4.4 إنشاء الجداول في قواعد بيانات Snort وArchive

سوف نستخدم مخطط Snort لتخطيط قواعد بيانات Snort وArchive.

# cd /usr/share/doc/snort-mysql # zcat create_mysql.gz | الخلية -u -h localhost -p snort # zcat create_mysql.gz | الخلية -u -h أرشيف المضيف المحلي -p

4.5 تأكيد إنشاء قواعد البيانات والجداول المنشأة حديثاً.

قم بتسجيل الدخول إلى خادم MySQL وتحقق من قواعد البيانات التي أنشأناها للتو والجداول المستضافة في قواعد البيانات تلك. إذا تم إنشاء كل شيء بنجاح، فسترى أربع (4) قواعد بيانات (mysql، وtest، وsnort، وأرشيف) في قواعد بيانات mysql وحوالي 16 جدولًا في كل قاعدة بيانات.

# mysql -u root -p mysql> عرض قواعد البيانات؛ الخلية> استخدم الشخير؛ الخلية> إظهار الجداول؛ الخلية> استخدام الأرشيف؛ الخلية> إظهار الجداول؛ الخلية> الخروج

4.6 اختبار الشخير

في الوضع الطرفي، اكتب الأمر: # snort -c /etc/snort/snort.conf

إذا سار كل شيء على ما يرام، يجب أن ترى الاستجابة في رموز أسكي.

لإنهاء الاختبار اضغط على ctrl+c

5. تكوين أباتشي2

يجب أن تكون حزمة Apache2 مثبتة بالفعل على جهاز الكمبيوتر الخاص بك.

باستخدام محرر النصوص المفضل لديك، قم بإنشاء ملف يسمى test.php في المجلد /var/www/.

# vim /var/www/test.php

اكتب فيه:

احفظ التغييرات وأغلق هذا الملف.

قم بتحرير الملف /etc/php5/Apache2/php.ini

# vim /etc/php5/Apache2/php.ini

ضمن سطر "الامتدادات الديناميكية"، أضف ما يلي:

الامتداد=mysql.so الامتداد=gd.so

أعد تشغيل أباتشي 2.

# /etc/init.d/Apache2 إعادة التشغيل

احصل على عنوان IP لجهاز الكمبيوتر الخاص بك في العمل.

# إذا التكوين -أ

افتح متصفح الويب الخاص بك وانتقل إلى http://YOUR_IP_ADDRESS/test.php.

إذا سارت الأمور على ما يرام، سيتم عرض معلومات PHP.

6. تكوين المجلدات

انقل ADOdb إلى المجلد /var/www.

#mv /usr/share/php/adodb /var/www/

أنشئ مجلدًا باسم web في www وانقل ACIDBASE إليه.

# mkdir /var/www/web # mv /usr/share/acidbase /var/www/web/

السماح مؤقتًا بالكتابة إلى مجلد قاعدة البيانات acidbase لتثبيته.

# chmod 777 /var/www/web/acidbase

# cd /var/www/web/acidbase # mv base_conf.php base_conf.old

للعمل في ACIDBASE، قم بتشغيل الأمر:

#الكمثرى تثبيت Image_Color

7. تثبيت ACIDBASE لقواعد بيانات Snort والأرشيف

7.1 تثبيت قاعدة بيانات Snort عبر متصفح الويب

الخطوة 1 من 5:

أدخل المسار إلى ADODB. هذا هو /var/www/adodb.

الخطوة 2 من 5:

نوع قاعدة البيانات الرئيسية = MySQL
اسم قاعدة البيانات = snort
مضيف قاعدة البيانات = المضيف المحلي (الموقع المحلي لقاعدة بيانات Snort)،
اسم مستخدم قاعدة البيانات =<ваше_имя_пользователя>(اسم مستخدم قاعدة بيانات Snort)
كلمة مرور قاعدة البيانات =<ваш_пароль>(كلمة المرور لقاعدة بيانات Snort)

نوع قاعدة بيانات الأرشيف = MySQL (نوع قاعدة بيانات الأرشيف)،


اسم مستخدم قاعدة البيانات =<ваше_имя_пользователя>
كلمة مرور قاعدة البيانات =<ваш_пароль>

الخطوة 3 من 5:

إذا كنت تريد استخدام المصادقة، أدخل اسم المستخدم وكلمة المرور (المستخدم:<ваше_имя>، كلمة المرور:<ваш_пароль>).

الخطوة 4 من 5:

انقر فوق إنشاء BASE AG.

الخطوة 5 من 5:

عند اكتمال الخطوة 4، في الأسفل، انقر فوق: انتقل الآن إلى الخطوة 5.

ضع علامة على هذه الصفحة.

7.2 قم بإنشاء مجلد لقاعدة بيانات أرشيف ACIDBASE

لكي تعمل قاعدة بيانات الأرشيف بشكل صحيح، يجب إنشاء مجلد أرشيف في مجلد ACIDBASE.

# mkdir /var/www/web/acidbase/archive # cd /var/www/web/acidbase # cp -R * /var/www/web/acidbase/archive # chmod 777 /var/www/web/acidbase/archive

أعد تسمية الملف base_conf.php الموجود إلى base_conf.old .

# cd /var/www/web/acidbase/archive # mv base_conf.php base_conf.old

7.3 تثبيت قاعدة بيانات الأرشيف عبر متصفح الويب.

افتح متصفح الويب وانتقل إلى http://YOUR_IP_ADDRESS/web/acidbase/archive/setup.

في الصفحة الأولى، انقر فوق "متابعة".

الخطوة 1 من 5:

أدخل المسار إلى ADODB. هذا هو /var/www/adodb. >

الخطوة 2 من 5:

نوع قاعدة بيانات الأرشيف = MySQL
اسم قاعدة البيانات = الأرشيف (أرشيف قاعدة البيانات)،
مضيف قاعدة البيانات = المضيف المحلي (الموقع المحلي لقاعدة بيانات الأرشيف)،
اسم مستخدم قاعدة البيانات =<ваше_имя_пользователя>(اسم مستخدم قاعدة بيانات الأرشيف)،
كلمة مرور قاعدة البيانات =<ваш_пароль>(كلمة المرور لقاعدة بيانات الأرشيف)

الخطوة 3 من 5:

إذا كنت تريد استخدام المصادقة، أدخل اسم المستخدم وكلمة المرور (المستخدم:<ваше_имя_пользователя>، كلمة المرور:<ваш_пароль>).

الخطوة 4 من 5:

انقر فوق إنشاء BASE AG.

الخطوة 5 من 5:

عند اكتمال الخطوة 4، انقر في الأسفل: انتقل الآن إلى الخطوة 5 (انتقل الآن إلى الخطوة 5).

8. قم بتشغيل Snort وتحقق من حالة الخدمات.

لتشغيل Snort، اكتب في الوضع الطرفي:

# snort -c /etc/snort/snort.conf -i eth0 -D

يبدأ هذا الأمر بالشخير باستخدام واجهة eth0 في الوضع التجريبي.

يمكنك التحقق من تشغيل الخدمة باستخدام الأمر التالي:

# ملاحظة aux | شخير grep

إذا كانت الخدمة قيد التشغيل، فسترى شيئًا مشابهًا لما يلي snort -c /etc/snort/snort.conf -i eth0 -D .

تحقق من تشغيل جميع الخدمات المطلوبة عن طريق تشغيل الأوامر التالية:

# /etc/init.d/mysql الحالة # /etc/init.d/apache2 الحالة # /etc/init.d/snort الحالة

إذا كانت الخدمات قيد التشغيل، فسترى رسالة استجابة .

إذا لزم الأمر، قم بتشغيل الأمر
# / الخ/init.d/ إعادة تشغيل
لكل من الخدمات التي تحتاج إلى إعادة التشغيل.

مقدمة

الهدف الرئيسي من هذا العمل هو وصف ودراسة تطبيق IDS الشهير Snort. Snort هو مشروع كبير مفتوح المصدر يستخدمه العديد من مسؤولي الشبكات لالتقاط التوقيعات الضارة وتنبيههم عندما تتعرض شبكتهم للهجوم. يعترض Snort كل حركة المرور من واجهات الشبكة، ويفحص الحزم بحثًا عن الطلبات المشبوهة ومحاولات التطفل.

ميزته الرئيسية هي إمكانية الوصول إليه والقدرة على تعديل عمله ليناسب شبكة العمل الخاصة بك. تم تصميم البرنامج للعمل في كل من المنظمات الصغيرة والكبيرة. ومن المهم أيضًا القدرة على تعديل القواعد الفريدة الخاصة بك بناءً على متطلبات الأمان الخاصة بمؤسسة معينة (على سبيل المثال، حظر وصول الموظفين إلى الشبكات الاجتماعية).

تشمل العيوب إزعاج الإعداد والتثبيت على بعض أنظمة التشغيل (على سبيل المثال، Windows)، وعدم وجود وصف واحد وكامل ومفصل للإعداد وتطوير مجموعة القواعد الخاصة بك.

من الصعب أيضًا قطع الإنذارات الكاذبة، نظرًا لأن المؤسسات المختلفة غالبًا ما يكون لها قيود مختلفة، ويتطلب الأمر ضبطًا دقيقًا للقواعد. من الصعب جدًا تذكر العديد من أوضاع تشغيل التطبيق باستخدام مفاتيح حساسة لحالة الأحرف وقد تؤدي إلى نتائج خاطئة.

تتمثل المهمة الرئيسية لهذا العمل في فهم الميزات الوظيفية لبرنامج IDS Snort والتحقق من تشغيل التطبيق من خلال تنفيذ أنواع مختلفة من هجمات الشبكة عليه. اكتشف ما إذا كانت هناك معرفات مماثلة بتنسيق أكثر ملاءمة. كيف يتفاعل Snort مع قواعد البيانات. قم بتطوير العديد من القواعد الفريدة واختبرها من حيث الأداء الوظيفي.

تركيب وتكوين IDS Snort

الشخير: التثبيت على نظام التشغيل Windows XP

عند تثبيت Snort على نظام التشغيل Windows، قد تواجه بعض الصعوبات. ولذلك، يركز هذا العمل على جزء مفصل إلى حد ما من خيارات التثبيت والتكوين. تحتاج أولاً إلى تنزيل البرامج المطلوبة على كمبيوتر العمل الخاص بك.

قواعد الشخير.

يتم تنزيل كل ما سبق من المواقع الرسمية لهذه التطبيقات.

Winpcap هو تطبيق يقوم بالتقاط وتصفية الحزم على مستوى النواة. وهذا مشابه لبرنامج تشغيل Unix libpcap المدمج. لن يسبب التثبيت أي إزعاج خاص، حيث يتم تشغيله من خلال أداة التثبيت العادية. بعد ذلك، تحتاج إلى تنزيل IDS نفسه من الموقع الرسمي، وبعد ذلك نقوم بتنزيل أحدث أرشيف بالقواعد من هناك. ستكون الخطوة التالية هي نسخ جميع المجلدات الموجودة في الأرشيف مع القواعد بالكامل إلى الدليل الجذر للتطبيق، واستبدال المحتويات بالكامل عند الحاجة. بعد ذلك، لكي يعمل البرنامج بشكل صحيح، ستحتاج إلى إجراء تغييرات مهمة على ملف التكوين.

فار RULE_PATH ج: قواعد الشخير

فار SO_RULE_PATH ج:snortso_rules

فار PREPROC_RULE_PATH ج:snortpreproc_rules

دليل المعالج الديناميكي c:snortlibsnort_dynamicpreprocessor

محرك ديناميكي ج:snortlibsnort_dynamicenginesf_engine.dll

#dynamicdetection Directory /usr/local/lib/snort_dynamicrules

نجد أسطرًا مماثلة في ملف التكوين ونستبدلها بتلك المذكورة أعلاه. بعد ذلك، نحاول اختبار التطبيق. قم بتشغيل سطر الأوامر وانتقل إلى دليل التطبيق في قسم "bin". أدخل الأمر "snort -W"

أرز. 1.1.

باستخدام هذا الأمر، نتحقق من وظائف التطبيق لعرض واجهاتنا. وبعد التأكد من وجود أكثر من واحدة منهم، نختار تلك المتصلة بشبكة العمل لبدء اعتراض الحزم ومراقبة تشغيل IDS.

C:Snortinsnort -i 3 -c C:snortetcsnort.conf -l C:snortlog -A console

دعونا الآن نلقي نظرة على الأمر الذي أدخلناه. "-i 3" تعني أننا سنلقي نظرة على الواجهة ذات المعرف = 3 في قائمة واجهاتنا. ثم حددنا المسار إلى ملف التكوين والمسار إلى الدليل حيث يجب كتابة "سجل" الحزم التي تم اعتراضها. تعني كلمة "-A console" أنه سيتم اكتشاف حزم التنبيه في وحدة التحكم الخاصة بنا. إذا ظهرت أي مشاكل أثناء المعالجة، فإننا نقوم بإزالتها بمجرد تحديدها. يشير Snort إلى السلسلة ونوع خطأ البناء. إذا نجح كل شيء، فلن نرى أي شيء حتى يتم تشغيل إحدى قواعد التشغيل. لاستخدام واحدة منها، دعونا نحاول محاكاة هجوم على الشبكة وإطلاق حزمة مشبوهة عبر شبكتنا المحلية. للقيام بذلك، على سبيل المثال، افتح سطر الأوامر وأدخل ما يلي: "Ping 192.168.1.16". سوف يعترض Snort محاولة الاستماع إلى المضيف على 192.168.1.1624 ويعرض رسالة ومعلومات حول النشاط المشبوه على الشبكة. لسوء الحظ، فإن أنظمة IDS هذه لها عيب خطير - الإيجابيات الكاذبة. في هذا الصدد، لكي يكون Snort مفيدًا وغير مضلل، من الضروري تحديد القواعد بشكل كافٍ وواضح والتمييز بين الشبكات التي يتم عرضها لتجنب هذه الإيجابيات الكاذبة.

أرز. 1.2.

الآن في وحدة التحكم حيث يتم تشغيل IDS، ستظهر رسائل حول حزمة مشبوهة تشبه "الاستماع". أظهرت هذه القاعدة أن Snort كان يعمل بكامل طاقته. دعونا نفكر في أوضاع التشغيل الخاصة به وصياغة القواعد لمزيد من العمل.

يتم نقل مليارات حزم البيانات عبر شبكات الشركات يوميًا. بعضها خطير. اتخذ مؤلفو هذه الحزم تدابير خاصة لتجاوز جدران الحماية واختراق خطوط الدفاع على طول محيط الشبكات، مما أدى إلى تعطيل عمل جميع الأنظمة التي تمت مواجهتها على طول الطريق. إن التأثيرات المدمرة للهجمات المعبأة مثل Code Red وNimda وSQL Slammer وMSBlaster معروفة جيدًا. تستغل كل هذه البرامج الضارة البروتوكولات الموثوقة (مثل HTTP) أو حركة مرور الشبكة من أنظمة Microsoft. لا يمكن ببساطة الاستيلاء على مثل هذه البروتوكولات وحظرها، لذلك يحاول المسؤولون عادةً التقاط حركة المرور الخطيرة في أسرع وقت ممكن باستخدام أنظمة كشف الوصول غير المصرح بها، ونظام كشف اختراق الشبكة (NIDS)، من أجل الاستجابة للتهديد في الوقت المناسب.

هناك العديد من NIDS المتاحة تجاريًا، والتي تختلف في القدرات والتكلفة. بشكل عام، كلهم ​​يعملون بنجاح. جميع العروض التجارية التي واجهتها كانت ممتازة. ولكن ما الذي يجب على المنظمات ذات الميزانيات المتواضعة أن تفعله إذا لم يكن اكتشاف التسلل أولوية؟ في مثل هذه الحالات، هناك Snort - حزمة NIDS مجانية قوية. على عكس العديد من الحزم مفتوحة المصدر، فهو متوافق مع نظام التشغيل Windows.

التعرف على سنورت

قام مارتن ريش، المطور الأصلي لـ Snort، بإتاحة البرنامج للمجتمع المفتوح بموجب شروط رخصة جنو العامة (GPL). بدأ تاريخ هذه الحزمة في عام 1998، ومنذ ذلك الحين أثبتت موثوقيتها أكثر من مرة. بفضل مساهمات أعضاء المجتمع المفتوح ومسؤولي الشبكات حول العالم، أصبح Snort منتجًا قويًا للغاية. يوفر الإصدار الحالي تحليلًا لحركة مرور الشبكة في الوقت الفعلي وتسجيل حركة مرور IP بسرعات Fast Ethernet وGigabit Ethernet.

قام مايكل ديفيس بنقل Snort 1.7 إلى نظام Win32، مما جعله متاحًا لمجتمع Windows. تولى كريس ريد بعد ذلك مهمة تجميع الإصدارات الجديدة من Snort في ملفات تنفيذية جاهزة يمكن نشرها بسهولة في بيئة Windows.

قد يعتقد المسؤولون غير المعتادين على NIDS أن الأداة هي نوع خاص من محلل الشبكة. يقوم NIDS بفحص كل حزمة تمر عبر الواجهة، بحثًا عن الأنماط المعروفة في الحمولة حيث تكون التعليمات البرمجية الضارة مخفية عادةً. باستخدام Snort، يمكنك إجراء عمليات البحث والمطابقة على كل حزمة تمر عبر شبكة المؤسسة واكتشاف العديد من أنواع الهجمات وحركة المرور غير المشروعة في الوقت الفعلي.

متطلبات الشخير

لتشغيل Snort، تحتاج إلى جهاز كمبيوتر يعمل بنظام Windows مزود بمحول شبكة واحد على الأقل. من الأفضل أن يكون لديك محولين للشبكة، أحدهما متصل بالشبكة التي يتم التحكم فيها والآخر بشبكة الإنتاج؛ هذا الأخير يرسل التقارير. Snort متوافق ليس فقط مع Windows 2000 Server والإصدارات الأحدث، ولكن أيضًا مع Windows XP Professional Edition وXP Home Edition وWindows 2000 Professional. لا يلزم ترخيص الخادم. أقوم بتوصيل الكمبيوتر المحمول XP Pro الخاص بي بالعديد من شبكات العملاء كل يوم وعادةً ما أقوم بتشغيل Snort كخدمة. بهذه الطريقة، يعمل البرنامج في الخلفية، ويكتشف أي هجمات على نظامي قادمة من شبكة العميل تلك. أستخدم Snort كمستشعر محمول - يعمل البرنامج بمثابة NIDS لأي منفذ يتصل به الكمبيوتر المحمول.

في الشبكات الصغيرة، يمكن نشر Snort على خادم للمبتدئين. ليست هناك حاجة إلى جهاز مخصص عالي الطاقة لاكتشاف محاولات الوصول غير المصرح بها. على سبيل المثال، سمعت عن عقد Snort المستندة إلى FreeBSD مع معالجات بسرعة 1 جيجاهرتز وذاكرة الوصول العشوائي بسعة 1 جيجابايت والتي تخدم بنجاح شبكات تضم 15000 مستخدم وروابط T-3 WAN متعددة. بفضل كفاءة الكود المصدري لـ Snort، لا يلزم وجود جهاز قوي جدًا لتشغيل البرنامج.

ما هو أفضل مكان في الشبكة لتحديد موقع NIDS؟ الفكرة الأولى هي وضع الجهاز أمام جدار الحماية. هذا هو المكان الذي سيكتشف فيه NIDS معظم الهجمات، لكن عدد النتائج الإيجابية الخاطئة سيكون أيضًا أعلى، وسيتلقى المسؤول الكثير من التحذيرات غير المفيدة حول الخطر. لا داعي للقلق بشأن التهديدات التي يوقفها جدار الحماية؛ فمن المهم اكتشاف البرامج الخطيرة التي تقف خلفه. لذلك، من الأفضل وضع Snort خلف جدار الحماية على أي حال.

ومع ذلك، إذا كان المستخدمون يتصلون بالشبكة من خلال اتصال VPN (عبر الإنترنت أو الارتباط اللاسلكي)، فمن المنطقي وضع NIDS خلف جدار الحماية، مثل خادم VPN أو المركز، حيث يتم فك تشفير الحزم عند خروجها من الشبكة. نفق VPN. وبخلاف ذلك، لن يتمكن NIDS من مواجهة البرامج الضارة المضمنة في حركة مرور VPN، حيث سيتم تشفير الحزم التي تم تحليلها. وينطبق الشيء نفسه على حركة مرور SMTP المشفرة، وملفات .zip المشفرة المرفقة برسائل البريد الإلكتروني، وأنواع أخرى من البيانات المشفرة.

من الناحية المثالية، يجب وضع NIDS بعيدًا بما يكفي خلف أي مكونات تقوم بتشفير حركة المرور وعلى مقربة كافية من محيط الشبكة لتحليل حركة المرور على أكبر عدد ممكن من المقاطع والشبكات الفرعية. في بيئة الشبكة المبدلة، يتطلب المحول عادةً منفذ تشخيص لتجميع كل الحزم التي تمر عبر الشبكة. ونتيجة لذلك، يتمتع NIDS بإمكانية الوصول بسهولة إلى كافة حركة مرور الشبكة.

الآن بعد أن أصبحت على دراية بـ Snort وتعرف متطلبات الاستضافة الخاصة به، يمكنك تثبيت واختبار NIDS. لمزيد من المعلومات حول Snort، راجع المستندات المرتبطة في الشريط الجانبي "موارد الويب". تتكون هذه العملية من سبع مراحل:

1. تثبيت برنامج WinPcap
2. تثبيت سنورت
3. اختبار الشخير
4. إعداد الشخير
5. وضع القواعد
6. إعداد التنبيهات والسجلات
7. تشغيل كخدمة

المرحلة 1. تثبيت WinPcap

Snort هو في الأساس محلل شبكة في الوضع المختلط، لذا فهو يتطلب دعم برنامج التشغيل. يتم توفير هذا الدعم بواسطة WinPcap. أنشأ Loris Digioanni برنامج WinPcap عن طريق نقل برنامج تشغيل التقاط حزم libpcap، المستخدم على نطاق واسع بين مستخدمي Unix، إلى بيئة Windows. يتضمن WinPcap مرشح حزم على مستوى kernel، وDLL منخفض المستوى (packet.dll) ومكتبة عالية المستوى مستقلة عن النظام (wpcap.dll، استنادًا إلى libpcap 0.6.2).

يمكن تنزيل برنامج WinPcap من http://winpcap.polito.it. برنامج التشغيل متوافق مع أنظمة التشغيل Windows Server 2003 وXP وWindows 2000 وWindows NT وWindows Me وWindows 9x. يدعم WinPcap أيضًا أداة اكتشاف الحزم الأثيرية مفتوحة المصدر، والتي يمكن الحصول عليها من . باستخدام Ethereal، يمكنك التحقق من تثبيت Snort بشكل صحيح.

بعد تنزيل ملف تثبيت WinPcap من الشبكة، ما عليك سوى المرور عبر عدة شاشات لإجراءات التثبيت. يتطلب الأمر بذل أكبر جهد من جانب المستخدم من خلال الشاشة حيث يجب عليك الموافقة على شروط الترخيص.

الخطوة 2: تثبيت سنورت

الخطوة التالية هي تثبيت Snort. يمكن العثور على أحدث إصدار على مواقع ويب CodeCraft Consultants ( http://www.codecraftconsultants.com/snort.aspx) أو Snort.org ( http://www.snort.org). أوصي بتنزيل Snort من CodeCraft Consultants حيث يمكنك الحصول على ملف استخراج ذاتي قابل للتنفيذ من ذلك الموقع. يقوم البرنامج أيضًا بإرشاد المستخدم خلال الخطوات الأساسية لتثبيت Snort على جهاز الكمبيوتر. تم استخدام الإصدار الأحدث من Snort 2.1.1، الإصدار 18 في إعداد هذه المقالة، وقد تم إصدار إصدارات محدثة منذ ذلك الحين.

عند تشغيل برنامج التثبيت، في مربع الحوار الأول، يجب عليك تحديد وضع تكوين قاعدة البيانات لتخزين النتائج. إذا كنت تستخدم MySQL أو قاعدة بيانات متوافقة مع ODBC، فيمكنك قبول الوضع الافتراضي (الشكل 1). ولكن إذا كنت ستقوم بتخزين البروتوكولات في قاعدة بيانات Microsoft SQL Server أو Oracle، فأنت بحاجة إلى تحديد الوضع المناسب والتأكد من توفر برنامج العميل المطلوب على الجهاز. تم استخدام الوضع الافتراضي في إعداد هذه المقالة.

الخطوة التالية هي تحديد مكونات Snort التي تريد تثبيتها. المجموعة القياسية (الشاشة 2) جيدة، لذا أوصي بقبولها والنقر فوق "التالي". في مربع الحوار اختيار موقع التثبيت، يجب عليك تحديد الدليل الذي سيتم نشر Snort فيه. بعد إدخال اسم الدليل، انقر فوق "التالي" لإكمال عملية التثبيت.

الشاشة 2: تحديد مكونات التثبيت

الخطوة 3: اختبار تثبيت Snort الخاص بك

بعد الانتهاء من عملية التثبيت، يجب اختبار Snort. افتراضيًا، يجب إخبار الملف القابل للتنفيذ Snort بموقعين: مكان كتابة السجلات ومكان العثور على ملف التكوين (snort.conf). يتم توفير هذه المعلومات من قبل المستخدم عند تشغيل Snort من سطر الأوامر باستخدام مفاتيح التبديل -l و -c، على التوالي. على سبيل المثال، الأمر

Snort -l F:snortlog -c F:snortetcsnort.conf -وحدة تحكم

يخبر البرنامج أنه يجب كتابة السجلات في الدليل F:snortlog وأن snort.conf موجود في الدليل F:snortetc. يحدد رمز التبديل -A طريقة إرسال التحذيرات التي ينشئها البرنامج. في هذا المثال، يتم عرض التحذيرات على شاشة وحدة التحكم حتى يتمكن المسؤول من التحقق من أن Snort يعمل بشكل صحيح. يرجى ملاحظة أنه في المقالة يتم طباعة الأمر على عدة أسطر، ولكن في نافذة الأوامر يجب إدخاله على سطر واحد. وينطبق الشيء نفسه على الأوامر متعددة الأسطر الأخرى في هذه المقالة. العديد من مفاتيح تبديل سطر أوامر Snort حساسة لحالة الأحرف، لذا يجب عليك إدخال الأوامر تمامًا كما تمت كتابتها.

إذا كان النظام يحتوي على واجهات شبكة متعددة، فإن Snort يستمع افتراضيًا إلى الواجهة الأولى التي يكتشفها. إذا كان ترتيب واجهات الشبكة على الجهاز غير معروف، فيمكنك تشغيل أمر Snort باستخدام مفتاح W واحد. يسرد Snort أسماء وأرقام واجهات الشبكة بالترتيب الذي يكتشفها البرنامج. لإجبار Snort على استخدام واجهة شبكة معينة، يجب عليك إدخال المفتاح -i مع رقم الواجهة عند بدء Snort. بعد تشغيل Snort، ستعرض الشاشة معلومات مشابهة لتلك الموضحة في الصورة الشاشة 3 .

بمجرد تشغيل Snort، يمكنك اختبار حساسيته عن طريق إرسال حركة مرور معدة خصيصًا إلى NIDS. إحدى أسهل الطرق لإطلاق تحذير هي استدعاء مترجم الأوامر (cmd.exe) على الجهاز البعيد كجزء من طلب URL HTTP (أسلوب شائع للفيروسات المتنقلة Code Red وNimda). لمحاكاة هذه المرحلة من الهجوم، قم بالوصول إلى أي عنوان URL وألحق الأحرف /cmd.exe بنهاية الطلب. على سبيل المثال، استجابة لاستدعاء http://www.a-website-that-I-can-trust.com/cmd.exe، يجب أن يعرض Snort تحذيرًا في نافذة الأوامر يشبه في مظهره التحذيرات الثلاثة الأولى على الشاشة 4. تتم كتابة هذه الرسائل إلى سجل F:snortlog.

يجب اختيار مواقع الويب المستهدفة للاختبار بعناية. من وجهة نظر فنية، فإن معظم مسؤولي مواقع الويب يعتبرون مثل هذه الإجراءات بمثابة محاولة اختراق. لن تنجح هذه المحاولة (ما لم تكن هناك أخطاء جسيمة في تكوين الخادم)، لكنني أوصي بالاختبار فقط باستخدام خادمك الخاص أو خادم موثوق يكون مسؤولوه على علم بالاختبار.

إذا لم يكن الاختبار ممكنًا، فهناك طريقة أخرى لاختبار Snort وهي إرسال طلب صدى طويل بشكل غير عادي عبر الشبكة إلى خادم أو كمبيوتر يعمل عليه Snort. على سبيل المثال، يمكنك استخدام الأمر Ping

بينغ -l 32767 عنوان IP_address

حيث ip_address هو عنوان IP للخادم الهدف أو كمبيوتر Snort. يجب أن يرسل هذا الأمر حزمة طويلة جدًا (الطول الدقيق - 32 كيلو بايت)، وهو أمر غير معتاد بالنسبة لأمر Ping. يجب أن يكتشف Snort هذه الحزمة، كما هو موضح في التحذيرات الثمانية السفلية الشاشة 4 .

إذا تلقيت تحذيرات، يمكنك البدء في تكوين Snort لظروفك المحددة. بخلاف ذلك، ستحتاج إلى العودة إلى إجراء التثبيت والتحقق مما إذا تم تخطي أي خطوة.

الخطوة 4: إعداد Snort

يتم تخزين بيانات تكوين Snort الأساسية في ملف snort.conf، والذي يقع افتراضيًا في الدليل %systemdrive%snortetc. يمكن ترك الملف في هذا المجلد أو نقله إلى مجلد آخر إذا قمت بتحديد المسار إلى البرنامج في سطر الأوامر.

إن الوصف التفصيلي لجميع المعلمات الموجودة في snort.conf يمكن أن يملأ إصدارًا كاملاً من المجلة، نظرًا لأن Snort برنامج قوي بشكل مدهش. في الوقت الحالي، سننظر فقط في معالمه الرئيسية.

لتمييز حركة المرور الواردة عن حركة المرور الصادرة، يتعين عليك إخبار Snort بالمضيفين وعناوين IP الخاصة بشبكة مؤسستك. لإدخال هذه المعلومات، يجب تعيين متغير HOME_NET في ملف snort.conf. يجب أن تجد الخط

فار HOME_NET أي

واستبدالها بمجموعة من عناوين IP. يمكنك تحديد نطاق واحد، على سبيل المثال

فار HOME_NET 192.168.0.1/24

أو عدة نطاقات عند تحديد نطاقات متعددة، يجب عليك وضع مجموعة النطاقات بين قوسين مربعين وفصل كل نطاق بفاصلة. لا يمكنك إدخال مسافات بين نطاقات عناوين IP. على سبيل المثال، الخط

فار HOME_NET

يخبر Snort أن الشبكات الفرعية 10.0.1.0/24 و10.0.2.0/24 و10.0.3.0/24 تنتمي إلى شبكة المؤسسة. افتراضيًا، يتعامل Snort مع كافة العناوين الأخرى على أنها عناوين خارجية. يمكنك تحديد الشبكات التي يجب اعتبارها خارجية بشكل صريح عن طريق تعيين المتغير EXTERNAL_NET. في ملف snort.config تحتاج إلى العثور على السطر

فار EXTERNAL_NET أي

واستبداله بعنوان IP الخاص بالشبكة الذي ينبغي اعتباره خارجيًا. ومع ذلك، فمن الأفضل عمومًا ترك المتغير EXTERNAL_NET مضبوطًا على أي للبدء به.

بعد قضاء بعض الوقت، يمكنك التعرف على أنواع الخوادم التي تمتلكها مؤسستك ومواقعها. هذه المعلومات موجودة في متغيرات DNS_SERVERS، وSMTP_SERVERS، وHTTP_SERVERS، وSQL_SERVERS، وTELNET_SERVERS في الأسطر التالية من ملف snort.conf:

فار DNS_SERVERS $HOME_NET، فار SMTP_SERVERS $HOME_NET، فار HTTP_SERVERS $HOME_NET، فار SQL_SERVERS $HOME_NET، فار TELNET_SERVERS $HOME_NET، فار SNMP_SERVERS $HOME_NET

افتراضيًا، يتم تعيين كافة متغيرات الخادم الستة على $HOME_NET؛ وهذا يعني أن Snort سيراقب جميع أنواع الهجمات على جميع الأنظمة في نطاق HOME_NET. يعد هذا التكوين مقبولًا تمامًا بالنسبة للشبكة الصغيرة التي يتحمل مسؤولوها عددًا معينًا من التنبيهات الخاطئة. ولكن لمراقبة حركة المرور الكثيفة، يُنصح بضبط Snort للتحقق من جزء فقط من التوقيعات الخاصة بعقد معينة. ليس من المنطقي حماية خادم ويب يقوم بتشغيل Microsoft IIS فقط من هجمات تجاوز سعة المخزن المؤقت لـ SQL. لتحديد فئة مضيف معينة، يجب عليك استبدال $HOME_NET بنطاق من عناوين IP للخادم المستهدف وفقًا للتنسيق المستخدم لمتغير HOME_NET. على سبيل المثال، بالنسبة للمتغير DNS_SERVERS، بدلاً من $HOME_NET، يجب عليك استبدال نطاق عناوين IP لخوادم DNS.

يمكن تحسين دقة الضبط من خلال تحديد المنافذ التي تستخدمها الخوادم لتطبيقات معينة. على سبيل المثال، إذا كانت خوادم الويب تستخدم منفذًا خاصًا 8080 لحركة مرور HTTP بدلاً من المنفذ 80 (يُستخدم هذا المنفذ عادةً لخوادم الويب والمتصفحات)، فيمكنك تكوين Snort لمراقبة المنفذ 8080 عن طريق تغيير متغير HTTP_PORTS. في snort.conf يجب أن تجد السطر

فار HTTP_PORTS 80

واستبدله بالسطر

فار HTTP_PORTS 8080

وبالمثل، يمكنك تغيير منافذ Oracle (المحددة بواسطة المتغير ORACLE_PORTS) والتطبيقات الأخرى. مثل المتغير HTTP_PORTS، فإن قيمة ORACLE_PORTS الافتراضية هي 80. إذا كان الخادم يستخدم المنفذ 1521 بدلاً من ذلك، فستبدو السلسلة هكذا

فار أوراكل_بورتس 1521

وبالتالي، هناك العديد من الإعدادات التي يمكن تكوينها في ملف snort.conf. يجب عليك مراجعة snort.conf للعثور على الإعدادات الأكثر أهمية لبيئتك المحددة وتكوينها وفقًا لذلك.

المرحلة 5. وضع القواعد

يحتوي أحد الأسطر في snort.conf على المتغير RULE_PATH. مثال على هذا الخط:

فار RULE_PATH ../rules

يحدد خيار ../rules أنه يمكن العثور على القواعد (أي التوقيعات) في دليل القواعد، والذي يقع على نفس مستوى ثنائيات Snort في بنية الدليل. لذا، على سبيل المثال، إذا قمت بتثبيت Snort في المجلد العام F:snort، فإن ثنائيات Snort موجودة في F:snortin والقواعد موجودة في قواعد F:snort. يمكنك تغيير المتغير RULE_PATH إذا كنت ترغب في ذلك، ولكن الخيار الافتراضي جيد.

القواعد هي أساس الشخير. وهي عبارة عن تسلسلات من البايتات، وتوقيعات الهجوم، وأنواع أخرى من البيانات التي، عند اكتشافها، تولد تنبيهًا. لدى Snort أكثر من 1500 توقيع جاهز.

كيف تبدو القاعدة؟ تبدو قاعدة cmd.exe التي تم انتهاكها أثناء اختبار Snort كما يلي: تنبيه tcp $EXTERNAL_NET Any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe Access"; تدفق:to_server، تم إنشاؤه؛ المحتوى: " cmd.exe"; classtype:web-application-attack; sid:1002;). دعونا نلقي نظرة على المكونات الرئيسية للقاعدة. يحدد الرابط $EXTERNAL_NET Any -> $HTTP_SERVERS $HTTP_PORTS أنه يجب تحليل حركة المرور القادمة إلى الشبكة من الخارج فقط (كما هو محدد بواسطة متغير EXTERNAL_NET). المحتوى: تحدد المعلمة البحث عن تسلسل من أحرف cmd.exe في دفق البيانات. عندما يكتشف Snort مثل هذا التسلسل، فإنه يقوم بإنشاء تحذير محدد بواسطة المعلمة msg:.

كما ترون من المثال cmd.exe، فإن القواعد بسيطة في الغالب. يمكنك إنشاء القواعد الخاصة بك لأي نوع من حركة المرور. على سبيل المثال، إذا كنت تريد اكتشاف المحاولات غير المصرح بها للوصول عن بعد إلى دليل على جهاز من خلال مترجم الأوامر، فيمكنك البحث عن وحدة التخزين في محرك الأقراص أو الرقم التسلسلي لوحدة التخزين على المنافذ التي نادرًا ما يتم العثور عليها، مثل المنافذ الصادرة. بفضل النهج المرن لتعيين القواعد، يتم تزويد المسؤولين بخيارات تكوين شاملة لـ Snort.

يتم تخزين قواعد Snort البالغ عددها 1500 في ملفات مختلفة وفقًا لأنواع البيانات التي يتم تحليلها. على سبيل المثال، قاعدة cmd.exe موجودة في الملف web-iis.rules. إذا كانت المؤسسة لا تستخدم IIS، فلن يحتاج البرنامج إلى اكتشاف هجمات IIS. يمكن إزالة ملف web-iis.rules بسهولة من التكوين بالكامل عن طريق البحث عن السطر والتعليق عليه

قم بتضمين $RULE_PATH/web-iis.rules

في ملف snort.conf. لإضافة تعليق إلى السطر، ضع رمز (#) قبله:

# تشمل $RULE_PATH/web-iis.rules

افتراضيًا، يتم تمثيل بعض أنواع ملفات القواعد (على سبيل المثال، icmp-info.rules، chat.rules) بواسطة التعليقات في snort.conf. التكوين الافتراضي للقواعد في snort.conf جيد جدًا. بعد تفعيل القواعد المحظورة، يقوم البرنامج عادةً بإنشاء العديد من التحذيرات غير الضرورية.

تحتوي بعض الملفات على عدد من القواعد المفيدة، لكن بعض القواعد تنشئ الكثير من التحذيرات غير الضرورية. لتعطيل قاعدة معينة، تحتاج إلى وضع علامة على السطر المقابل في ملف القواعد كتعليق. في المستقبل، سوف يتجاهل Snort هذه القاعدة عند العمل مع الملف.

عند ظهور مصادر تهديد جديدة، يجب تحديث ملف القواعد. أفضل مصدر للقواعد الجديدة هو Snort.org. لا يحتوي موقع الويب هذا على خدمة تحديث تلقائية، لذا سيتعين على المسؤول التحقق منه بانتظام للحصول على تحديثات عند ظهور تهديد جديد.

الخطوة 6: تكوين التنبيهات والسجلات

كما ذكرنا سابقًا، يوفر Snort إمكانية تسجيل المعلومات في قواعد البيانات المتوافقة مع MySQL وSQL Server وOracle وODBC. ما عليك سوى تحديد نوع قاعدة البيانات المناسب أثناء عملية تثبيت Snort. من أجل عدم زيادة طول المقالة بشكل مفرط، سننظر في أوضاع التسجيل القياسية باستخدام ملف نصي ووظيفة كتابة الرسائل إلى سجل أحداث Windows.

عند تشغيل NIDS باستخدام أمر Snort، يؤدي مفتاح تبديل وحدة التحكم -A إلى عرض تحذيرات على الشاشة. لإعادة توجيه الرسائل إلى ملف نصي، يجب عليك استبدال رمز التبديل هذا بـ -A سريع أو -A كامل، اعتمادًا على وضع التسجيل المفضل لديك. تعرض المعلمة الكاملة وصفًا تفصيليًا للتهديد في عدة أسطر من ملف نصي يسمىAlerts.ids في الدليل، ويتم تحديد المسار إليه بواسطة رمز التبديل -l. يوفر هذا النوع من التسجيل تفاصيل شاملة، ولكن قد يكون من الصعب فهمه إذا كان هناك الكثير من الأحداث التي تم تسجيلها على الشبكة. في مثل هذه الشبكات "الصاخبة"، يوصى باستخدام الوضع السريع لإضافة إدخالات من سطر واحد إلى Alerts.ids التي تحتوي على الخصائص الرئيسية لحركة المرور المشبوهة. في رأيي، العمل مع ملف نصي في الوضع السريع أسهل من الوضع الكامل.

يوفر الإصدار الحالي من Snort إمكانية التسجيل في سجل أحداث Windows. لقد اشترت العديد من المؤسسات بالفعل أدوات مركزية لمراقبة الأحداث وتسجيلها وجمع البيانات، وستكون هذه الميزة بمثابة إضافة رائعة لبيئة Windows.

لكتابة تحذيرات في سجل أحداث التطبيق للنظام الذي يعمل عليه Snort، استخدم المفتاح -E بدلاً من المفتاح -A (المعلمات اختيارية). يوضح الشكل 5 كيف يبدو حدث Snort (في هذه الحالة، محاولة الوصول إلى cmd.exe) المنشور في سجل التطبيق. يوفر حدث Windows نفس المعلومات التفصيلية التي توفرها شاشة وحدة التحكم.

يكون NIDS عديم الفائدة إذا نظر المسؤول إلى سجلات الأحداث (أو السجلات النصية) مرة واحدة في الأسبوع. إذا حدث شيء ما على الشبكة، فيجب أن يعرف المسؤول عنه على الفور. يمكن لنظام المراقبة ومعالجة الأحداث المركزي إرسال الرسائل عبر البريد الإلكتروني وأجهزة النداء وأجهزة الاتصال الأخرى. ولكن إذا لم يكن هناك مثل هذا النظام، فهذا لا يدعو للقلق. يقدم NETIKUS.NET حزمة مجانية من EventSentry Light يمكن استخدامها لإرسال التنبيهات.

EventSentry Light هو إصدار تجريبي من EventSentry ويمكن تنزيله من http://www.netikus.net/products_downloads.html. باستخدام EventSentry Light، يمكنك تكوين نظامك لمراقبة سجلات الأحداث وإرسال رسائل بريد إلكتروني مفصلة تلقائيًا حول أي أحداث Snort مسجلة في السجل. على الشاشة 6يظهر رسالة بريد إلكتروني حول محاولات مهاجمة cmd.exe. لقد تلقيت هذه الرسالة من EventSentry Light بعد ثوانٍ قليلة من وقوع الهجوم.

كما ذكرنا سابقًا، يقوم Snort عادةً بإنشاء عدد كبير من الرسائل غير الضرورية التي تملأ سجلات الأحداث بسرعة. هذا شيء يجب أخذه في الاعتبار عند اختيار أحجام الملفات لسجلات الأحداث وكيفية تدويرها. لمنع EventSentry Light من إغراق صندوق الوارد الخاص بك برسائل حول الأحداث البسيطة، يمكنك إنشاء عامل تصفية للبحث عن سلاسل المفاتيح. على سبيل المثال، قمت بتنظيم مرشح بحث لسلسلة في نص الرسائل.

الخطوة 7: التشغيل كخدمة

بمجرد الانتهاء من ذلك، يمكنك تشغيل Snort كخدمة بدلاً من الاضطرار إلى تسجيل الدخول إلى جهاز الكمبيوتر المكتبي الخاص بك في كل مرة تريد فيها تشغيل البرنامج. إذا قمت بتشغيل Snort باستخدام خياري /SERVICE و/INSTALL (جنبًا إلى جنب مع خيارات سطر الأوامر الأخرى)، فسيتم تكوين Snort للتشغيل كخدمة Windows ويبدأ تلقائيًا مع Windows دون تدخل المستخدم.

المستوى التالي: وحدات التوسع

Snort هو تطبيق متميز بالكامل. ومع ذلك، في بعض الحالات يحتاج البرنامج إلى التوسع. على سبيل المثال، إذا تم نشر العديد من NIDS في أجزاء مختلفة من الشبكة، فمن الملائم إدارة Snort من الواجهة الرسومية. يتم تنفيذ هذه القدرات في وحدات ملحق IDScenter من Engage Security وIDS Policy Manager من Activeworx. في بعض الأحيان يكون من الضروري تحليل المعلومات الواردة في الرسائل. يمكنك عرض وتحليل البيانات المخزنة باستخدام وحدة التحكم في التحليل لقواعد بيانات التسلل (ACID) التي تم تطويرها في جامعة كارنيجي ميلون.

حماية موثوقة

Snort هو برنامج كامل المواصفات ولن يضر بميزانية الشركة. من خلال الجمع بين Snort وتطبيق قوي لمراقبة الأحداث مثل EventSentry Light، يمكنك منع الهجمات ضد شبكتك بشكل استباقي.

وزارة التعليم والعلوم في الاتحاد الروسي

المؤسسة التعليمية الحكومية للتعليم المهني العالي

"جامعة ولاية سانت بطرسبرغ
هندسة أدوات الطيران والفضاء"

العمل بالطبع (المشروع)
محمي بتصنيف ممتاز

مشرف

انتهى العمل)

سانت بطرسبرغ 2011

1.. ما هو الشخير؟. 2

2. وضع الشم: 2

3. وضع تسجيل الحزمة. 6

4. وضع كشف التسلل إلى الشبكة. 6

1. ما هو الشخير؟

Snort هو نظام خفيف الوزن لكشف التسلل. يُطلق على Snort عادةً اسم NIDS / فك تشفير "خفيف الوزن" أو ترجمة / - لأنه مصمم بشكل أساسي للشبكات الصغيرة. يمكن للبرنامج إجراء تحليل البروتوكول ويمكن استخدامه للكشف عن مجموعة متنوعة من الهجمات.

يستخدم Snort "القواعد" (المحددة في ملفات "القواعد") لمعرفة أي حركة مرور مسموح بها وأي حركة مرور يجب حظرها. الأداة مرنة، مما يسمح لك بكتابة قواعد جديدة ومتابعتها.

يمكن أن يعمل Snort في 3 أوضاع رئيسية:

· وضع الشم: يسمح لك ببساطة بالتقاط الحزم من الشبكة وعرضها على الشاشة (عادةً وحدة التحكم)

· وضع تسجيل الحزم: يسمح لك بحفظ الحزم على القرص الصلب الخاص بك

· يعد وضع نظام كشف التطفل (NIDS) هو التكوين الأكثر تطورًا وقابلية للتخصيص والذي يسمح لك بتحليل حركة مرور الشبكة استنادًا إلى مجموعة من القواعد المحددة من قبل المستخدم.

2. وضع الشم:

في وضع استنشاق الحزم، يقرأ Snort ببساطة الحزم القادمة من الشبكة ويعرضها على الشاشة. لعرض رؤوس حزم TCP/IP، يجب عليك تشغيل:

شخير –v

يعرض هذا الأمر رؤوس حزم IP وTCP/UDP/ICMP. يمكنك معرفة من أين تم إرسال الحزم، وإلى كم عدد /العناوين؟/. يجب أن يكون الشكل/الرسومات مرقمة كمرجع. لا يوجد رابط - هذا يعني أن الصورة غير مطلوبة / من الواضح أن هناك عنوانين صادرين / من أين يمكنك رؤيتها؟ قم بفك تنسيقات الإدخالات في الشكل أو على الأقل الرجوع إلى رقم السطر /

لفهم ما هي هذه العناوين، فقط قم بتشغيل الأمر

معلومات النظام

من اللقطة / بالفعل - لقطات. وليس الرسومات؟ يجب الحفاظ على التوحيد داخل الوثيقة! أم أنه شيء آخر؟ / يصبح من الواضح ما هي هذه العناوين الصادرة. / حسنًا، قم بإدراجها - أو على الأقل الإشارة إليها. أن أرقامهم مذكورة بين قوسين معقوفين /

وللاطلاع على البيانات الموجودة في العبوات يجب عليك إدخال:

سنورت-vd

https://pandia.ru/text/78/320/images/image004_112.jpg" alt=" Detail_output.jpg" width="589" height="338">!}

يمكن إعطاء المفاتيح بأي شكل من الأشكال، على سبيل المثال: "snort - vde"، "snort - d - ev" و"snort - e - v -d".

سوف يستمر Snort في جمع المعلومات حتى يتم مقاطعته. لإكمال التقاط الحزمة، يجب عليك الضغط على Ctrl-C. بعد الضغط على Ctrl-C، سيتم عرض تقرير بالحزم الملتقطة. يوجد أدناه التقرير بعد تشغيل Snort لمدة دقيقة تقريبًا.

من اللقطة، يمكنك أن ترى أن معظم الحزم التي تم تحليلها هي حزم TCP/IP. تم أيضًا التقاط حزم UDP.

3. وضع تسجيل الحزمة

يسمح لك وضع تسجيل الحزم بكتابة دفق من المعلومات على القرص. يعد هذا مفيدًا عند إجراء التحليل على مدار فترة زمنية أو التحقق من التغييرات في الإعدادات وسياسات الأمان.
تحتاج إلى إنشاء دليل للسجلات وتحديده، وسيتحول Snort تلقائيًا إلى وضع تسجيل الحزم.

مثال: إنشاء دليل السجلات و اهرب:

سنورت - ديف - l../log

نتيجة للعملية /أين وأين تبحث عنه، كيف تحدد الموقع المطلوب؟/ الملف Snort. سجل.. الأرقام الموجودة في نهاية أسماء الملفات الجديدة هي طوابع زمنية، مما يساعد على تجنب التعارضات عند إنشاء الملفات. /مثال لملف السجل مرغوب فيه/

4. وضع كشف التسلل إلى الشبكة

الوضع الثالث لـ Snort هو وضع كشف التسلل إلى الشبكة (NIDS).

في شكلها الأساسي، تتكون قاعدة Snort /أين يتم تخزينها؟/ من جزأين: الرأس والمعلمات. فيما يلي مثال للقاعدة.

تنبيه tcp Any Any -> Any Any (المحتوى: "www."; msg: "شخص ما يزور youtube الآن"; sid:1000002; rev:1)

هل يمكن تمثيل نموذج هيكل القاعدة هل هو مشفر أم يمكن تغييره؟ ونأمل أن تكون العناصر الموجودة بين قوسين معقوفين اختيارية. معروف. ولكن هل هناك فواصل خاصة بينهما/ وفق المخطط التالي:

<действие_правила> <протокол> <порт> <оператор_направления>

<порт>([البيانات الوصفية] [package_contents_data]

[data_in_header] [action_after_detection])

تنقسم إجراءات القاعدة إلى الفئات التالية:

1. يُحذًِر - إنشاء تنبيه باستخدام الطريقة المحددة وإبلاغ المعلومات إلى نظام التسجيل.

2. سجل - استخدم نظام التسجيل لتسجيل معلومات الحزمة.

3. يمر - تجاهل الحزمة.

4. تفعيل - استخدم قاعدة ديناميكية أخرى.

5. متحرك - بعد تنفيذ القاعدة النشطة، يتم تنشيط القاعدة مع إجراء التسجيل.

6. يسقط - أسقط الحزمة باستخدام جدار حماية البرنامج وأبلغ نظام التسجيل بالمعلومات

7. sdrop - قم بإسقاط الحزمة باستخدام برنامج جدار الحماية ولا تستخدم نظام التسجيل.

8. يرفض - باستخدام جدار الحماية، تخلص من الحزمة إذا كان البروتوكول TCP، أو اكتب رسالة إلى ملف السجل: منفذ ICMP غير متاح إذا وصلت الحزمة عبر بروتوكول UDP

الجزء الثاني من قاعدة Snort هو الخيارات التي تحدد تفاصيل إضافية لحركة المرور المكتشفة. يمكنك البحث عن طريق مجموعة من الحقول في رأس TCP/ أو عن طريق حمولة الحزمة. يجب أن يتبع كل خيار علامات الاقتباس والقيمة المطلوبة. يمكنك إضافة خيارات متعددة عن طريق الفصل بينها بفاصلة منقوطة. فيما يلي خيارات صالحة.

سيد - تسمية فريدة تحدد القاعدة. يجب استخدام هذا الخيار مع الخيار مراجعة .

<100 зарезервировано для дальнейшего использования

100-999,999 قواعد محفوظة بالفعل

>=1,000,000 قاعدة محددة من قبل المستخدم

مراجعة- قيمة إصدار القاعدة. استخدام مترجم قواعد المراجعة

يحدد Snort إصدار القاعدة المكتوبة.

يمكنك تشغيل Snort في وضع IDS باستخدام الأمر:

snort - c "D:\Program Files\Snort\etc\snort.conf" - l "D:\Program Files\Snort\log" - وحدة تحكم - i 1

مفتاح -معيعني أن وضع IDS ممكّن

مفتاح – ل تمكين وضع التسجيل على القرص الصلب مما يشير إلى المسار إلى الملف

مفتاح – أ يوضح أن جميع التحذيرات (التنبيهات) سيتم تكرارها بواسطة إخراج وحدة التحكم

مفتاح – أنا يشير إلى رقم فهرس الواجهة التي نهتم بها

لمعرفة الواجهات المدعومة التي تحتاجها لتشغيل الأمر:

شخير – دبليو

محتويات الملف شخير. conf

محتويات الملف ***** ليه:

في الملف الشخير. conf يمكنك ربط القواعد باستخدام الكلمة الأساسية يشمل .

نتيجة الأمر:

ويمكن ملاحظة أن Snort اكتشف محاولة للوصول إلى موقع "خطير".

لا توجد معلومات عن المصدر الذي تم أخذ التوزيع منه، أو عن نظام التشغيل الذي تم إجراء البحث عليه

عموما العمل مثير جدا للاهتمام. /