort命令，指定捕获特定条件的数据包，如只捕获同一组主机的ICMP回显请求，同时选择详细模式展示链路层和应用层信息。这一环节旨在实践snort的数据包捕获和基本监控。 2. 字符串匹配与端口扫描攻击：在这个任务中，学生会学习如何利用snort检测字符串匹配和端口扫描攻击，了解这些常见攻击手段的识别方法，增强对网络安全威胁的认识。 3. IP分片重组检测：实验还涉及IP分片重组检测技术，这是对网络流量完整性的检查，有助于防止中间人攻击和数据篡改。 实验平台设定在交换网络结构下的虚拟机环境中，这样可以模拟真实的网络环境，提供一个安全可控的实践空间。 规则定义是SNORT的核心，包括行为、协议、源和目的信息，以及详细的选项和值，用于描述不同协议的具体细节。规则的编写和配置对于有效实施入侵检测至关重要。 整个实验过程强调理论学习与实践操作的结合，帮助学生从理论层面理解SNORT的工作原理，再到实际操作中掌握其功能和配置，提升网络安全防护能力。通过此次实验，学生不仅能掌握SNORT，还能增强对网络安全策略的理解和应用。