你好,欢迎来到博今文化,中国最权威的职称论文投稿平台!

计算机技术学 基于Snort和Wireshark的计算机网络监控办法

博今文化 / 2020-02-14

  摘    要: 网络平安是每个单位关注的主要问题,因而,网络监控已成为计算机平安防备攻击的重要组成局部。Wireshark和Snort等网络监控工具在入侵检测中起着重要的作用。Wireshark和Snort可以以图形方式监控网络过程或运动,以检测侵入的电子信息。经过IDS和IPS停止网络监控,进步了网络根底设备的性能和平安性。本文主要从理论上剖析基于Wireshark和Snort工具如何停止网络监控,以维护通讯网络系统。

  关键词: 网络监控; 监控工具; 信息技术;

基于Snort和Wireshark的计算机网络监控办法

       0、 引言

  技术正在改动新的攻击方式,很多平安参数被这些新颖的攻击所绕过。因而,网络监控在入侵检测中起着重要的作用。网络监控是指当其他系统正在执行其重要功用时,需求留出至少一台计算机或一组计算机来监视网络活动,即对网络流量停止监管。网络监控是查找入侵者的最好办法,依据研讨,有一些有用的网络监控软件工具。主要包括:AirWave,思科WC,MRTG,RRDTOOL,Kiwi syslog,RANCID,SNORT,NetDisco,ZABBIX,除了这些入侵检测工具还有SURICATA,KISMET,OSSEC。Wireshark和Snort等工具能够提供网络进程的图形视图,以便经过剖析这些网络进程或流量干扰,能够简单地检测出这些网络进程或干扰流量。网络监控系统关于维护通讯网络或网络系统免受外部攻击,以及预防相关人员执行歹意操作至关重要。

  1、 网络监控的重要性

  早在20世纪90年代,黑客或攻击者,开端侵入网络和计算机系统,当时IDS只能检测歹意流量和发送警报音讯或信号,但没有预防攻击的机制,也不能检测一切的歹意程序。入侵是旨在损伤根本网络平安的秘密性、完好性、计算和网络资源可用性的操作的组合。IPS是IDS的先进版本,可以避免入侵和检测。IDS和IPS主要是为缺乏防火墙等设备的请求而开发的。IDS主要用于检测网络中的入侵或要挟。选择IDS主要有两品种型,一种是基于主机的,另一种是基于网络的。IDS的选择还取决于本钱效益及其如何确保网络组织的平安。固然经过施行IDS,不能说一个组织是完整平安的,但它是组织平安的特定的组成局部。分离IDS和强大的组织战略和程序,在特定时间距离停止破绽评价,平安配置路由器和防火墙可产生有效的结果。

  在目前的组织环境中,平安性是一切网络的一大问题。曾经开发出不同的办法来维护互联网上的通讯和通讯,它们之间运用防火墙、加密和VPN(虚拟专用网络)。入侵检测是针对一切这些技术相对较新的。IDS能够维护系统免受攻击、误用和毁坏,还能够监控网络活动。网络过程监测日益被视为一个重要的功用,理解和改良网络的流程和平安构造。IDS查找入侵者,并且适用、经济、具有商业潜力。

  预防胜于治疗,牢记IDS和IPS的组合能够为网络或系统提供深度防御,假如IPS无法阻止入侵,则能够停止检测,从而缓解网络风险。IDS技术提供可见性和许多其他优势作用于网络监控,其中包括网络中正在发作的事情的实时可见性,以及存储相关信息在以后的时间点以停止剖析和报告的才能。可见性是决策的首要,经过可见性,能够基于量化的理想世界数据而创立平安战略。

  2、 基于Snort的计算机网络监控办法

  2.1、 Snort的主要功用

  Snort是Sourcefire开发的开源网络入侵预防和检测系统(IDS/IPS)。Snort分离了签名、协议和基于异常的标准的优点,是全球部署最普遍的IDS/IPS技术。Snort是一种IDPS(入侵检测和预防系统)。主要研讨基于签名的检测原理和基于异常的检测,它们有其本身的局限性。在基于签名的检测中,Snort将网络流量签名与预定义签名匹配,该签名存在于能够不时更新的snort的库或数据库中。当基于签名的检测与形式匹配时,它提供更好的性能,但它无法检测在snort数据库中不存在的新的攻击类型。

  Snort是一个现代平安应用程序,具有三个主要功用:它能够用作数据包嗅探器、数据包记载器或基于网络的入侵诊断系统(NIDS)。Snort还有许多附加程序,用于提供记载和管理Snort日志文件、获取和维护当前Snort规则集的不同方式,并发出警报,以便让管理员晓得何时看到潜在的歹意流量。固然这些附加组件不是中心Snort套件的一局部,但为平安管理员提供了丰厚的各种功用。

  2.2 、Snort的网络监控办法

  为了配置Snort首先需求访问<http://www.snort.org/>,然后将下载Snort,并取得规则,下载它。当要在视窗机中装置snort时,需求Winpcap软件来捕获数据包。经过C:\Snort_etc,得到"snort.conf"文件,翻开这个文件wordPad,应该采取以下步骤创立本人的自定义配置。(1)设置网络变量。(2)配置解码器。(3)配置根本检测引擎。(4)配置动态加载库。(5)配置预处置器。(6)配置输出插件。(7)自定义规则集。(8)将预处置器和解码器规则集集中化。(9)自定义共享对象规则集。

  3 、基于Wireshark的计算机网络监控办法

  3.1、 Wireshark的主要功用

  Wireshark是世界上最权威的network协议剖析仪。它允许在微观层面上查看网络上发作的状况。它是许多行业和机构事实上的规范。固然Wireshark不是IDS或IPS,但它可视为入侵检测。每个专家信息将包含以下内容,chat(灰色):有关常见工作流的信息,例如带有SYN标志集的TCP数据包;留意(青色):值得留意的事情,例如应用程序返回了"常规"错误代码,如HTTP 404;正告(黄色):正告例如,应用程序返回了"异常"错误代码,如衔接问题;错误(红色):严重问题,例如"格式错误数据包"。在TCP衔接应包含SYN、SYN_ACK和ACK音讯序列的Wireshark的chat局部中,能够停止入侵检测。经过chat局部的剖析,能够辨认DDOS攻击及其来源IP。经过运用防火墙ACL规则存在于Wireshark防火墙能够应用于任何IP地址,希望回绝/允许来自该特定IP地址的数据包,也经过运用Wireshark显现两个或多个不同IP之间的通讯。假如TCP流图中只要SYN音讯运用各种端口号从客户端传输到效劳器,并且在两个IP之间没有传输任何其他音讯均值(SYN_ACK和ACK),在此根底上,能够说未树立衔接和攻击。另一个是经过剖析会话局部入侵停止辨认。网络会话是两个特定终结点之间的流量。IP会话是两个IP地址之间的一切流量。Wireshark是一种开放且十分常用的网络数据包剖析器工具,用于捕获流经网络的数据包,并以用易于了解的方式呈现它们。

  3.2、 Wireshark的网络监控办法

  Wireshark有一个相关规则,能够依据用户指令停止配置或编辑。默许规则通知有关错误数据包、校验和错误以及网络中分类可能发作的其他常见数据包错误。Wireshark具有一些功用,能够协助入侵检测。除此之外,还有一个专家信息在Wireshark,它通知格式错误的数据包和数据包的严重性与数据包号码。检测能够经过其他方式完成,例如图形剖析,能够在其中找到与哪个IP通讯。这也能够经过会话来检测在两个系统之间传输的数据包和字节的数量。

  Wireshark是一种十分多用的网络数据包剖析器工具,用于捕获流经在线网络的数据包,并以易于了解的方式呈现它们。Wireshark能够在不同状况下运用,例如平安操作和学习网络协议。

  4、 结论

  IDS和IPS的主要作用是维护网络平安参数。不可能树立完整平安的系统,但是,经过部署IDS和IPS,能够维护系统或网络到达一定或最大的限制。进步网络和系统的平安性。同样,IDS和IPS与其他网络设备(如路由器、防火墙、蜜罐、SIEM)的集成也能够进步效率。IDS和IPS关于维护SCADA(监控和数据采集)系统十分有用。在基于行为的检测中存在一些主要问题,即基于行为的检测和检测攻击,虽然在网络外围部署IDS和IPS能够缓解这种攻击。另外社会工程攻击也是一个主要问题,也能够经过提供其它恰当的办法来缓解。

  这是一个技术时期,技术在人类生活中扮演着主要角色,对技术的依赖与日增。技术是双刃剑,一方面人们享用着远程通讯、家庭商店、网上银行、电子教育、电子票务等效劳,而另一方面则有人正在运用技术停止错误或未经受权的访问。所以维护技术以及网络通讯系统的技术是十分重要的。

  Wireshark和Snort是网络监控的有效工具。网络监控经过Wireshark对入侵检测十分有用,防火墙ACL规则可用于入侵防护,相关规则和专家信息在入侵检测中能够发挥重要作用。其中Snort工具也是一种强大的入侵检测和防御系统,能够依据请求调整平安战略。