Šioje pamokoje naudosime tinklą: 10.0.0.0/24. Redaguokite savo / etc / snort / snort.conf failą ir „$“ bet ką šalia $ HOME_NET pakeiskite savo tinklo informacija, kaip parodyta toliau pateiktame ekrano kopijos pavyzdyje:
Arba taip pat galite apibrėžti konkrečius IP adresus, kuriuos norite stebėti atskirdami kableliais tarp [], kaip parodyta šioje ekrano nuotraukoje:
Dabar pradėkime ir paleiskite šią komandą komandinėje eilutėje:
# snukis -d -l / var / log / šnipštas / -h 10.0.0.0/24 - konsolė -c / etc / snork / snork.konfKur:
d = liepia šnipinėti rodyti duomenis
l = nustato žurnalų katalogą
h = nurodo stebimą tinklą
A = nurodo šnipinėti spausdinti įspėjimus konsolėje
c = nurodo konfigūracijos failą
Leidžia pradėti greitą nuskaitymą iš kito įrenginio naudojant nmap:
Ir leidžia pamatyti, kas vyksta „snork“ konsolėje:
„Snort“ aptiko nuskaitymą dabar ir iš kito įrenginio, leidžiančio atakuoti naudojant „DoS“ naudojant „hping3“
# hping3 -c 10000-d 120 -S -w 64 -p 21 - potvynis - 10 šaltinis.0.0.3
„Snort“ rodantis įrenginys aptinka blogą srautą, kaip parodyta čia:
Kadangi „Snort“ nurodėme išsaugoti žurnalus, juos galime perskaityti vykdydami:
# knarkimas -r„Snort“ taisyklių įvadas
„Snort“ NIDS režimas veikia pagal taisykles, nurodytas / etc / snort / snort.konf failas.
Šniurkštėje.conf faile galime rasti komentuojamas ir nekomentuojamas taisykles, kaip matote toliau:
Taisyklių kelias paprastai yra / etc / snort / rules, ten galime rasti taisyklių failus:
Leidžia pamatyti taisykles, taikomas prieš užpakalines duris:
Yra keletas taisyklių, leidžiančių užkirsti kelią užpuoliams už nugaros. Keista, kad yra taisyklė prieš „NetBus“, prieš porą dešimtmečių išpopuliarėjusį Trojos arklį, kuris gali jį pažvelgti, o aš paaiškinsiu jo dalis ir kaip jis veikia:
įspėjimas tcp $ HOME_NET 20034 -> $ EXTERNAL_NET bet koks (pranešimas: "BACKDOOR NetBus Pro 2.0 jungtisnustatyta "; srautas: iš_serveris, nustatytas;
srautai: vidinis, užpakalinis.netbus_2.Prisijungti; turinys: "BN | 10 00 02 00 |"; gylis: 6; turinys: "|
05 00 | "; gylis: 2; poslinkis: 8; klasė: netinkama veikla; sid: 115; rev: 9;)
Ši taisyklė nurodo snortui įspėti apie 20034 prievado TCP ryšius, perduodamus į bet kurį išorinio tinklo šaltinį.
-> = nurodo eismo kryptį, šiuo atveju nuo mūsų saugomo tinklo iki išorinio
pranešimas = Nurodo įspėjimui įtraukti konkretų pranešimą rodant
turinys = ieškokite konkretaus turinio pakete. Jame gali būti tekstas, jei tarp „“, arba dvejetainiai duomenys, jei tarp | |
gylis = Analizės intensyvumas, aukščiau pateiktoje taisyklėje matome du skirtingus dviejų skirtingų parametrų parametrus
kompensuoti = nurodo Snortui kiekvieno paketo pradinį baitą, kad pradėtų ieškoti turinio
klasikinis tipas = pasako, apie kokią ataką Snortas įspėja
sid: 115 = taisyklės identifikatorius
Kuriame savo taisyklę
Dabar sukursime naują taisyklę pranešti apie gaunamus SSH ryšius. Atviras / etc / snort / rules / yourrule.taisykles, ir įklijuokite šį tekstą:
įspėjimas tcp $ EXTERNAL_NET bet koks -> $ HOME_NET 22 (msg: "SSH gaunamas";srautas: be pilietybės; vėliavos: S +; sid: 100006927; rev: 1;)
Liepiame „Snort“ įspėti apie bet kokį tcp ryšį iš bet kurio išorinio šaltinio į mūsų ssh prievadą (šiuo atveju numatytąjį prievadą), įskaitant tekstinį pranešimą „SSH INCOMING“, kur be pilietybės nurodoma „Snort“ nepaisyti ryšio būsenos.
Dabar prie savo turime pridėti sukurtą taisyklę / etc / snork / snork.konf failą. Redaktoriuje atidarykite konfigūracijos failą ir ieškokite # 7, kuris yra skyrius su taisyklėmis. Pridėkite nekomentuojamą taisyklę, kaip aukščiau esančiame paveikslėlyje, pridėdami:
įtraukti $ RULE_PATH / jūsų taisyklė.taisyklesVietoj „tavo taisyklė.taisyklės “, nustatykite failo pavadinimą, mano atveju taip buvo testas3.taisykles.
Kai tai bus padaryta, vėl paleiskite „Snort“ ir pažiūrėkite, kas nutiks.
#snort -d -l / var / log / snort / -h 10.0.0.0/24 - konsolė -c / etc / snork / snork.konfssh į jūsų įrenginį iš kito įrenginio ir sužinokite, kas vyksta:
Matote, kad buvo aptiktas gaunamas SSH.
Per šią pamoką tikiuosi, kad žinote, kaip sukurti pagrindines taisykles ir jas naudoti aptinkant veiklą sistemoje. Taip pat žiūrėkite pamoką „Kaip sukonfigūruoti ir pradėti ją naudoti“ ir tą pačią „Linux“ ispanų kalbą.lat.