I denne vejledning vil Snort-alarmtilstande blive forklaret for at instruere Snort til at rapportere om hændelser på 5 forskellige måder (ignorerer tilstanden "ingen alarm"), hurtig, fuld, konsol, cmg og unsock.
Hvis du ikke har læst de ovennævnte artikler, og du ikke har tidligere erfaring med fnys, bedes du komme i gang med tutorial om snortinstallation og -brug og fortsætte med artiklen om regler, før du fortsætter denne forelæsning. Denne vejledning forudsætter, at du allerede har Snort.
At være lad os sige, at Snort har 6 alarmtilstande:
Hurtig: i denne tilstand rapporterer Snort tidsstempel, alarmmeddelelse, IP-kildeadresse og port og destinations-IP-adresse og port. (-En hurtig)
Fuld: Ud over hurtig alarmadvarsel inkluderer den fulde tilstand: TTL, IP-pakke og IP-headerlængde, service, ICMP-type og sekvensnummer. (-En fuld)
Konsol: udskriver hurtige alarmer i konsollen. (-En konsol)
Cmg: Dette format blev udviklet af Snort til testformål, det udskriver en fuld alarm på konsollen uden at gemme rapporter i logfiler. (-En cmg)
Fjern strøm: eksportrapport til andre programmer via Unix Socket. (-En usok)
Ingen: Snort genererer ikke alarmer. (-En ingen)
Forud for alle alarmtilstande er a -EN hvilket er parameteren for alarmer. Alarmer gemmes i loggen / var / log / snort / alarm. Snort-standardregler er i stand til at registrere uregelmæssig aktivitet såsom port scanning. Lad os teste hver alarmtilstand:
Hurtig alarmtest:
fnyse -c / etc / fnise / fnise.conf -q -A hurtigt
Hvor:
snøfte= kalder programmet
-c= sti til konfigurationsfil, i dette tilfælde standard (/ etc / snort / snort.conf)
-q= forhindrer snort i at vise første information
-EN= definerer alarmtilstand, i dette tilfælde hurtigt.
Mens jeg fra en anden computer startede en nmap-scanning mod top 1000 porte alarmer begyndte at blive logget på / var / log / snort / alarm.
Fuld alarmtest:
fnyse -c / etc / fnise / fnise.conf -q -A fuld
Hvor:
snøfte= kalder programmet
-c= sti til konfigurationsfil, i dette tilfælde standard (/ etc / snort / snort.conf)
-q= forhindrer snort i at vise første information
-EN= definerer alarmtilstand, i dette tilfælde fuld.
Som du ser, giver rapporten yderligere oplysninger til den hurtige.
Test af konsolalarm:
Med konsolalarmtesten får vi alarmer udskrevet i konsollen til denne kørsel
fnyse -c / etc / fnise / fnise.conf -q -A konsol
Hvor:
snøfte= kalder programmet
-c= sti til konfigurationsfil, i dette tilfælde standard (/ etc / snort / snort.conf)
-q= forhindrer snort i at vise første information
-EN= definerer alarmtilstand, i dette tilfælde konsol.
Som du ser er de udskrevne oplysninger tættere på en hurtig alarm end en fuld.
Cmg alarmtest:
Lad os nu få en rapport i konsollen med oplysningerne om en fuld rapport og mere. Denne tilstand blev udviklet til testformål og logger ikke resultater.
fnyse -c / etc / fnise / fnise.conf -q -A cmg
Hvor:
snøfte= kalder programmet
-c= sti til konfigurationsfil, i dette tilfælde standard (/ etc / snort / snort.conf)
-q= forhindrer snort i at vise første information
-EN= definerer alarmtilstand, i dette tilfælde cmg.
For at unsock-alarmen skal fungere, skal du integrere den i et tredjepartsprogram eller plugin.
Snorts standardalarmtilstand er fuld tilstand, hvis du ikke har brug for yderligere oplysninger om en hurtig, så vil en hurtig tilstand øge ydeevnen.
Jeg håber, at denne tutorial hjalp med at forstå Snorts alarmtilstande.