Šioje pamokoje bus paaiškinti „Snort“ įspėjimo režimai, nurodant „Snort“ pranešti apie įvykius 5 skirtingais būdais (ignoruojant „be perspėjimo“ režimą), greitai, pilnai, konsolėje, cmg ir atrakinti.
Jei neskaitėte aukščiau paminėtų straipsnių ir neturite ankstesnės patirties naudojant „snort“, prieš tęsdami šią paskaitą, pradėkite nuo „Snort“ diegimo ir naudojimo pamokos ir tęsite straipsnį apie taisykles. Šioje pamokoje daroma prielaida, kad „Snort“ jau veikia.
„Snort“ būsenoje yra 6 įspėjimo režimai:
Greitai: šiame režime „Snort“ praneš laiko žymę, įspėjimo pranešimą, IP šaltinio adresą ir prievado bei paskirties IP adresą ir prievadą. (-Greitas)
Pilnas: be greito režimo perspėjimo, visas režimas apima: TTL, IP paketo ir IP antraštės ilgį, paslaugą, ICMP tipą ir eilės numerį. (-Pilnas)
Konsolė: greitai spausdina įspėjimus konsolėje. (-Pultas)
Cmg: Šį formatą „Snort“ sukūrė bandymų tikslais, jis spausdina visą įspėjimą konsolėje, neišsaugodamas ataskaitų žurnaluose. (-Cmg)
Kojinė: eksportuoti ataskaitą į kitas programas per „Unix Socket“. (-Kojinė)
Nė vienas: „Snort“ nesukurs įspėjimų. (-A nėra)
Prieš visus įspėjimo režimus yra a -A kuris yra perspėjimų parametras. Įspėjimai įrašomi į žurnalą / var / log / snort / alert. „Snort“ numatytosios taisyklės gali aptikti netaisyklingą veiklą, pvz., Uosto nuskaitymą. Išbandykime kiekvieną įspėjimo režimą:
Greitas įspėjimo testas:
šniokštimas -c / etc / knarkimas / šniokštimas.conf -q -A greitai
Kur:
prunkštelėti= iškviečia programą
-c= kelias į konfigūracijos failą, šiuo atveju numatytasis (/ etc / snort / snort.konf)
-q= neleidžia šnipinėti rodyti pradinės informacijos
-A= apibrėžia pavojaus režimą, šiuo atveju greitai.
Nors iš kito kompiuterio pradėjau NMAP nuskaitymą, palygindamas su 1000 didžiausių prievadų, perspėjimais / var / log / snort / alert.
Visas įspėjimo testas:
šniokštimas -c / etc / knarkimas / šniokštimas.conf -q -A pilnas
Kur:
prunkštelėti= iškviečia programą
-c= kelias į konfigūracijos failą, šiuo atveju numatytasis (/ etc / snort / snort.konf)
-q= neleidžia šnipinėti rodyti pradinės informacijos
-A= apibrėžia pavojaus režimą, šiuo atveju pilną.
Kaip matote, ataskaitoje pateikiama papildoma informacija greitajai.
Pulto įspėjimo testas:
Atlikę konsolės įspėjimo testą, įspėjimai bus spausdinami konsolėje šiam bėgimui
šniokštimas -c / etc / knarkimas / šniokštimas.conf -q -A konsolė
Kur:
prunkštelėti= iškviečia programą
-c= kelias į konfigūracijos failą, šiuo atveju numatytasis (/ etc / snort / snort.konf)
-q= neleidžia šnipinėti rodyti pradinės informacijos
-A= apibrėžia įspėjimo režimą, šiuo atveju konsolę.
Kaip matote, atspausdinta informacija yra arčiau greito įspėjimo nei visa.
Cmg pavojaus testas:
Dabar gaukite ataskaitą konsolėje su visa ataskaita ir dar daugiau. Šis režimas buvo sukurtas bandymų tikslais ir neregistruoja rezultatų.
šniokštimas -c / etc / knarkimas / šniokštimas.conf -q -A cmg
Kur:
prunkštelėti= iškviečia programą
-c= kelias į konfigūracijos failą, šiuo atveju numatytasis (/ etc / snort / snort.konf)
-q= neleidžia šnipinėti rodyti pradinės informacijos
-A= apibrėžia pavojaus režimą, šiuo atveju cmg.
Kad neveikimo įspėjimas veiktų, turite jį integruoti į trečiosios šalies programą ar papildinį.
„Snort“ numatytasis įspėjimo režimas yra visas režimas, jei jums nereikia papildomos informacijos apie greitąjį, tada greitasis režimas padidins našumą.
Tikiuosi, kad ši pamoka padėjo suprasti „Snort“ perspėjimo režimus.