Til denne tutorial er det netværk, vi bruger,: 10.0.0.0/24. Rediger din / etc / snort / snort.conf-fil og og udskift "enhver" ud for $ HOME_NET med dine netværksoplysninger som vist i eksemplet på skærmbilledet nedenfor:
Alternativt kan du også definere specifikke IP-adresser, der skal overvåges adskilt med komma mellem [] som vist i dette skærmbillede:
Lad os nu komme i gang og køre denne kommando på kommandolinjen:
# snort -d -l / var / log / snort / -h 10.0.0.0/24 -En konsol -c / etc / snort / snort.konfHvor:
d = fortæller snort at vise data
l = bestemmer logbiblioteket
h = specificerer det netværk, der skal overvåges
A = instruerer snort til at udskrive alarmer i konsollen
c = specificerer Snort konfigurationsfilen
Lad os starte en hurtig scanning fra en anden enhed ved hjælp af nmap:
Og lad os se, hvad der sker i fnysekonsollen:
Snort opdagede scanningen, nu, også fra en anden enhed lader angribe med DoS ved hjælp af hping3
# hping3 -c 10000 -d 120 -S -w 64 -p 21 - oversvømmelse --rand-source 10.0.0.3
Enheden, der viser Snort, registrerer dårlig trafik som vist her:
Da vi instruerede Snort om at gemme logfiler, kan vi læse dem ved at køre:
# snort -rIntroduktion til snortregler
Snorts NIDS-tilstand fungerer baseret på regler, der er specificeret i / etc / snort / snort.conf-fil.
Inden for fnysen.conf-fil kan vi finde kommentarer og ikke-kommenterede regler, som du kan se nedenfor:
Regelstien er normalt / etc / snort / regler, der kan vi finde reglerne filer:
Lad os se reglerne mod bagdøre:
Der er flere regler for at forhindre bagdørangreb, overraskende er der en regel mod NetBus, en trojansk hest, der blev populær for et par årtier siden, lad os se på den, og jeg vil forklare dens dele, og hvordan den fungerer:
alarm tcp $ HOME_NET 20034 -> $ EXTERNAL_NET enhver (msg: "BACKDOOR NetBus Pro 2.0 forbindelseetableret "; flow: fra_server, etableret;
flowbits: isset, bagdør.netbus_2.Opret forbindelse; indhold: "BN | 10 00 02 00 |"; dybde: 6; indhold: "|
05 00 | "; dybde: 2; forskydning: 8; classtype: misc-aktivitet; sid: 115; rev: 9;)
Denne regel instruerer snort til at advare om TCP-forbindelser på port 20034, der transmitterer til enhver kilde i et eksternt netværk.
-> = specificerer trafikretningen, i dette tilfælde fra vores beskyttede netværk til et eksternt
msg = Beder alarmen om at inkludere en bestemt besked, når den vises
indhold = søg efter specifikt indhold i pakken. Det kan omfatte tekst, hvis det er mellem ““ eller binære data, hvis mellem | |
dybde = Analyseintensitet, i ovenstående regel ser vi to forskellige parametre for to forskellige indhold
forskudt = fortæller Snort startbyten for hver pakke for at begynde at søge efter indholdet
classtype = fortæller, hvilken slags angreb Snort advarer om
sid: 115 = regel-id
Oprettelse af vores egen regel
Nu opretter vi en ny regel, der skal meddeles om indgående SSH-forbindelser. Åben / etc / snort / regler / yourrule.regler, og indsæt følgende tekst indeni:
alarm tcp $ EXTERNAL_NET any -> $ HOME_NET 22 (msg: "SSH indkommende";flow: statsløs; flag: S +; sid: 100006927; rev: 1;)
Vi beder Snort om at advare om enhver tcp-forbindelse fra en hvilken som helst ekstern kilde til vores ssh-port (i dette tilfælde standardporten) inklusive tekstmeddelelsen “SSH INCOMING”, hvor statsløs beder Snort om at ignorere forbindelsens tilstand.
Nu skal vi tilføje den regel, vi oprettede, til vores / etc / snort / snort.konf fil. Åbn konfigurationsfilen i en editor og søg efter # 7, hvilket er afsnittet med regler. Tilføj en ukommenteret regel som på billedet ovenfor ved at tilføje:
inkluderer $ RULE_PATH / yourrule.reglerI stedet for “yourrule.regler ”, indstil dit filnavn, i mit tilfælde var det test3.regler.
Når det er gjort, skal du køre Snort igen og se hvad der sker.
#snort -d -l / var / log / snort / -h 10.0.0.0/24 -En konsol -c / etc / snort / snort.konfssh til din enhed fra en anden enhed og se hvad der sker:
Du kan se, at SSH indgående blev registreret.
Med denne lektion håber jeg, du ved, hvordan man laver grundlæggende regler og bruger dem til at opdage aktivitet på et system. Se også en tutorial om, hvordan Setup Snort og begynder at bruge det, og den samme tutorial tilgængelig på spansk på Linux.lat.