Snøfte

Intrusion Detection with Snort Tutorial

Intrusion Detection with Snort Tutorial
Den generelle tanke er, at hvis en firewall beskytter ens netværk, betragtes netværket som sikkert. Det er dog ikke helt sandt. Firewalls er en grundlæggende komponent i et netværk, men de kan ikke fuldt ud beskytte netværket mod tvangsindgange eller fjendtlig hensigt. Indtrængningsdetekteringssystemer bruges til at evaluere aggressive eller uventede pakker og generere en alarm, før disse programmer kan skade netværket. Et værtsbaseret indtrængningsregistreringssystem kører på alle enheder i et netværk eller opretter forbindelse til en organisations interne netværk. Et netværksbaseret indtrængningsdetektionssystem er i stedet implementeret på et bestemt punkt eller en gruppe af punkter, hvorfra al indgående og udgående trafik kan overvåges. En fordel ved et værtsbaseret indtrængningsdetektionssystem er, at det også kan registrere uregelmæssigheder eller ondsindet trafik, der genereres fra selve værten, dvs.e., hvis værten er påvirket af malware osv. Intrusion Detection Systems (IDS) arbejde ved at overvåge og analysere netværkstrafik og sammenligne den med et etableret regelsæt, bestemme hvad der skal tages som normalt for netværket (i.e., til porte, båndbredder osv.) og hvad man skal se nærmere på.

Et indtrængningsregistreringssystem kan implementeres afhængigt af størrelsen på netværket. Der er snesevis af kommercielle IDS'er af høj kvalitet, men mange virksomheder og små virksomheder har ikke råd til dem. Snøfte er et fleksibelt, letvægts og populært indtrængningsdetekteringssystem, der kan implementeres i henhold til behovene i netværket, lige fra små til store netværk, og giver alle funktionerne i et betalt IDS. Snøfte koster ikke noget, men det betyder ikke, at det ikke kan give de samme funktioner som en elite, kommerciel IDS. Snøfte betragtes som et passivt IDS, hvilket betyder, at det snuser netværkspakker, sammenlignes med regelsættet og i tilfælde af detektering af en ondsindet log eller post (i.e., registrere et indbrud), genererer en alarm eller placerer en post i en logfil. Snøfte bruges til overvågning af operationer og aktiviteter for routere, firewalls og servere. Snort giver en brugervenlig grænseflade, der indeholder en kæde af regelsæt, der kan være meget nyttigt for en person, der ikke er bekendt med IDS. Snort genererer en alarm i tilfælde af et indbrud (bufferoverløbsangreb, DNS-forgiftning, OS-fingeraftryk, portscanning og meget mere), hvilket giver en organisation større synlighed af netværkstrafikken og gør det meget nemmere at overholde sikkerhedsregler.

Installation af Snort

Før du installerer Snort, er der nogle open source-software eller pakker, som du først skal installere for at få det bedste ud af dette program.

[e-mail-beskyttet]: ~ $ wget http: // www.tcpdump.org / release / libpcap-1.9.1.tjære.gz
[e-mail-beskyttet]: ~ $ tar -xzvf libpcap-
[e-mail-beskyttet]: ~ $ cd libpcap-
[e-mail-beskyttet]: ~ $ ./ konfigurer
[e-mail beskyttet]: ~ $ sudo make
[e-mail-beskyttet]: ~ $ foretag installation
  • OpenSSH: Et sikkert tilslutningsværktøj, der giver en sikker kanal, selv over et usikkert netværk, der kan logge på via ssh protokol. OpenSSH bruges til at oprette forbindelse til systemer eksternt med administratorrettigheder. OpenSSH kan installeres ved hjælp af følgende kommandoer:
[e-mail-beskyttet]: ~ $ wget http: // ftp.openbsd.org / pub / OpenBSD / OpenSSH /
bærbar / openssh-8.3p1.tjære.gz
[e-mail-beskyttet]: ~ $ tar xzvf openssh-
[e-mailbeskyttet]: ~ $ cd openssh-
[e-mail-beskyttet]: ~ $ ./ konfigurer
[email protected]: ~ $ sudo foretager installation
  • MySQL: Den mest populære gratis og open source SQL database. MySQL bruges til at gemme alarmerede data fra Snort. SQL-biblioteker bruges af eksterne maskiner til at kommunikere og få adgang til den database, hvor Snort-logposter er gemt. MySQL kan installeres ved hjælp af følgende kommando:
[e-mail-beskyttet]: ~ $ sudo apt-get install mysql
  • Apache-webserver: Den mest brugte webserver på internettet. Apache bruges til at vise analysekonsollen via webserveren. Det kan downloades fra den officielle hjemmeside her: http: // httpd.apache.org /, eller ved hjælp af følgende kommando:
[e-mail-beskyttet]: ~ $ sudo apt-get installer apache2
  • PHP: PHP er et skriptsprog, der bruges i webudvikling. En PHP-parsingmotor er påkrævet for at køre analysekonsollen. Det kan downloades fra det officielle websted: https: // www.php.net / downloads.php, eller ved hjælp af følgende kommandoer:
[e-mailbeskyttet]: ~ $ wget https: // www.php.net / distributioner / php-7.4.9.tjære.bz2
[e-mail-beskyttet]: ~ $ tar -xvf php-.tjære
[e-mail-beskyttet]: ~ $ cd php-
[e-mail beskyttet]: ~ $ sudo make
[email protected]: ~ $ sudo foretager installation
  • OpenSSL: Bruges til at sikre kommunikation over netværket uden at bekymre sig om tredjeparts hentning eller overvågning af de sendte og modtagne data. OpenSSL giver kryptografisk funktionalitet til webserveren. Det kan downloades fra det officielle websted: https: // www.openssl.org /.
  • Stunnel: Et program, der bruges til at kryptere den vilkårlige netværkstrafik eller forbindelser inde i SSL, og som fungerer ved siden af OpenSSL. Stunnel kan downloades fra dets officielle hjemmeside: https: // www.stunnel.org /, eller det kan installeres ved hjælp af følgende kommandoer:
[e-mailbeskyttet]: ~ $ wget https: // www.stunnel.org / downloads / stunnel-5.56-android.lynlås
[e-mail beskyttet]: ~ $ tar xzvf stunnel-
[e-mail-beskyttet]: ~ $ cd-stunnel-
[e-mail-beskyttet]: ~ $ ./ konfigurer
[email protected]: ~ $ sudo foretager installation
  • SYRE: En forkortelse for Analysekontrol til detektion af indtrængen. ACID er en forespørgselsstøttet søgegrænseflade, der bruges til at finde matchende IP-adresser, mønstre, en bestemt kommando, en nyttelast, signaturer, specifikke porte osv., fra alle loggede alarmer. Det giver dybdegående funktionalitet af pakkeanalyse, hvilket muliggør identifikation af, hvad nøjagtigt angriberen forsøgte at opnå, og hvilken type nyttelast, der blev brugt i angrebet. SYRE kan downloades fra dets officielle hjemmeside: https: // www.sei.cmu.edu / om / divisioner / cert / indeks.cfm.

Nu hvor alle de nødvendige basispakker er installeret, Snøfte kan downloades fra det officielle websted, snøfte.org, og kan installeres ved hjælp af følgende kommandoer:

[e-mailbeskyttet]: ~ $ wget https: // www.snøfte.org / downloads / snort / snort-2.9.16.1.tjære.gz
[e-mail-beskyttet]: ~ $ tar xvzf snort-
[e-mailbeskyttet]: ~ $ cd snort-
[e-mail-beskyttet]: ~ $ ./ konfigurer
[e-mail-beskyttet]: ~ $ sudo make && --enable-source-fire
[email protected]: ~ $ sudo foretager installation

Kør derefter følgende kommando for at kontrollere, om Snort er installeret, og den version af Snort, du bruger:

[e-mail-beskyttet]: ~ $ snort --
,,_ - *> Snort! <*-
o ") ~ Versionsnummer"
Ophavsret (C) 1998-2013 Sourcefire, Inc., et al.
Brug af libpcap version 1.8.1
Brug af PCRE-version: 8.39 14. juni 2016
Brug af ZLIB-version: 1.2.11

Efter installationen er vellykket, skulle følgende filer være oprettet på systemet:

/ usr / bin / snort: Dette er Snorts binære eksekverbare.

/ usr / share / doc / snort: Indeholder Snort-dokumentationen og manpages.

/ etc / snort: Indeholder alle regelsæt for Snøfte og det er også dens konfigurationsfil.

Brug af Snort

For at bruge Snort skal du først konfigurere Home_Net værdi, og giv den værdien af ​​IP-adressen på det netværk, du beskytter. Netværks IP-adresse kan fås ved hjælp af følgende kommando:

[e-mail-beskyttet]: ~ $ ifconfig

Kopier værdien af. Fra resultaterne inet-adresse af det ønskede netværk. Åbn nu Snort-konfigurationsfilen / etc / snort / snort.konf ved hjælp af følgende kommando:

[e-mail-beskyttet]: ~ $ sudo vim / etc / snort / snort.konf

Du vil se en output som denne:

Find linjen “Ipvar HOME_NET.” Foran ipvar HOME_NET, skriv den IP-adresse, der er kopieret før, og gem filen. Inden du kører Snøfte, en anden ting du skal gøre er at køre netværket i promiskuøs tilstand. Du kan gøre det ved hjælp af følgende kommando:

[e-mail-beskyttet]: ~ $ / sbin / ifconfig - -promisc

Nu er du klar til at køre Snøfte. Brug følgende kommando for at kontrollere dens status og teste konfigurationsfilen:

[e-mail-beskyttet]: ~ $ sudo snort -T -i -c / etc / snort / snort.konf
4150 Snort-regler læses
3476 regler for afsløring
0 dekoderregler
0 præprocessorregler
3476 Optionskæder forbundet til 290 kædehoveder
0 Dynamiske regler
+++++++++++++++++++++++++++++++++++++++++++++++++++
+-------------------[Regelporttællinger]---------------------------------------
| tcp udp icmp ip
| src 151 18 0 0
| dst 3306 126 0 0
| enhver 383 48 145 22
| nc 27 8 94 20
| s + d 12 5 0 0
+----------------------------------------------------------------------------
+-----------------------[detektion-filter-konfiguration]------------------------------
| hukommelseshætte: 1048576 bytes
+-----------------------[registrering-filter-regler]-------------------------------
| ingen
-------------------------------------------------------------------------------
+-----------------------[rate-filter-config]-----------------------------------
| hukommelseshætte: 1048576 bytes
+-----------------------[rate-filter-rules]------------------------------------
| ingen
-------------------------------------------------------------------------------
+-----------------------[event-filter-config]----------------------------------
| hukommelseshætte: 1048576 bytes
+-----------------------[event-filter-global]----------------------------------
| ingen
+-----------------------[event-filter-local]-----------------------------------
| gen-id = 1 sig-id = 3273 type = Threshold tracking = src count = 5 seconds = 2
| gen-id = 1 sig-id = 2494 type = Begge tracking = første antal = 20 sekunder = 60
| gen-id = 1 sig-id = 3152 type = Threshold tracking = src count = 5 seconds = 2
| gen-id = 1 sig-id = 2923 type = Tærskelsporing = første antal = 10 sekunder = 60
| gen-id = 1 sig-id = 2496 type = Begge tracking = første antal = 20 sekunder = 60
| gen-id = 1 sig-id = 2275 type = Tærskelsporing = første antal = 5 sekunder = 60
| gen-id = 1 sig-id = 2495 type = Begge tracking = første antal = 20 sekunder = 60
| gen-id = 1 sig-id = 2523 type = Begge tracking = første antal = 10 sekunder = 10
| gen-id = 1 sig-id = 2924 type = Tærskelsporing = første antal = 10 sekunder = 60
| gen-id = 1 sig-id = 1991 type = Grænsesporing = src count = 1 sekunder = 60
+-----------------------[undertrykkelse]------------------------------------------
| ingen
-------------------------------------------------------------------------------
Regel applikationsrækkefølge: aktivering-> dynamisk-> pass-> drop-> sdrop-> afvis-> alarm-> log
Bekræftelse af præprocessorkonfigurationer!
[Portbaseret mønster, der matcher hukommelse]
+- [Aho-Corasick-resume] -------------------------------------
| Opbevaringsformat: Fuld-Q
| Endelig automaton: DFA
| Alfabetstørrelse: 256 tegn
| Tilstandsstørrelse: Variabel (1,2,4 bytes)
| Forekomster: 215
| 1 byte stater: 204
| 2 byte stater: 11
| 4 byte stater: 0
| Tegn: 64982
| Stater: 32135
| Overgange: 872051
| Statstæthed: 10.6%
| Mønstre: 5055
| Match stater: 3855
| Hukommelse (MB): 17.00
| Mønstre: 0.51
| Matchlister: 1.02
| DFA
| 1 byte siger: 1.02
| 2 byte stater: 14.05
| 4 byte stater: 0.00
+----------------------------------------------------------------
[Antal mønstre afkortet til 20 bytes: 1039]
pcap DAQ konfigureret til passiv.
Henter netværkstrafik fra "wlxcc79cfd6acfc".
--== Initialisering fuldført ==--
,,_ - *> Snort! <*-
o ") ~ Versionsnummer
Ophavsret (C) 1998-2013 Sourcefire, Inc., et al.
Brug af libpcap version 1.8.1
Brug af PCRE-version: 8.39 14. juni 2016
Brug af ZLIB-version: 1.2.11
Regelmotor: SF_SNORT_DETECTION_ENGINE Version 2.4
Forprocessorobjekt: SF_IMAP version 1.0
Forprocessorobjekt: SF_FTPTELNET version 1.2
Forprocessorobjekt: SF_REPUTATION Version 1.1
Forprocessorobjekt: SF_SDF Version 1.1
Forprocessorobjekt: SF_SIP Version 1.1
Forprocessorobjekt: SF_SSH Version 1.1
Forprocessorobjekt: SF_GTP version 1.1
Forprocessorobjekt: SF_SSLPP Version 1.1
Forprocessorobjekt: SF_DCERPC2 Version 1.0
Forprocessorobjekt: SF_SMTP version 1.1
Forprocessorobjekt: SF_POP version 1.0
Forprocessorobjekt: SF_DNS version 1.1
Forprocessorobjekt: SF_DNP3 Version 1.1
Forprocessorobjekt: SF_MODBUS version 1.1
Snort validerede konfigurationen!
Snort spændende

Snort-regelsæt

Den største kraft i Snøfte ligger i dets regelsæt. Snort har evnen til at anvende et stort antal regelsæt til at overvåge netværkstrafik. I sin seneste version, Snøfte kommer med 73 forskellige typer og derover 4150 regler til detektering af uregelmæssigheder, der findes i mappen “/ Etc / snort / regler.”

Du kan se på typerne af regelsæt i Snort ved hjælp af følgende kommando:

[e-mail-beskyttet]: ~ $ ls / etc / snort / rles
angreb-svar.regler community-smtp.regler icmp.regler shellcode.regler
bagdør.regler community-sql-injektion.regler imap.regler smtp.regler
dårlig trafik.regler community-virus.regler info.regler snmp.regler
snak.regler community-web-angreb.regler lokale.regler sql.regler
community-bot.regler community-web-cgi.regler diverse.regler telnet.regler
community-slettet.regler community-web-client.regler multimedie.regler tftp.regler
samfund-doser.regler community-web-dos.regler mysql.styrer virus.regler
samfundsudnyttelse.regler community-web-iis.regler netbios.regler web-angreb.regler
community-ftp.regler community-web-misc.regler nntp.regler web-cgi.regler
community-spil.regler community-web-php.regler orakel.regler web-klient.regler
community-icmp.regler ddos.regler andre id'er.regler web-coldfusion.regler
community-imap.regler slettet.regler p2p.regler web-frontpage.regler
samfundsmæssigt upassende.regler dns.regler politik.regler web-iis.regler
community-mail-klient.regler dos.regler pop2.regler web-misc.regler
community-misc.regler eksperimentel.regler pop3.regler web-php.regler
community-nntp.regler udnytter.regler porno.regler x11.regler
community-oracle.regler finger.regler RPC.regler
samfundspolitik.regler ftp.regler rtjenester.regler
community-slurk.regler icmp-info.regler scan.regler

Som standard, når du kører Snøfte i indtrængningsdetektionssystemtilstand implementeres alle disse regler automatisk. Lad os nu teste ICMP regelsæt.

Brug først følgende kommando til at køre Snøfte i IDS mode:

[e-mail-beskyttet]: ~ $ sudo snort -En konsol -i
-c / etc / snort / snort.konf

Du vil se flere output på skærmen, hold det på den måde.

Nu vil du pinge IP-adressen på denne maskine fra en anden maskine ved hjælp af følgende kommando:

[e-mail-beskyttet]: ~ $ ping

Ping det fem til seks gange, og vend derefter tilbage til din maskine for at se, om Snort IDS registrerer det eller ej.

08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP-destination Uopnåelig fragmentering
Nødvendigt og DF-bit blev indstillet [**] [Klassifikation: Misc aktivitet] [Prioritet: 3]
ICMP ->
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP-destination Uopnåelig fragmentering
Nødvendig og DF-bit blev indstillet [**] [Klassifikation: Misc aktivitet] [Prioritet: 3]
ICMP ->
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Nødvendigt og DF-bit blev indstillet [**] [Klassifikation: Misc aktivitet] [Prioritet: 3]
ICMP -> adresse>
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Nødvendig og DF-bit blev indstillet [**] [Klassifikation: Misc aktivitet] [Prioritet: 3]
ICMP -> ip-adresse>
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Nødvendig og DF-bit blev indstillet [**] [Klassifikation: Misc aktivitet] [Prioritet: 3]
ICMP -> adresse>
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP-destination Uopnåelig fragmentering
Nødvendigt og DF-bit blev indstillet [**] [Klassifikation: Misc aktivitet] [Prioritet: 3]
ICMP -> adresse>

Her modtog vi en advarsel om, at nogen udfører en ping-scanning. Det forudsatte endda IP-adresse af angriberens maskine.

Nu vil vi gå til IP adresse på denne maskine i browseren. Vi ser ingen advarsel i dette tilfælde. Prøv at oprette forbindelse til ftp server på denne maskine, der bruger en anden maskine som angriberen:

[e-mail-beskyttet]: ~ $ ftp

Vi kan stadig ikke se nogen advarsel, fordi disse regelsæt ikke tilføjes i standardreglerne, og i disse tilfælde genereres der ingen advarsler. Dette er, når du skal oprette din egen regelsæt. Du kan oprette regler efter dine egne behov og tilføje dem i “/ Etc / snort / regler / local.regler ” fil, og derefter snøfte bruger automatisk disse regler, når de opdager uregelmæssigheder.

Oprettelse af en regel

Vi opretter nu en regel til detektering af en mistænkelig pakke sendt i havn 80 så der genereres en logalarm, når dette sker:

# alarm tcp any any -> $ HOME_NET 80 (msg: "HTTP-pakke fundet"; sid: 10000001; rev: 1;)

Der er to hoveddele af at skrive en regel, dvs.e., Regeloverskrift og indstillinger for regel. Følgende er en opdeling af den regel, vi netop har skrevet:

  • Header
  • Alert: Den handling, der er angivet, der skal udføres for at finde pakken, der matcher regelens beskrivelse. Der er flere andre handlinger, der kan specificeres i stedet for alarmen i henhold til brugerens behov, dvs.e., logge, afvise, aktivere, slippe, videregive, etc.
  • TCP: Her skal vi specificere protokollen. Der er flere typer protokoller, der kan specificeres, dvs.e., tcp, udp, icmp, etc., alt efter brugerens behov.
  • Nogen: Her kan kildens netværksgrænseflade specificeres. Hvis nogen er angivet, kontrollerer Snort for alle kildenetværk.
  • ->: Retningen; i dette tilfælde indstilles det fra kilde til destination.
  • $ HOME_NET: Det sted, hvor destinationen IP-adresse er specificeret. I dette tilfælde bruger vi den, der er konfigureret i / etc / snort / snort.konf fil i starten.
  • 80: Destinationsporten, hvor vi venter på en netværkspakke.
  • Muligheder:
  • Msg: Den advarsel, der skal genereres, eller beskeden, der skal vises i tilfælde af at der fanges en pakke. I dette tilfælde er det indstillet til “HTTP-pakke fundet.”
  • sid: Bruges til at identificere Snort-regler entydigt og systematisk. Den første 1000000 numre er reserveret, så du kan starte med 1000001.
  • Rev: Bruges til nem regelvedligeholdelse.

Vi tilføjer denne regel i “/ Etc / snort / regler / lokal.regler ” fil, og se om den kan registrere HTTP-anmodninger på port 80.

[email protected]: ~ $ echo “alarm tcp any any -> $ HOME_NET 80 (msg:" HTTP Packet
fundet "; sid: 10000001; rev: 1;)” >> / etc / snort / rules / local.regler

Vi er klar. Nu kan du åbne Snøfte i IDS tilstand ved hjælp af følgende kommando:

[e-mail beskyttet]: ~ $ sudo snort -A console -i wlxcc79cfd6acfc
-c / etc / snort / snort.konf

Naviger til IP-adresse fra denne maskine fra browseren.

Snøfte kan nu registrere enhver pakke sendt til port 80 og viser advarslen “HTTP-pakke fundet ” på skærmen, hvis dette sker.

08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] HTTP-pakke fundet [**]
[Prioritet: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] HTTP-pakke fundet [**]
[Prioritet: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] HTTP-pakke fundet [**]
[Prioritet: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] HTTP-pakke fundet [**]
[Prioritet: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] HTTP-pakke fundet [**]
[Prioritet: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] HTTP-pakke fundet [**]
[Prioritet: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] HTTP-pakke fundet [**]
[Prioritet: 0] TCP: 52008 -> 35.222.85.5:80

Vi opretter også en regel til detektion ftp login forsøg:

# alarm tcp any any -> any 21 (msg: "FTP-pakke fundet"; sid: 10000002;)

Føj denne regel til "lokal.regler ” fil ved hjælp af følgende kommando:

[e-mail beskyttet]: ~ $ echo “alarm tcp any any -> alert tcp any any -> any 21
(msg: "FTP-pakke fundet"; sid: 10000002; rev: 1;) ”>> / etc / snort / rules / local.regler

Prøv nu at logge ind fra en anden maskine og se på resultaterne af Snort-programmet.

08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) FTP-pakke fundet [**] [Prioritet: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) FTP-pakke fundet [**] [Prioritet: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) FTP-pakke fundet [**] [Prioritet: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) FTP-pakke fundet [**] [Prioritet: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) FTP-pakke fundet [**] [Prioritet: 0]
TCP: 52008 -> 35.222.85.5:21

Som set ovenfor modtog vi advarslen, hvilket betyder, at vi med succes har oprettet disse regler til detektering af uregelmæssigheder i havn 21 og havn 80.

Konklusion

Indtrængningsdetekteringssystemer synes godt om Snøfte bruges til overvågning af netværkstrafik til at opdage, hvornår et angreb udføres af en ondsindet bruger, før det kan skade eller påvirke netværket. Hvis en hacker udfører en portscanning på et netværk, kan angrebet detekteres sammen med antallet af forsøg, der er foretaget, angriberen IP adresse og andre detaljer. Snøfte bruges til at opdage alle typer af uregelmæssigheder, og det kommer med et stort antal regler, der allerede er konfigureret, sammen med muligheden for brugeren at skrive deres egne regler efter hans eller hendes behov. Afhængig af størrelsen på netværket, Snøfte kan let opsættes og bruges uden at bruge noget sammenlignet med andre betalte reklamer Indtrængningsdetekteringssystemer. De fangede pakker kan analyseres yderligere ved hjælp af en pakke sniffer, som Wireshark, til at analysere og nedbryde, hvad der foregik i angriberen under angrebet og de typer scanninger eller kommandoer, der blev udført. Snøfte er et gratis værktøj, open source og let at konfigurere, og det kan være et godt valg at beskytte ethvert mellemstort netværk mod angreb.

Mus Sådan vender du musens og touchpadsens rulle retning i Windows 10
Sådan vender du musens og touchpadsens rulle retning i Windows 10
Mus og Touchpads gør ikke kun computing let, men mere effektiv og mindre tidskrævende. Vi kan ikke forestille os et liv uden disse enheder, men det er...
Mus Sådan ændres musemarkør og markørstørrelse, farve og skema på Windows 10
Sådan ændres musemarkør og markørstørrelse, farve og skema på Windows 10
Musemarkøren og markøren i Windows 10 er meget vigtige aspekter af operativsystemet. Dette kan også siges om andre operativsystemer, så i sandhed er d...
Gratis og open source-spilmotorer til udvikling af Linux-spil
Denne artikel dækker en liste over gratis og open source-spilmotorer, der kan bruges til at udvikle 2D- og 3D-spil på Linux. Der er mange sådanne spil...