工业控制第五章-任务

搭建与应用工控系统入侵检测环境ICSSecurity&Protection任务1：搭建工控系统入侵检测环境01任务2：使用IDS检测针对工控系统的攻击02目录Contents01任务1：搭建工控系统入侵检测环境ICSSecurity&Protection软件下载流程在官网下载Npcap和Snort，注意选择对应操作系统版本，下载后依次安装。Snort系统概述Snort是开源网络入侵检测系统，能实时分析流量，识别多种攻击行为并预警或阻止。Npcap工具介绍Npcap是WinPcap改进版，用于捕获网络数据包，是Snort运行的基础，需先于Snort安装。软件准备下载安装Snort，安装后需修改配置文件，调整路径等参数以适配Windows系统。02在Snort官网注册登录后下载规则集，解压后将规则文件复制到指定目录。03下载安装Npcap，安装过程简单，完成后为Snort捕获数据包做好准备。01安装与配置Npcap安装与配置Snort下载与配置规则集环境搭建步骤0203对比修改Snort配置文件，调整路径、日志路径、库路径等，确保无误。配置文件修改执行命令查看网卡信息，选择host-only网卡进行监听，确保数据包能被正确捕获。网卡选择与监听执行监听命令，观察数据包捕获情况，确认Snort能正常运行并监听网络。Snort运行与监听01系统运行测试0301Snort配置文件修改修改路径，把路径改到Snort的安装目录下面，so_rules暂时用不到可以直接注释掉。0301Snort配置文件修改修改日志路径。0301Snort配置文件修改修改需要的库的路径。动态规则暂时用不到，可以直接注释掉。0301Snort配置文件修改预处理器这块也暂时不需要，可以注释掉。0301Snort配置文件修改最后在包含指定规则部分，把路径里的斜杆改成反斜杠。02任务2：使用IDS检测针对工控系统的攻击ICSSecurity&Protection任务概述配置并运行Snort对Kali的入侵行为进行检测。Modbus主从站模拟器运行在IP为192.168.56.102的机器上模拟工控系统。Kali运行在虚拟机中，IP地址192.168.56.104。Snort部署在102上。如图5-17所示。Kali发起攻击，Snort会检测到入侵行为，并将其记录到告警日志中。010203网络架构搭建Modbus主从站模拟器运行在192.168.56.102，Kali运行在虚拟机192.168.56.104，Snort部署在102上。Snort规则配置在local.rule文件中添加规则，配置告警条件，确保能检测到特定攻击行为。系统启动与运行启动Snort、Modbus模拟器，确保各系统正常运行，为攻击检测做好准备。环境部署与配置0301配置Snort规则Snort的规则文件会存放在“C:\snort\rules”目录下面。我们需要配置local.rule。打开local.rule文件，添加一行规则：“alerttcpanyany->any502(msg:"modbusattack";sid:1)”规则中关键字意义如下："alert"表示如果包与条件匹配，就产生一个告警信息。"tcp"表示Snort检测IP头部协议是tcp的包。第一个"any"表示IP头部源地址可以是任何地址。第二个"any"表示IP头部源端口号可以是任何端口。第三个"any"表示IP头部目的地址是任何地址。“502”表示IP头部目的端口号是502。最后一部分是规则的选项。msg表示告警的消息内容。sid表示规则编号。所以，这条规则的意思是如果有设备从任何地址任何端口通过tcp连接到本网络任何地址的502端口就告警。0301启动Snort监听在命令行窗口执行命令“snort-dev-cc:\snort\etc\snort.conf-i9-lc:\snort\log\”。Kali攻击执行在Kali上执行攻击脚本，模拟对Modbus从站的攻击行为，观察执行结果。日志分析与总结分析日志内容，总结攻击特征和检测结果，为后续安全防护提供参考。查看Snort日志文件，确认攻击行为被检测并记录，验证入侵检测系统的有效性。Snort日志查看攻击检测与日志分析0301启动kali攻击在Kali上的执行命令“pythonattack_modbus.py”。我们发现attach_modbus.py脚本能正常执行，输出的结果也是和预期相同，这说明Kali已经连接到Modbus从站，并且修改了寄存器的值。这也说明入侵检测系统只是抓取网络中数据包的副本来进行分析和入侵检测，它并不会对发生的入侵行为进行阻止。0301查看Snort日志在目录C:\snort\log里面打开alert.ids文件，我们可以看到有下面的日志。10/06-21:33:31.267750[**][1:1:10]modbusattack[**][Priority:0]{TCP}192.168.56.104:49812->192.168.56.102:502这条日志是说有设备从192.168.56