Šniurkšti

Įsibrovimo aptikimas naudojant „Snort“ mokymo programą

Įsibrovimo aptikimas naudojant „Snort“ mokymo programą
Paprastai manoma, kad jei užkarda saugo savo tinklą, tinklas laikomas saugiu. Tačiau tai nėra visiškai tiesa. Ugniasienės yra pagrindinis tinklo komponentas, tačiau jos negali visiškai apsaugoti tinklo nuo priverstinių įrašų ar priešiškų ketinimų. Įsibrovimo aptikimo sistemos naudojami agresyviems ar netikėtiems paketams įvertinti ir įspėjimui generuoti, kol šios programos gali pakenkti tinklui. Pagrindinio kompiuterio įsibrovimo aptikimo sistema veikia visuose tinklo įrenginiuose arba jungiasi prie organizacijos vidinio tinklo. Tinklo įsibrovimo aptikimo sistema yra įdiegta tam tikrame taške ar taškų grupėje, iš kurios galima stebėti visą įeinantį ir išeinantį srautą. Pagrindinės kompiuterio įsibrovimo aptikimo sistemos pranašumas yra tai, kad ji taip pat gali aptikti anomalijas ar kenkėjišką srautą, kurį generuoja pats kompiuteris, t.e., jei pagrindinį kompiuterį veikia kenkėjiškos programos ir kt. Įsilaužimo aptikimo sistemos (IDS) dirbti stebint ir analizuojant tinklo srautą ir lyginant jį su nustatytu taisyklių rinkiniu, nustatant, ką reikėtų laikyti įprastu tinklui (i.e., uostams, pralaidumui ir kt.) ir ką atidžiau pažvelgti.

Įsibrovimo aptikimo sistemą galima įdiegti atsižvelgiant į tinklo dydį. Yra dešimtys kokybiškų komercinių IDS, tačiau daugelis įmonių ir mažų įmonių negali jų sau leisti. Šniurkšti yra lanksti, lengva ir populiari įsilaužimų aptikimo sistema, kurią galima įdiegti atsižvelgiant į tinklo poreikius, pradedant nuo mažų iki didelių tinklų, ir suteikianti visas mokamo IDS funkcijas. Šniurkšti nieko nekainuoja, bet tai nereiškia, kad jis negali suteikti tų pačių funkcijų kaip elitinis, komercinis IDS. Šniurkšti yra laikomas pasyviu IDS, o tai reiškia, kad jis užuodžia tinklo paketus, lygina su taisyklių rinkiniu ir, jei aptinka kenkėjišką žurnalą ar įrašą (i.e., aptikti įsilaužimą), sugeneruoja įspėjimą arba įrašo įrašą į žurnalo failą. Šniurkšti naudojama maršrutizatorių, ugniasienių ir serverių veiklai ir veiklai stebėti. „Snort“ yra patogi sąsaja, kurioje yra taisyklių rinkinių grandinė, kuri gali būti labai naudinga asmeniui, kuris nėra susipažinęs su IDS. „Snort“ sukuria pavojaus signalą įsibrovimo atveju (buferio perpildymo atakos, apsinuodijimas DNS, OS pirštų atspaudai, prievadų nuskaitymas ir daug daugiau), suteikdamas organizacijai didesnį tinklo srauto matomumą ir palengvinantį saugumo taisyklių laikymąsi.

„Snort“ diegimas

Prieš diegdami „Snort“, yra keletas atvirojo kodo programinės įrangos ar paketų, kuriuos pirmiausia turėtumėte įdiegti, kad galėtumėte pasinaudoti šia programa.

[apsaugotas el. paštas]: ~ $ wget http: // www.tcpdump.org / release / libpcap-1.9.1.degutas.gz
[apsaugotas el. paštas]: ~ $ tar -xzvf libpcap-
[apsaugotas el. paštas]: ~ $ cd libpcap-
[apsaugotas el. paštas]: ~ $ ./ configure
[apsaugotas el. paštas]: ~ $ sudo make
[apsaugotas el. paštas]: ~ $ make install
  • „OpenSSH“: Saugus ryšio įrankis, užtikrinantis saugų kanalą net ir nesaugiu tinklu, leidžiantis nuotoliniu būdu prisijungti per ssh protokolas. „OpenSSH“ yra naudojamas prisijungti prie sistemų nuotoliniu būdu su administratoriaus teisėmis. „OpenSSH“ galima įdiegti naudojant šias komandas:
[apsaugotas el. pašto adresas]: ~ $ wget http: // ftp.openbsd.org / pub / OpenBSD / OpenSSH /
nešiojamas / openssh-8.3p1.degutas.gz
[apsaugotas el. paštas]: ~ $ tar xzvf openssh-
[apsaugotas el. paštu]: ~ $ cd openssh-
[apsaugotas el. paštas]: ~ $ ./ configure
[apsaugotas el. paštas]: ~ $ sudo make install
  • „MySQL“: Populiariausias nemokamas ir atviro kodo SQL duomenų bazė. „MySQL“ yra naudojamas įspėjantiems „Snort“ duomenims saugoti. SQL bibliotekos yra naudojamos nuotolinėse mašinose, kad galėtų bendrauti ir pasiekti duomenų bazę, kurioje saugomi „Snort“ žurnalo įrašai. „MySQL“ galima įdiegti naudojant šią komandą:
[apsaugotas el. paštas]: ~ $ sudo apt-get install mysql
  • „Apache“ tinklo serveris: Dažniausiai naudojamas interneto serveris internete. „Apache“ naudojama analizės konsolei rodyti per žiniatinklio serverį. Jį galima atsisiųsti iš oficialios svetainės čia: http: // httpd.apache.org /, arba naudodami šią komandą:
[apsaugotas el. paštu]: ~ $ sudo apt-get install apache2
  • PHP: PHP yra scenarijų kalba, naudojama kuriant žiniatinklį. Norint paleisti „Analysis“ konsolę, reikalingas PHP analizės variklis. Jį galima atsisiųsti iš oficialios svetainės: https: // www.php.net / parsisiuntimai.php, arba naudodami šias komandas:
[apsaugotas el. paštas]: ~ $ wget https: // www.php.net / paskirstymai / php-7.4.9.degutas.bz2
[apsaugotas el. pašto adresas]: ~ $ tar -xvf php-.degutas
[apsaugotas el. paštas]: ~ $ cd php-
[apsaugotas el. paštas]: ~ $ sudo make
[apsaugotas el. pašto adresas]: ~ $ sudo make install
  • „OpenSSL“: Naudojamas apsaugoti ryšį tinkle, nesijaudinant dėl ​​to, kad trečioji šalis gauna ar stebi išsiųstus ir gautus duomenis. „OpenSSL“ teikia kriptografinę funkciją žiniatinklio serveryje. Jį galima atsisiųsti iš oficialios svetainės: https: // www.openssl.org /.
  • Stunnel: Programa, naudojama šifruoti savavališką tinklo srautą ar ryšius SSL viduje ir kuri veikia kartu „OpenSSL“. Stulbinti galima atsisiųsti iš jos oficialios svetainės: https: // www.stulbinimas.org /, arba jį galima įdiegti naudojant šias komandas:
[apsaugotas el. paštas]: ~ $ wget https: // www.stulbinimas.org / downloads / stunnel-5.56-androidas.užtrauktukas
[apsaugotas el. paštas]: ~ $ tar xzvf stunnel-
[apsaugotas el. paštu]: ~ $ cd stunnel-
[apsaugotas el. paštas]: ~ $ ./ configure
[apsaugotas el. pašto adresas]: ~ $ sudo make install
  • RŪGŠTIS: Santrumpa Įsibrovimo aptikimo analizės kontrolė. ACID yra užklausomis palaikoma paieškos sąsaja, naudojama rasti atitinkamus IP adresus, pateiktus modelius, konkrečią komandą, naudingąją apkrovą, parašus, konkrečius prievadus ir kt., iš visų užregistruotų perspėjimų. Tai suteikia išsamią paketų analizės funkciją, leidžiančią nustatyti, ką tiksliai užpuolikas bandė atlikti, ir naudos, naudojamos puolant, tipą. RŪGŠTIS galima atsisiųsti iš jos oficialios svetainės: https: // www.sei.cmu.edu / about / divissions / cert / index.plg.

Dabar, kai įdiegti visi reikalingi pagrindiniai paketai, Šniurkšti galima atsisiųsti iš oficialios svetainės, prunkštelėti.org, ir gali būti įdiegtas naudojant šias komandas:

[apsaugotas el. paštas]: ~ $ wget https: // www.prunkštelėti.org / parsisiųsti / snort / snort-2.9.16.1.degutas.gz
[el. pašto saugoma]: ~ $ tar xvzf snork-
[apsaugotas el. pašto adresas]: ~ $ cd šniokštimas-
[apsaugotas el. paštas]: ~ $ ./ configure
[apsaugotas el. paštas]: ~ $ sudo make && --enable-source-fire
[apsaugotas el. pašto adresas]: ~ $ sudo make install

Tada paleiskite šią komandą, kad patikrintumėte, ar „Snort“ yra įdiegtas, ir naudojamą „Snort“ versiją:

[apsaugotas el. pašto adresas]: ~ $ šniokštimas --
,,_ - *> Šniurkšti! <*-
o ") ~ Versijos numeris"
Autorių teisės (C) 1998–2013 m. „Sourcefire, Inc.“., ir kt.
Naudojant libpcap 1 versiją.8.1
Naudojant PCRE versiją: 8.39 2016-06-14
Naudojant ZLIB versiją: 1.2.11

Sėkmingai įdiegus, sistemoje turėjo būti sukurti šie failai:

/ usr / bin / snork: Tai yra „Snort“ dvejetainis vykdomasis failas.

/ usr / share / doc / snork: Yra „Snort“ dokumentai ir puslapiai.

/ etc / knarkimas: Sudėtyje yra visi Šniurkšti ir tai taip pat yra jo konfigūracijos failas.

Naudojant „Snort“

Norėdami naudoti „Snort“, pirmiausia turite sukonfigūruoti Pagrindinis puslapis reikšmę ir nurodykite saugomo tinklo IP adreso vertę. Tinklo IP adresą galima gauti naudojant šią komandą:

[apsaugotas el. paštas]: ~ $ ifconfig

Iš rezultatų nukopijuokite inet adresas norimo tinklo. Dabar atidarykite „Snort“ konfigūracijos failą / etc / snork / snork.konf naudojant šią komandą:

[apsaugotas el. paštu]: ~ $ sudo vim / etc / snort / snort.konf

Pamatysite tokį išėjimą:

Raskite liniją „Ipvar HOME_NET.“ Priešais ipvar HOME_NET, parašykite anksčiau nukopijuotą IP adresą ir išsaugokite failą. Prieš bėgimą Šniurkšti, kitas dalykas, kurį turite padaryti, yra paleisti tinklą grėsmingu režimu. Tai galite padaryti naudodami šią komandą:

[apsaugotas el. paštas]: ~ $ / sbin / ifconfig - -promc

Dabar esate pasirengęs bėgti Šniurkšti. Norėdami patikrinti jo būseną ir išbandyti konfigūracijos failą, naudokite šią komandą:

[apsaugotas el. pašto adresas]: ~ $ sudo snortas -T -i -c / etc / snork / snork.konf
Perskaitytos 4150 knarkimo taisyklės
3476 aptikimo taisyklės
0 dekoderio taisyklių
0 išankstinio procesoriaus taisyklių
3476 parinkčių grandinės, susietos su 290 grandinių antraštėmis
0 Dinaminės taisyklės
+++++++++++++++++++++++++++++++++++++++++++++++++++
+-------------------[Taisyklių prievadų skaičius]---------------------------------------
| tcp udp icmp ip
| src 151 18 0 0
| dst 3306 126 0 0
| bet koks 383 48 145 22
| nc 27 8 94 20
| s + d 12 5 0 0
+----------------------------------------------------------------------------
+-----------------------[aptikimas-filtras-konfigūracija]------------------------------
| atminties dangtelis: 1048576 baitai
+-----------------------[aptikimo filtro taisyklės]-------------------------------
| nė vienas
-------------------------------------------------------------------------------
+-----------------------[rate-filter-config]-----------------------------------
| atminties dangtelis: 1048576 baitai
+-----------------------[norma-filtras-taisyklės]------------------------------------
| nė vienas
-------------------------------------------------------------------------------
+-----------------------[event-filter-config]----------------------------------
| atminties dangtelis: 1048576 baitai
+-----------------------[event-filter-global]----------------------------------
| nė vienas
+-----------------------[įvykis-filtras-vietinis]-----------------------------------
| gen-id = 1 sig-id = 3273 type = Slenkstinis stebėjimas = src skaičius = 5 sekundės = 2
| gen-id = 1 sig-id = 2494 type = abu stebėjimai = dst count = 20 sekundžių = 60
| gen-id = 1 sig-id = 3152 type = Slenkstinis stebėjimas = src skaičius = 5 sekundės = 2
| gen-id = 1 sig-id = 2923 type = slenksčio stebėjimas = dst count = 10 sekundžių = 60
| gen-id = 1 sig-id = 2496 type = abu stebėjimai = dst count = 20 sekundžių = 60
| gen-id = 1 sig-id = 2275 type = Slenkstinis stebėjimas = dst count = 5 sekundės = 60
| gen-id = 1 sig-id = 2495 type = abu stebėjimai = dst count = 20 sekundžių = 60
| gen-id = 1 sig-id = 2523 type = Abu stebėjimai = dst count = 10 sekundžių = 10
| gen-id = 1 sig-id = 2924 type = slenksčio stebėjimas = dst count = 10 sekundžių = 60
| gen-id = 1 sig-id = 1991 tipas = Ribinis stebėjimas = src skaičius = 1 sekundė = 60
+-----------------------[slopinimas]------------------------------------------
| nė vienas
-------------------------------------------------------------------------------
Taisyklės taikymo tvarka: aktyvinimas-> dinaminis-> perdavimas-> lašas-> sdrop-> atmesti-> perspėjimas-> žurnalas
Išankstinio procesoriaus konfigūracijų tikrinimas!
[Uosto modelio atitiktis]
+- [Aho-Corasick santrauka] -------------------------------------
| Saugyklos formatas: „Full-Q“
| Galutinis automatinis režimas: DFA
| Abėcėlės dydis: 256 simboliai
| Būsenos dydis: kintamas (1,2,4 baitai)
| Pavyzdžiai: 215
| 1 baitas nurodo: 204
| 2 baitų būsenos: 11
| 4 baitų būsenos: 0
| Veikėjai: 64982
| Valstijos: 32135
| Perėjimai: 872051
| Valstybinis tankis: 10.6%
| Raštai: 5055
| Rungtynių būsenos: 3855
| Atmintis (MB): 17.00
| Raštai: 0.51
| Rungtynių sąrašai: 1.02
| DFA
| 1 baitas teigia: 1.02
| 2 baitų būsenos: 14.05
| 4 baitų būsenos: 0.00
+----------------------------------------------------------------
[Šablonų, sutrumpintų iki 20 baitų, skaičius: 1039]
pcap DAQ sukonfigūruotas kaip pasyvus.
Gaunamas tinklo srautas iš „wlxcc79cfd6acfc“.
--== Inicijavimas baigtas ==--
,,_ - *> Šniurkšti! <*-
o ") ~ Versijos numeris
Autorių teisės (C) 1998–2013 m. „Sourcefire, Inc.“., ir kt.
Naudojant libpcap 1 versiją.8.1
Naudojant PCRE versiją: 8.39 2016-06-14
Naudojant ZLIB versiją: 1.2.11
Taisyklių variklis: SF_SNORT_DETECTION_ENGINE 2 versija.4
Išankstinio procesoriaus objektas: SF_IMAP 1 versija.0
Išankstinio procesoriaus objektas: SF_FTPTELNET 1 versija.2
Išankstinio procesoriaus objektas: SF_REPUTATION 1 versija.1
Išankstinio procesoriaus objektas: SF_SDF 1 versija.1
Išankstinio procesoriaus objektas: SF_SIP 1 versija.1
Išankstinio procesoriaus objektas: SF_SSH 1 versija.1
Išankstinio procesoriaus objektas: SF_GTP 1 versija.1
Išankstinio procesoriaus objektas: SF_SSLPP 1 versija.1
Išankstinio procesoriaus objektas: SF_DCERPC2 1 versija.0
Išankstinio procesoriaus objektas: SF_SMTP 1 versija.1
Išankstinio procesoriaus objektas: SF_POP 1 versija.0
Išankstinio procesoriaus objektas: SF_DNS 1 versija.1
Išankstinio procesoriaus objektas: SF_DNP3 1 versija.1
Išankstinio procesoriaus objektas: SF_MODBUS 1 versija.1
„Snort“ sėkmingai patvirtino konfigūraciją!
Snukis išeina

Knarkimo taisyklės

Didžiausia jėga Šniurkšti slypi jos taisyklių rinkiniuose. „Snort“ turi galimybę naudoti daugybę taisyklių rinkinių tinklo srautui stebėti. Naujausioje versijoje, Šniurkšti ateina su 73 skirtingų tipų ir vyresni 4150 aplanke esančių anomalijų nustatymo taisyklės „/ Etc / snort / rules.“

„Snort“ taisyklių rinkinių tipus galite peržiūrėti naudodami šią komandą:

[apsaugotas el. paštas]: ~ $ ls / etc / snort / rles
atakos-atsakymai.taisyklės bendruomenė-smtp.taisyklės icmp.taisyklės apvalkalas.taisykles
galinės durys.taisyklės bendruomenė-sql-injekcija.taisyklės imap.taisyklės smtp.taisykles
blogas eismas.taisyklės bendruomenės virusas.taisyklių informacija.taisyklės snmp.taisykles
kalbėtis.taisyklės bendruomenės-interneto išpuolių.taisyklės vietinės.taisyklės kv.taisykles
bendruomenė-bot.taisyklės bendruomenė-internetas-cgi.taisyklės kitokios.taisykles telnet.taisykles
bendruomenė ištrinta.taisyklės bendruomenė-internetas-klientas.taisyklės daugialypės terpės.taisyklės tftp.taisykles
bendrijos-dos.taisyklės bendruomenės-interneto-dos.taisyklės mysql.taisyklės virusas.taisykles
bendruomenė-išnaudoti.taisyklės community-web-iis.taisyklės netbios.valdo internetines atakas.taisykles
bendruomenė-ftp.taisyklės community-web-misc.taisyklės nntp.taisyklės web-cgi.taisykles
bendruomenės žaidimas.taisyklės bendruomenė-internetas-php.taisyklės orakulas.taisyklės internetinis klientas.taisykles
bendruomenė-icmp.taisyklės ddos.valdo kitus ID.valdo internetinę „coldfusion“.taisykles
bendruomenė-imap.taisyklės ištrintos.taisyklės p2p.taisykles internetiniame puslapyje.taisykles
netinkama bendruomenei.taisyklės dns.taisyklių politika.taisyklės web-iis.taisykles
bendruomenė-paštas-klientas.taisyklės dos.taisyklės pop2.taisyklės internete.taisykles
bendruomenė-kita.taisyklės eksperimentinės.taisyklės pop3.taisyklės web-php.taisykles
bendruomenė-nntp.taisyklės išnaudoja.taisyklės pornografija.taisyklės x11.taisykles
bendruomenė-orakulas.taisyklės pirštas.taisyklės rpc.taisykles
bendruomenės politika.taisyklės ftp.valdo paslaugas.taisykles
bendruomenės gurkšnis.taisyklės icmp-info.taisyklių nuskaitymas.taisykles

Pagal numatytuosius nustatymus, kai paleidžiate Šniurkšti įsibrovimo aptikimo sistemos režimu visos šios taisyklės diegiamos automatiškai. Dabar išbandykime ICMP taisyklių rinkinys.

Pirmiausia naudokite šią komandą paleisti Šniurkšti į IDS režimas:

[apsaugotas el. pašto adresas]: ~ $ sudo snortas-konsolė -i
-c / etc / snork / snork.konf

Ekrane pamatysite keletą išėjimų, laikykitės to.

Dabar atliksite šios mašinos IP iš kito kompiuterio naudodami šią komandą:

[apsaugotas el. paštas]: ~ $ ping

Pakreipkite jį penkis ar šešis kartus ir grįžkite į savo kompiuterį, kad pamatytumėte, ar „Snort IDS“ jį aptinka.

08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP paskirties vietos nepasiekiamas fragmentas
Reikalingas ir nustatytas DF bitas [**] [Klasifikacija: įvairi veikla] [Prioritetas: 3]
ICMP ->
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP paskirties vietos nepasiekiamas fragmentas
Reikalingas ir nustatytas DF bitas [**] [Klasifikacija: įvairi veikla] [Prioritetas: 3]
ICMP ->
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP paskirties vietos nepasiekiamas fragmentas
Reikalingas ir nustatytas DF bitas [**] [Klasifikacija: įvairi veikla] [Prioritetas: 3]
ICMP -> adresas>
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP paskirties vietos nepasiekiamas fragmentas
Reikalingas ir nustatytas DF bitas [**] [Klasifikacija: įvairi veikla] [Prioritetas: 3]
ICMP -> ip adresas>
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP paskirties vietos nepasiekiamas fragmentas
Reikalingas ir nustatytas DF bitas [**] [Klasifikacija: įvairi veikla] [Prioritetas: 3]
ICMP -> adresas>
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP paskirties vietos nepasiekiamas fragmentas
Reikalingas ir nustatytas DF bitas [**] [Klasifikacija: įvairi veikla] [Prioritetas: 3]
ICMP -> adresas>

Čia gavome įspėjimą, kad kažkas atlieka „ping“ nuskaitymą. Tai netgi suteikė IP adresas užpuoliko mašinos.

Dabar eisime į IP šios mašinos adresą naršyklėje. Šiuo atveju perspėjimo nematysime. Pabandykite prisijungti prie ftp šios mašinos serveris, naudodamas kitą mašiną kaip užpuoliką:

[apsaugotas el. paštas]: ~ $ ftp

Mes vis tiek nematysime jokio įspėjimo, nes šie taisyklių rinkiniai nėra įtraukti į numatytąsias taisykles, ir tokiais atvejais įspėjimas nebus generuojamas. Tuomet turite susikurti savo taisyklių rinkiniai. Galite sukurti taisykles pagal savo poreikius ir jas pridėti „/ Etc / snort / rules / local.taisyklės “ failą ir tada prunkštelėti automatiškai naudos šias taisykles, nustatydamas anomalijas.

Taisyklės kūrimas

Dabar sukursime taisyklę, kaip aptikti įtartiną paketą, išsiųstą uoste 80 kad įvykus žurnalui būtų sukurtas įspėjimas:

# alert tcp any any -> $ HOME_NET 80 (msg: "Rastas HTTP paketas"; sid: 10000001; rev: 1;)

Yra dvi pagrindinės taisyklės rašymo dalys, t.e., Taisyklės antraštė ir taisyklės parinktys. Toliau pateikiamas ką tik parašytos taisyklės suskirstymas:

  • Antraštė
  • Budrus: Nurodytas veiksmas, kurį reikia atlikti norint sužinoti paketą, atitinkantį taisyklės aprašą. Yra keli kiti veiksmai, kuriuos galima nurodyti vietoje įspėjimo pagal vartotojo poreikius, t.e., prisijungti, atmesti, suaktyvinti, numesti, perduoti, ir pan.
  • TCP: Čia mes turime nurodyti protokolą. Yra keli protokolų tipai, kuriuos galima nurodyti, t.e., tcp, udp, icmp, ir pan., atsižvelgiant į vartotojo poreikius.
  • Bet koks: Čia galima nurodyti šaltinio tinklo sąsają. Jei bet koks yra nurodytas, „Snort“ patikrins visus šaltinio tinklus.
  • ->: Kryptis; šiuo atveju jis nustatomas nuo šaltinio iki paskirties.
  • $ HOME_NET: Vieta, kur yra paskirties vieta IP adresas yra nurodytas. Šiuo atveju mes naudojame tą, kuris sukonfigūruotas / etc / snork / snork.konf failą pradžioje.
  • 80: Paskirties uostas, kuriame laukiame tinklo paketo.
  • Galimybės:
  • Žinutė: Sugeneruojamas įspėjimas arba pranešimas, kuris bus rodomas paketui užfiksuoti. Šiuo atveju jis nustatytas į „Rastas HTTP paketas.“
  • sid: Naudojamas unikaliai ir sistemingai nustatyti „Snort“ taisykles. Pirmas 1000000 numeriai rezervuoti, todėl galite pradėti nuo 1000001.
  • Rev: Naudojamas lengvam taisyklių palaikymui.

Šią taisyklę pridėsime „/ Etc / snort / rules / local.taisyklės “ failą ir pažiūrėkite, ar jis gali aptikti HTTP užklausas 80 prievade.

[apsaugotas el. paštu]: ~ $ echo „įspėjimas bet kokį bet kurį -> $ HOME_NET 80 (msg:" HTTP paketas
rasta "; sid: 10000001; rev: 1;)" >> / etc / snort / rules / local.taisykles

Mes visi pasiruošę. Dabar galite atidaryti Šniurkšti į IDS režimas naudojant šią komandą:

[apsaugotas el. paštu]: ~ $ sudo snortas-konsolė -i wlxcc79cfd6acfc
-c / etc / snork / snork.konf

Eikite į IP adresas šios mašinos iš naršyklės.

Šniurkšti dabar gali aptikti bet kokį paketą, išsiųstą į 80 prievadą, ir parodys įspėjimą „Rastas HTTP paketas “ ekrane, jei taip atsitinka.

08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Rastas HTTP paketas [**]
[Prioritetas: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Rastas HTTP paketas [**]
[Prioritetas: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Rastas HTTP paketas [**]
[Prioritetas: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Rastas HTTP paketas [**]
[Prioritetas: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Rastas HTTP paketas [**]
[Prioritetas: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Rastas HTTP paketas [**]
[Prioritetas: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Rastas HTTP paketas [**]
[Prioritetas: 0] TCP: 52008 -> 35.222.85.5:80

Taip pat sukursime aptikimo taisyklę ftp bandymai prisijungti:

# alert tcp any any -> any 21 (msg: "Rastas FTP paketas"; sid: 10000002;)

Pridėkite šią taisyklę prie „Vietinis.taisyklės “ failą naudodami šią komandą:

[apsaugotas el. paštu]: ~ $ echo „įspėjimas tcp bet koks -> įspėjimas tcp bet koks -> bet koks 21
(msg: "Rastas FTP paketas"; sid: 10000002; rev: 1;) ">> / etc / snort / rules / local.taisykles

Dabar pabandykite prisijungti iš kitos mašinos ir pažiūrėkite į „Snort“ programos rezultatus.

08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Rastas FTP paketas [**] [Prioritetas: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Rastas FTP paketas [**] [Prioritetas: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Rastas FTP paketas [**] [Prioritetas: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Rastas FTP paketas [**] [Prioritetas: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Rastas FTP paketas [**] [Prioritetas: 0]
TCP: 52008 -> 35.222.85.5:21

Kaip matėme aukščiau, mes gavome įspėjimą, o tai reiškia, kad mes sėkmingai sukūrėme šias uosto anomalijų nustatymo taisykles 21 ir uostas 80.

Išvada

Įsibrovimo aptikimo sistemos Kaip Šniurkšti yra naudojami tinklo srautui stebėti, kad būtų galima nustatyti, kada kenkėjiškas vartotojas įvykdo ataką, kol ji gali pakenkti ar paveikti tinklą. Jei užpuolikas tinkle atlieka uosto nuskaitymą, ataką galima aptikti kartu su atliktų bandymų skaičiumi IP adresą ir kitą informaciją. Šniurkšti yra naudojamas visų tipų anomalijoms aptikti ir jame yra daug jau sukonfigūruotų taisyklių, kartu su galimybe vartotojui parašyti savo taisykles pagal jo poreikius. Priklausomai nuo tinklo dydžio, Šniurkšti galima lengvai nustatyti ir naudoti nieko neišleidžiant, palyginti su kita mokama reklama Įsibrovimo aptikimo sistemos. Užfiksuotus paketus galima toliau analizuoti naudojant paketų kvapą, pvz., „Wireshark“, kad būtų galima išanalizuoti ir suskaidyti tai, kas užpuoliko galvoje buvo per ataką, ir atliktų nuskaitymų ar komandų tipus. Šniurkšti yra nemokamas, atviro kodo ir lengvai sukonfigūruojamas įrankis, ir tai gali būti puikus pasirinkimas apsaugoti bet kokį vidutinio dydžio tinklą nuo atakos.

„HD Remastered“ žaidimai, skirti „Linux“, kurie niekada anksčiau nebuvo išleisti „Linux“
Daugelis žaidimų kūrėjų ir leidėjų siūlo senų žaidimų HD remasterį, kad prailgintų franšizės laiką. Prašome gerbėjų, prašančių suderinamumo su šiuolai...
Kaip naudoti „AutoKey“, norint automatizuoti „Linux“ žaidimus
„AutoKey“ yra darbalaukio automatizavimo įrankis, skirtas „Linux“ ir „X11“, užprogramuotas „Python 3“, „GTK“ ir „Qt“. Naudodami scenarijų ir „MACRO“ f...
Kaip parodyti FPS skaitiklį „Linux“ žaidimuose
„Linux“ žaidimai gavo didelį postūmį, kai „Valve“ paskelbė „Linux“ palaikymą „Steam“ klientui ir jų žaidimams 2012 m. Nuo tada daugelis AAA ir indie ž...