Snøfte

Snort-alarmer

Snort-alarmer
Det blev tidligere forklaret på LinuxHint, hvordan man installerer Snort Intrusion Detection System, og hvordan man opretter Snort-regler. Snort er et indtrængningsdetekteringssystem designet til at opdage og advare om uregelmæssige aktiviteter inden for et netværk. Snort er integreret af sensorer, der leverer information til serveren i henhold til reglerne.

I denne vejledning vil Snort-alarmtilstande blive forklaret for at instruere Snort til at rapportere om hændelser på 5 forskellige måder (ignorerer tilstanden "ingen alarm"), hurtig, fuld, konsol, cmg og unsock.

Hvis du ikke har læst de ovennævnte artikler, og du ikke har tidligere erfaring med fnys, bedes du komme i gang med tutorial om snortinstallation og -brug og fortsætte med artiklen om regler, før du fortsætter denne forelæsning. Denne vejledning forudsætter, at du allerede har Snort.

At være lad os sige, at Snort har 6 alarmtilstande:

Hurtig: i denne tilstand rapporterer Snort tidsstempel, alarmmeddelelse, IP-kildeadresse og port og destinations-IP-adresse og port. (-En hurtig)

Fuld: Ud over hurtig alarmadvarsel inkluderer den fulde tilstand: TTL, IP-pakke og IP-headerlængde, service, ICMP-type og sekvensnummer. (-En fuld)

Konsol: udskriver hurtige alarmer i konsollen. (-En konsol)

Cmg: Dette format blev udviklet af Snort til testformål, det udskriver en fuld alarm på konsollen uden at gemme rapporter i logfiler. (-En cmg)

Fjern strøm: eksportrapport til andre programmer via Unix Socket. (-En usok)

Ingen: Snort genererer ikke alarmer. (-En ingen)

Forud for alle alarmtilstande er a -EN hvilket er parameteren for alarmer. Alarmer gemmes i loggen / var / log / snort / alarm. Snort-standardregler er i stand til at registrere uregelmæssig aktivitet såsom port scanning. Lad os teste hver alarmtilstand:

Hurtig alarmtest:

fnyse -c / etc / fnise / fnise.conf -q -A hurtigt

Hvor:

snøfte= kalder programmet

-c= sti til konfigurationsfil, i dette tilfælde standard (/ etc / snort / snort.conf)

-q= forhindrer snort i at vise første information

-EN= definerer alarmtilstand, i dette tilfælde hurtigt.

Mens jeg fra en anden computer startede en nmap-scanning mod top 1000 porte alarmer begyndte at blive logget på / var / log / snort / alarm.

Fuld alarmtest:

fnyse -c / etc / fnise / fnise.conf -q -A fuld

Hvor:

snøfte= kalder programmet

-c= sti til konfigurationsfil, i dette tilfælde standard (/ etc / snort / snort.conf)

-q= forhindrer snort i at vise første information

-EN= definerer alarmtilstand, i dette tilfælde fuld.

Som du ser, giver rapporten yderligere oplysninger til den hurtige.

Test af konsolalarm:

Med konsolalarmtesten får vi alarmer udskrevet i konsollen til denne kørsel

fnyse -c / etc / fnise / fnise.conf -q -A konsol

Hvor:

snøfte= kalder programmet

-c= sti til konfigurationsfil, i dette tilfælde standard (/ etc / snort / snort.conf)

-q= forhindrer snort i at vise første information

-EN= definerer alarmtilstand, i dette tilfælde konsol.

Som du ser er de udskrevne oplysninger tættere på en hurtig alarm end en fuld.

Cmg alarmtest:

Lad os nu få en rapport i konsollen med oplysningerne om en fuld rapport og mere. Denne tilstand blev udviklet til testformål og logger ikke resultater.

fnyse -c / etc / fnise / fnise.conf -q -A cmg

Hvor:

snøfte= kalder programmet

-c= sti til konfigurationsfil, i dette tilfælde standard (/ etc / snort / snort.conf)

-q= forhindrer snort i at vise første information

-EN= definerer alarmtilstand, i dette tilfælde cmg.

For at unsock-alarmen skal fungere, skal du integrere den i et tredjepartsprogram eller plugin.

Snorts standardalarmtilstand er fuld tilstand, hvis du ikke har brug for yderligere oplysninger om en hurtig, så vil en hurtig tilstand øge ydeevnen.

Jeg håber, at denne tutorial hjalp med at forstå Snorts alarmtilstande.

Sådan downloades og afspilles Sid Meiers Civilization VI på Linux
Introduktion til spillet Civilization 6 er et moderne udtryk for det klassiske koncept, der blev introduceret i serien af ​​Age of Empires-spil. Ideen...
Sådan installeres og afspilles Doom på Linux
Introduktion til undergang Doom-serien opstod i 90'erne efter frigivelsen af ​​den originale Doom. Det var et øjeblikkeligt hit, og fra den tid af har...
Vulkan til Linux-brugere
Med hver nye generation af grafikkort ser vi spiludviklere skubbe grænserne for grafisk troskab og komme et skridt tættere på fotorealisme. Men på tro...