Scribd Logo
Upload

Welcome to Scribd!

  • NSM - Bài TH C Hành 2

    Uploaded by

    Huy Tran
    22 views7 pages

    Original Title

    NSM_Bài thực hành 2

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    22 views7 pages

    NSM - Bài TH C Hành 2

    Uploaded by

    Huy Tran

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 7

    1 Mục tiêu

    - Tìm hiểu công cụ Zeek (trước đây là Bro).


    - Tìm hiểu và thực hành Zeek Scripting
    - Tìm hiểu và thực hành Zeek Signatures
    2 Nội dung thực hành
    2.1 Tìm hiểu lý thuyết
    o Tìm hiểu công cụ Zeek (Trước đây là Bro)
    o Công cụ hướng sự kiện
    ▪ Quản lý trạng thái
    ▪ Phân tích tầng giao vận
    ▪ Phân tích tầng ứng dụng
    ▪ Kiến trúc của Zeek
    o Trình thông dịch kịch bản
    o Các bộ phân tích của Zeek
    o Chữ ký
    o ZeekControl
    o Một số tài liệu tham khảo
    o https://docs.zeek.org/en/master/
    o https://docs.zeek.org/en/current/examples/scripting/
    o https://docs.zeek.org/en/current/frameworks/signatures.html
    o ZEEK INTRUSION DETECTION LAB SERIES, University of South
    California
    2.2Chuẩn bị môi trường
    o Tải máy ảo đã cài sẵn công cụ Zeek tại link sau và mở bằng công cụ hỗ trợ ảo
    hóa:https://drive.google.com/file/d/1GfE8zIS-
    nU6zWqkNzquINgjdkojn6TEB/view?usp=sharing
    o Tài khoản và mật khẩu tương ứng là Admin/password.
    o Trước khi thực hành, sinh viên đổi tên máy thành TenSV kèm theo 3 số cuối mã
    sinh viên. Giả sử SV tên Ninh Thị Thu Trang, Mã SV AT1010 thì tên tài khoản
    là Trang010.
    hostnamectl set-hostname Trang010
    o Sinh viên chạy tcpdump với quyền root để bắt gói tin và lưu dữ liệu vào file pcap
    được đặt tên giống như tên máy bên trên. Sau đó di chuyển file đến thư mục Zeek-
    Labs/Sample-PCAP
    2.3Các bước thực hiện và kết quả cần đạt
    2.3.1 Phân tích log file sử dụng Zeek Scripting

    a) Các bước thực hiện

    o Khởi chạy zeekctl


    cd $ZEEK_INSTALL/bin && sudo ./zeekctl start

    o Phân tích lưu lượng UDP với Zeek Script:


    ✓ Di chuyển đến thư mục Zeek-Labs/Labs-scripts. Tại đây mở file
    lab6_sec2-2.zeek để xem nội dung:

    ✓ Di chuyển đến thư mục Zeek-Labs/UDP-Traffics và thực hiện câu


    lệnh sau rồi chụp màn hình kết quả sau khi thực hiện lệnh
    zeek –C –r ../Sample-PCAP/Ten_MaSV.pcap ../Lab-
    Scripts/ lab6_sec2-2.zeek

    o Phân tích lưu lượng TCP với Zeek Script:


    ✓ Mở file lab6_sec2-3.zeek để xem nội dung:

    ✓ Thực hiện câu lệnh sau rồi chụp màn hình kết quả sau khi thực hiện
    lệnh:
    zeek –C –r ../Sample-PCAP/Ten_MaSV.pcap ../Lab-
    Scripts/ lab6_sec2-3.zeek

    o Đổi tên file conn.log thành UpdatedConn.log


    ✓ Mở file lab6_sec3-1.zeek để xem script
    nl ../Lab-Scripts/lab6_sec3-1.zeek
    ✓ Thực hiện phân tích file Ten_MaSV.pcap sử dụng script trong file
    lab6_sec3-1.zeek
    zeek –C –r ../Sample-PCAP/Ten_MaSV.pcap ../Lab-
    Scripts/ lab6_sec3-1.zeek

    ✓ Kiểm tra file UpdatedConn.log đã tạo được.

    o Cập nhật file conn.log


    ✓ Mở file lab6_sec3-2.zeek để xem script
    nl ../Lab-Scripts/lab6_sec3-2.zeek

    ✓ Thực hiện phân tích file Ten_MaSV.pcap sử dụng script trong file
    lab6_sec3-2.zeek
    zeek –C –r ../Sample-PCAP/Ten_MaSV.pcap ../Lab-
    Scripts/ lab6_sec3-2.zeek
    ✓ Mở file conn-http.log để xem kết quả:

    o Kết thúc thực hiện bằng cách dừng zeekctl theo câu lệnh sau:
    cd $ZEEK_INSTALL/bin && sudo ./zeekctl stop

    b) Kết quả cần đạt được

    - Chụp ảnh minh chứng màn hình từng bước thực hiện, tên máy/tài khoản/tên
    file thể hiện được tên và mã SV.

    - Tìm hiểu và giải thích các dòng lệnh/sự kiện trong các file lab6_sec2-2.zeek,
    lab6_sec2-3.zeek, lab6_sec3-1.zeek, lab6_sec3-2.zeek. Phần giải thích trình
    bày ngay bên dưới hình ảnh mở các file.

    2.3.2 Phân tích log file sử dụng Zeek Signatures

    a) Các bước thực hiện


    o Khởi chạy zeekctl
    o Di chuyển đến thư mục /Zeek-Labs/Lab-Scripts/
    o Mở file lab7_sec2-2.sig để xem nội dung. Tìm hiểu và giải thích ý nghĩa các câu
    lệnh trong file này.
    o Phân tích lưu lượng từ một file pcap và chữ ký Zeek
    ✓ Di chuyển đến thư mục TCP-Traffic
    ✓ Thực hiện câu lệnh sau:
    zeek –r ../Sample-PCAP/Ten_MaSV.pcap –s ../Lab-
    Scripts/lab7_sec2-2.sig

    ✓ Mở file signature.log để xem:


    gedit signatures.log

    o Thực thi chữ ký Zeek cho phân tích lưu lượng mạng
    ✓ Mở file lab7_sec3-1.sig trong thư mục Lab-Scripts để xem nội dung. Tìm
    hiểu và giải thích ý nghĩa các câu lệnh trong file này.

    ✓ Thực hiện 2 câu lệnh sau và chụp lại màn hình kết quả:

    b) Kết quả cần đạt được

    - Chụp ảnh minh chứng

    - Chụp ảnh minh chứng màn hình từng bước thực hiện, tên máy/tài khoản/tên
    file thể hiện được tên và mã SV.

    3 Các yêu cầu với báo cáo bài thực hành


    Báo cáo bài thực hành cần có đầy đủ các nội dung/thành phần sau:
    • Trang bìa (ghi rõ môn học, bài thực hành, mã sv và họ và tên.
    • Trình bày các nội dung lý thuyết đã tìm hiểu được trong mục 2.1.
    • Các nội dung thực hành cần kèm ảnh minh chứng theo thứ tự thực hiện các bước.

    You might also like