Daniel-Hartman-2005/Detecting-DOS-attack-using-Snort-as-Network-Intrusion-Detection-System-NIDS-in-a-virtual-Lab
GitHub: Daniel-Hartman-2005/Detecting-DOS-attack-using-Snort-as-Network-Intrusion-Detection-System-NIDS-in-a-virtual-Lab
这是一个在虚拟实验室中利用 Snort 部署网络入侵检测系统以模拟和检测拒绝服务攻击的教学项目。
Stars: 0 | Forks: 0
# 在虚拟实验室中使用 Snort 作为网络入侵检测系统 (NIDS) 检测 DoS 攻击
开发了一个虚拟实验室,使用 Snort 作为网络入侵检测系统 (NIDS) 来模拟和检测 DoS 攻击。配置了自定义规则以识别来自攻击者机器的 ICMP 和 SYN 洪泛攻击,并通过命令行界面分析实时警报。
## 免责声明
本项目严格在受控实验室环境中进行,仅供教育目的使用。
## 实验室环境
- 攻击者机器:Kali Linux
- 目标机器:Metasploitable2
- 工具:Snort
- 网络类型:隔离 / 仅主机网络
## 分析流程
1. 实验室搭建
此图展示了用于虚拟渗透测试实验室的网络设置。在左侧,一台 Kali Linux 机器被配置为攻击者,IP 地址为 192.168.56.102,通过 ifconfig 命令进行了验证。在右侧,一台 Metasploitable2 机器被用作目标系统,IP 地址为 192.168.56.103,通过 ip a 命令进行了确认。 两台机器连接在同一个虚拟网络 (192.168.56.0/24) 中,允许攻击者和目标之间进行直接通信。此设置能够模拟各种攻击场景,例如 DoS (ICMP/SYN 洪泛)、漏洞扫描以及使用 Snort 等工具进行入侵检测测试。该环境是隔离的,非常适合用于网络安全实验和学习目的。 2. 来自攻击者的 Ping 洪泛
此图演示了从 Kali Linux 攻击者机器发起的针对 IP 地址为 192.168.56.103 的 Metasploitable2 系统的 ICMP 洪泛攻击,使用了 ping -f 命令。输出结果显示在短时间内传输了大量数据包,发送和接收了 6412 个数据包,表明在攻击过程中没有丢包。这种流量通过向目标发送连续的 ICMP 请求来使其不堪重负,从而模拟拒绝服务 场景,这可用于测试 Snort 等入侵检测系统在识别异常网络行为方面的有效性。 3. ICMP 洪泛检测
此图显示了 Snort 在虚拟实验室环境中成功检测到 ICMP 洪泛攻击。警报指示了源自攻击者机器 (192.168.56.102) 针对Metasploitable2 系统 (192.168.56.103) 的重复 ICMP 流量。每条警报都是基于自定义检测规则触发的,该规则可在短时间内识别大量 ICMP 数据包,并将此活动归类为潜在的拒绝服务 攻击。这演示了 Snort 作为网络入侵检测系统 (NIDS) 如何实时监控网络流量并对异常行为生成警报,从而帮助识别和响应潜在威胁。 4. 来自攻击者的 SYN 洪泛
此图演示了从 Kali Linux 攻击者机器发起的、使用 hping3 工具针对 Metasploitable2 系统 80 端口的 SYN 洪泛攻击。该命令在洪泛模式下发送了大量 TCP SYN 数据包,如传输的数据包数量庞大 (998,989) 所示,且未收到目标的任何响应,导致 100% 丢包。这种行为通过向目标服务器发送大量连接请求使其不堪重负,从而阻止其响应合法流量,模拟了一次拒绝服务 攻击。此场景用于评估 Snort 等入侵检测机制在识别 SYN 洪泛攻击方面的有效性。 5. SYN 洪泛检测
此图显示了 Snort 检测到针对 Metasploitable2 系统 80 端口的 SYN 洪泛攻击。警报指示了源自攻击者机器 (192.168.56.102) 使用不同源端口的重复 TCP 连接尝试,这是 SYN 洪泛攻击的典型特征。每条警报均由自定义的 Snort 规则触发,该规则可在短时间内识别过多的 SYN 数据包,并将此活动归类为潜在的拒绝服务 攻击。这展示了 Snort 作为网络入侵检测系统 (NIDS) 实时监控 TCP 流量并对异常连接模式生成警报的能力。
此图展示了用于虚拟渗透测试实验室的网络设置。在左侧,一台 Kali Linux 机器被配置为攻击者,IP 地址为 192.168.56.102,通过 ifconfig 命令进行了验证。在右侧,一台 Metasploitable2 机器被用作目标系统,IP 地址为 192.168.56.103,通过 ip a 命令进行了确认。 两台机器连接在同一个虚拟网络 (192.168.56.0/24) 中,允许攻击者和目标之间进行直接通信。此设置能够模拟各种攻击场景,例如 DoS (ICMP/SYN 洪泛)、漏洞扫描以及使用 Snort 等工具进行入侵检测测试。该环境是隔离的,非常适合用于网络安全实验和学习目的。 2. 来自攻击者的 Ping 洪泛
此图演示了从 Kali Linux 攻击者机器发起的针对 IP 地址为 192.168.56.103 的 Metasploitable2 系统的 ICMP 洪泛攻击,使用了 ping -f 命令。输出结果显示在短时间内传输了大量数据包,发送和接收了 6412 个数据包,表明在攻击过程中没有丢包。这种流量通过向目标发送连续的 ICMP 请求来使其不堪重负,从而模拟拒绝服务 场景,这可用于测试 Snort 等入侵检测系统在识别异常网络行为方面的有效性。 3. ICMP 洪泛检测
此图显示了 Snort 在虚拟实验室环境中成功检测到 ICMP 洪泛攻击。警报指示了源自攻击者机器 (192.168.56.102) 针对Metasploitable2 系统 (192.168.56.103) 的重复 ICMP 流量。每条警报都是基于自定义检测规则触发的,该规则可在短时间内识别大量 ICMP 数据包,并将此活动归类为潜在的拒绝服务 攻击。这演示了 Snort 作为网络入侵检测系统 (NIDS) 如何实时监控网络流量并对异常行为生成警报,从而帮助识别和响应潜在威胁。 4. 来自攻击者的 SYN 洪泛
此图演示了从 Kali Linux 攻击者机器发起的、使用 hping3 工具针对 Metasploitable2 系统 80 端口的 SYN 洪泛攻击。该命令在洪泛模式下发送了大量 TCP SYN 数据包,如传输的数据包数量庞大 (998,989) 所示,且未收到目标的任何响应,导致 100% 丢包。这种行为通过向目标服务器发送大量连接请求使其不堪重负,从而阻止其响应合法流量,模拟了一次拒绝服务 攻击。此场景用于评估 Snort 等入侵检测机制在识别 SYN 洪泛攻击方面的有效性。 5. SYN 洪泛检测
此图显示了 Snort 检测到针对 Metasploitable2 系统 80 端口的 SYN 洪泛攻击。警报指示了源自攻击者机器 (192.168.56.102) 使用不同源端口的重复 TCP 连接尝试,这是 SYN 洪泛攻击的典型特征。每条警报均由自定义的 Snort 规则触发,该规则可在短时间内识别过多的 SYN 数据包,并将此活动归类为潜在的拒绝服务 攻击。这展示了 Snort 作为网络入侵检测系统 (NIDS) 实时监控 TCP 流量并对异常连接模式生成警报的能力。
标签:DoS攻击检测, ICMP泛洪, Metasploitable2, NIDS, SYN泛洪, 入侵检测系统, 命令行界面, 安全数据湖, 安全规则配置, 容器化, 拒绝服务攻击, 教育项目, 网络安全, 网络安全实验, 虚拟靶场, 隐私保护