В этом руководстве мы будем использовать следующую сеть: 10.0.0.0/24. Отредактируйте ваш / etc / snort / snort.conf и замените «любой» рядом с $ HOME_NET на информацию о вашей сети, как показано на примере снимка экрана ниже:
В качестве альтернативы вы также можете определить определенные IP-адреса для мониторинга, разделенные запятой между [], как показано на этом снимке экрана:
Теперь давайте начнем и запустим эту команду в командной строке:
# snort -d -l / var / log / snort / -h 10.0.0.0/24 -A консоль -c / etc / snort / snort.confГде:
d = указывает snort отображать данные
l = определяет каталог журналов
h = указывает сеть для мониторинга
A = указывает snort на печать предупреждений в консоли
c = указывает Snort файл конфигурации
Давайте запустим быстрое сканирование с другого устройства с помощью nmap:
И давайте посмотрим, что происходит в консоли snort:
Snort обнаружил сканирование, теперь также с другого устройства, позволяет атаковать с помощью DoS с помощью hping3
# hping3 -c 10000 -d 120 -S -w 64 -p 21 --flood --rand-source 10.0.0.3
Устройство, отображающее Snort, обнаруживает плохой трафик, как показано здесь:
Поскольку мы проинструктировали Snort сохранять журналы, мы можем прочитать их, запустив:
# snort -rВведение в правила Snort
Режим NIDS Snort работает на основе правил, указанных в файле / etc / snort / snort.conf файл.
Внутри фырканья.conf мы можем найти закомментированные и раскомментированные правила, как вы можете видеть ниже:
Путь правил обычно / etc / snort / rules, там мы можем найти файлы правил:
Давайте посмотрим на правила против бэкдоров:
Есть несколько правил для предотвращения атак через бэкдор. Удивительно, но есть правило против NetBus, троянского коня, который стал популярным пару десятилетий назад, давайте посмотрим на него, и я объясню его части и как он работает:
alert tcp $ HOME_NET 20034 -> $ EXTERNAL_NET любой (сообщение: "BACKDOOR NetBus Pro 2.0 соединениеустановлено "; поток: from_server, установлен;
потоковые биты: isset, backdoor.netbus_2.соединять; содержание: «БН | 10 00 02 00 |»; глубина: 6; содержание: "|
05 00 | "; глубина: 2; смещение: 8; classtype: misc-activity; sid: 115; rev: 9;)
Это правило предписывает snort предупреждать о TCP-соединениях на порту 20034, передаваемых на любой источник во внешней сети.
-> = указывает направление трафика, в данном случае из нашей защищенной сети во внешнюю
сообщение = Указывает, что предупреждение должно включать конкретное сообщение при отображении
содержание = поиск определенного содержимого в пакете. Он может включать текст, если между «» или двоичные данные, если между | |
глубина = Интенсивность анализа, в приведенном выше правиле мы видим два разных параметра для двух разных содержаний
компенсировать = сообщает Snort начальный байт каждого пакета, чтобы начать поиск содержимого
класс = сообщает, о какой атаке предупреждает Snort
Сид: 115 = идентификатор правила
Создание собственного правила
Теперь создадим новое правило для уведомления о входящих SSH-соединениях. Открыть / и т.д. / фырканье / правила / ваше правило.правила, и внутри вставьте следующий текст:
alert tcp $ EXTERNAL_NET любой -> $ HOME_NET 22 (msg: "SSH incoming";поток: без гражданства; флаги: S +; sid: 100006927; ревизия: 1;)
Мы говорим Snort предупреждать о любом tcp-соединении из любого внешнего источника с нашим ssh-портом (в данном случае это порт по умолчанию), включая текстовое сообщение «SSH INCOMING», где без состояния указывает Snort игнорировать состояние соединения.
Теперь нам нужно добавить созданное нами правило в наш / и т. д. / фырканье / фырканье.conf файл. Откройте файл конфигурации в редакторе и найдите # 7, это раздел с правилами. Добавьте правило без комментариев, как на изображении выше, добавив:
включить $ RULE_PATH / yourrule.правилаВместо yourrule.rules », задайте имя файла, в моем случае это было test3.правила.
Как только это будет сделано, снова запустите Snort и посмотрите, что произойдет.
#snort -d -l / var / log / snort / -h 10.0.0.0/24 -A консоль -c / etc / snort / snort.confssh на ваше устройство с другого устройства и посмотрите, что произойдет:
Вы можете видеть, что входящий SSH был обнаружен.
Я надеюсь, что из этого урока вы знаете, как создавать основные правила и использовать их для обнаружения активности в системе. См. Также руководство по настройке Snort и начало его использования, а также тот же учебник, доступный на испанском языке в Linux.широта.