4.4 Snort və Archive verilənlər bazalarında cədvəllərin yaradılması

Snort və Arxiv verilənlər bazalarını tərtib etmək üçün Snort sxemindən istifadə edəcəyik.

# cd /usr/share/doc/snort-mysql # zcat create_mysql.gz | mysql -u -h localhost -p snort # zcat create_mysql.gz | mysql -u -h localhost -p arxivi

4.5 Verilənlər bazalarının və yeni yaradılmış cədvəllərin yaradılmasının təsdiqi.

MySQL serverinə daxil olun və yeni yaratdığımız verilənlər bazalarını və həmin verilənlər bazalarında yerləşdirilən cədvəlləri yoxlayın. Hər şey uğurla yaradılıbsa, siz mysql verilənlər bazasında dörd (4) verilənlər bazası (mysql, test, snort və arxiv) və hər verilənlər bazasında təxminən 16 cədvəl görəcəksiniz.

# mysql -u root -p mysql> verilənlər bazalarını göstər; mysql> snort istifadə edin; mysql> cədvəlləri göstər; mysql> arxivdən istifadə edin; mysql> cədvəlləri göstər; mysql> çıxın

4.6 Snortun sınaqdan keçirilməsi

Terminal rejimində əmri yazın: # snort -c /etc/snort/snort.conf

Hər şey qaydasındadırsa, cavabı ascii kodlarında görməlisiniz.

Testi bitirmək üçün ctrl + c düyməsini basın

5. Apache2-nin konfiqurasiyası

Apache2 paketi artıq kompüterinizdə quraşdırılmalıdır.

Sevimli mətn redaktorunuzdan istifadə edərək /var/www/ qovluğunda test.php adlı fayl yaradın.

# vim /var/www/test.php

İçinə yazın:

Dəyişikliklərinizi yadda saxlayın və bu faylı bağlayın.

/etc/php5/apache2/php.ini faylını redaktə edin

# vim /etc/php5/apache2/php.ini

"Dinamik genişləndirmələr" sətirinə aşağıdakıları əlavə edin:

Extension=mysql.so extension=gd.so

Apache2-ni yenidən başladın.

# /etc/init.d/apache2 yenidən başladın

İş kompüterinizin IP ünvanını əldə edin.

# ifconfig -a

Veb brauzerinizi açın və http://YOUR_IP_ADDRESS/test.php ünvanına keçin.

Hər şey qaydasındadırsa, PHP məlumatları göstərilir.

6. Qovluqların konfiqurasiyası

ADOdb-ni /var/www qovluğuna köçürün.

# mv /usr/share/php/adodb /var/www/

www-də web adlı qovluq yaradın və ACIDBASE-i ora köçürün.

# mkdir /var/www/web # mv /usr/share/acidbase /var/www/web/

Quraşdırmaq üçün müvəqqəti olaraq acidbase verilənlər bazası qovluğuna yazmağa icazə verin.

# chmod 777 /var/www/web/acidbase

# cd /var/www/web/acidbase # mv base_conf.php base_conf.old

ACIDBASE-də işləmək üçün əmri yerinə yetirin:

#armud quraşdırın Image_Color

7. Snort və Arxiv verilənlər bazaları üçün ACIDBASE-nin quraşdırılması

7.1 Snort verilənlər bazasının veb brauzer vasitəsilə quraşdırılması

5 addımdan 1-i:

ADODB yolunu daxil edin. Bu /var/www/adodb.

Addım 2/5:

Əsas verilənlər bazası növü = MySQL
Verilənlər bazasının adı = snort
Database Host = localhost (Snort verilənlər bazasının yerli yeri),
Verilənlər bazasının istifadəçi adı =<ваше_имя_пользователя>(Snort verilənlər bazası istifadəçi adı)
Verilənlər Bazasının Şifrəsi =<ваш_пароль>(Snort verilənlər bazası üçün parol)

Arxiv verilənlər bazası növü = MySQL (Arxiv verilənlər bazası növü),


Verilənlər bazasının istifadəçi adı =<ваше_имя_пользователя>
Verilənlər Bazasının Şifrəsi =<ваш_пароль>

Addım 3/5:

Əgər autentifikasiyadan istifadə etmək istəyirsinizsə, istifadəçi adınızı və şifrənizi daxil edin (istifadəçi:<ваше_имя>, parol:<ваш_пароль>).

Addım 4/5:

BASE AG yarat düyməsini klikləyin.

Addım 5/5:

4-cü addım tamamlandıqda, aşağıda, klikləyin: İndi 5-ci addıma davam edin.

Bu səhifəni işarələyin.

7.2 Arxiv ACIDBASE verilənlər bazası üçün qovluq yaradın

Arxiv verilənlər bazasının düzgün işləməsi üçün ACIDBASE qovluğunda arxiv qovluğu yaradılmalıdır.

# mkdir /var/www/web/acidbase/archive # cd /var/www/web/acidbase # cp -R * /var/www/web/acidbase/archive # chmod 777 /var/www/web/acidbase/archive

Mövcud base_conf.php faylının adını base_conf.old olaraq dəyişdirin.

# cd /var/www/web/acidbase/archive # mv base_conf.php base_conf.old

7.3 Arxiv verilənlər bazasının veb brauzer vasitəsilə quraşdırılması.

Veb brauzerini açın və http://YOUR_IP_ADDRESS/web/acidbase/archive/setup ünvanına keçin.

Birinci səhifədə Davam et düyməsini klikləyin.

5 addımdan 1-i:

ADODB yolunu daxil edin. Bu /var/www/adodb. >

Addım 2/5:

Arxiv verilənlər bazası növü = MySQL
Verilənlər bazasının adı = arxiv (Verilənlər bazası arxivi),
Database Host = localhost (Arxiv verilənlər bazasının yerli yeri),
Verilənlər bazasının istifadəçi adı =<ваше_имя_пользователя>(Arxiv verilənlər bazası istifadəçi adı),
Verilənlər Bazasının Şifrəsi =<ваш_пароль>(Arxiv verilənlər bazası üçün parol)

Addım 3/5:

Əgər autentifikasiyadan istifadə etmək istəyirsinizsə, istifadəçi adınızı və şifrənizi daxil edin (istifadəçi:<ваше_имя_пользователя>, parol:<ваш_пароль>).

Addım 4/5:

BASE AG yaradın üzərinə klikləyin.

Addım 5/5:

4-cü addım tamamlandıqda, aşağıya klikləyin: İndi 5-ci addıma davam edin (İndi 5-ci addıma keçin).

8. Snort-u işə salın və xidmətlərin vəziyyətini yoxlayın.

Snort-u işə salmaq üçün terminal rejimində yazın:

# snort -c /etc/snort/snort.conf -i eth0 -D

Bu əmr demo rejimində eth0 interfeysindən istifadə edərək xoruldamağa başlayır.

Aşağıdakı əmrdən istifadə edərək xidmətin işlədiyini yoxlaya bilərsiniz:

# ps aux | grep xoruldamaq

Xidmət işləyirsə, aşağıdakı snort -c /etc/snort/snort.conf -i eth0 -D ilə oxşar bir şey görəcəksiniz.

Aşağıdakı əmrləri yerinə yetirməklə bütün tələb olunan xidmətlərin işlədiyini yoxlayın:

# /etc/init.d/mysql status # /etc/init.d/apache2 status # /etc/init.d/snort status

Xidmətlər işləyirsə, cavab mesajı görəcəksiniz .

Lazım gələrsə, əmri işə salın
# /etc/init.d/ yenidən başlamaq
yenidən işə salınmalı olan xidmətlərin hər biri üçün.

Giriş

Bu işin əsas məqsədi məşhur IDS tətbiqi Snort-u təsvir etmək və öyrənməkdir. Snort, bir çox şəbəkə administratorları tərəfindən zərərli imzaları ələ keçirmək və şəbəkələri hücuma məruz qaldıqda onları xəbərdar etmək üçün istifadə edilən böyük açıq mənbəli layihədir. Snort paketləri şübhəli sorğular və müdaxilə cəhdləri üçün yoxlayaraq şəbəkə interfeyslərindən gələn bütün trafiki kəsir.

Onun əsas üstünlüyü onun əlçatanlığı və xüsusi iş şəbəkənizə uyğun olaraq işini redaktə etmək imkanıdır. Proqram həm kiçik, həm də böyük təşkilatlarda işləmək üçün nəzərdə tutulub. Müəyyən bir təşkilatın təhlükəsizlik tələblərinə (məsələn, işçilərin sosial şəbəkələrə girişinə qadağa) əsaslanaraq, öz unikal qaydalarınızı redaktə etmək imkanı da vacibdir.

Dezavantajlara bəzi əməliyyat sistemlərində (məsələn, Windows) quraşdırma və quraşdırmanın əlverişsizliyi, quraşdırmanın vahid kifayət qədər tam və ətraflı təsvirinin olmaması və öz qaydalar dəstinizin inkişafı daxildir.

Həm də yanlış həyəcan siqnallarını kəsmək çox çətindir, çünki müxtəlif müəssisələrdə çox vaxt fərqli məhdudiyyətlər olur və qaydaların kifayət qədər dəqiq tənzimlənməsi tələb olunur. Hərflərə həssas düymələrdən istifadə edərək tətbiqi işə salmaq üçün bir çox rejimləri yadda saxlamaq çox çətindir və səhv çıxışa səbəb ola bilər.

Bu işin əsas vəzifəsi IDS Snort-un funksional xüsusiyyətlərini anlamaq və ona müxtəlif növ şəbəkə hücumları həyata keçirməklə tətbiqin işini yoxlamaqdır. Daha rahat formatda oxşar IDS-lərin olub olmadığını öyrənin. Snort verilənlər bazası ilə necə qarşılıqlı əlaqə qurur. Bir neçə unikal qaydaları hazırlayın və onları funksionallıq baxımından sınayın.

IDS Snort-un quraşdırılması və konfiqurasiyası

Snort: Windows XP-də quraşdırma

Snort-u Windows əməliyyat sistemində quraşdırarkən bəzi çətinliklərlə qarşılaşa bilərsiniz. Buna görə də, bu iş quraşdırma və konfiqurasiya variantlarının kifayət qədər ətraflı hissəsinə yönəlmişdir. Əvvəlcə lazımi proqramları iş kompüterinizə yükləməlisiniz.

Snort üçün qaydalar.

Yuxarıda göstərilənlərin hamısı bu proqramların rəsmi saytlarından endirilir.

Winpcap kernel səviyyəsində paketləri tutan və filtrləyən proqramdır. Bu, daxili Unix libpcap sürücüsünə bənzəyir. Quraşdırma xüsusi bir narahatlığa səbəb olmayacaq, adi quraşdırıcı vasitəsilə işə salınır. Bundan sonra, IDS-nin özünü rəsmi veb saytından yükləməlisiniz, bundan sonra biz oradan qaydalarla ən son arxivi endiririk. Növbəti addım, arxivdə olan bütün qovluqları qaydalarla tətbiqin kök qovluğuna tamamilə kopyalamaq, lazım olduqda məzmunu tamamilə dəyişdirmək olacaq. Sonra proqramın düzgün işləməsi üçün konfiqurasiya faylında mühüm dəyişikliklər etməlisiniz.

var RULE_PATH c:snort ules

var SO_RULE_PATH c:snortso_rules

var PREPROC_RULE_PATH c:snortpreproc_rules

dynamicpreprocessor qovluğu c:snortlibsnort_dynamicpreprocessor

dynamicengine c:snortlibsnort_dynamicenginesf_engine.dll

#dynamicdetection kataloqu /usr/local/lib/snort_dynamicrules

Konfiqurasiya faylında oxşar sətirləri tapırıq və onları yuxarıda göstərilənlərlə əvəz edirik. Bundan sonra tətbiqi sınaqdan keçirməyə çalışırıq. Komanda xəttini işə salın və "zibil" bölməsindəki proqram qovluğuna keçin. "Snort -W" əmrini daxil edin

düyü. 1.1.

Bu əmrlə interfeyslərimizə baxmaq üçün proqramın funksionallığını yoxlayırıq. Onların birdən çox olduğuna əmin olduqdan sonra paketləri tutmağa və IDS-nin işinə nəzarət etməyə başlamaq üçün işçi şəbəkəyə qoşulmuş olanı seçirik.

C:Snortinsnort -i 3 -c C:snortetcsnort.conf -l C:snortlog -A konsol

İndi daxil etdiyimiz əmrə baxaq. "- i 3" o deməkdir ki, biz interfeyslərimizin siyahısında ID= 3 olan interfeysə baxacağıq. Sonra konfiqurasiya faylına gedən yolu və tutulan paketlərin “loqunun” yazılmalı olduğu qovluğa gedən yolu göstərdik. "-A konsol" siqnal paketlərinin konsolumuzda aşkar ediləcəyini bildirir. Əgər emal zamanı hər hansı problem yaranarsa, biz onları müəyyən edildiyi kimi aradan qaldırırıq. Snort qurma xətasının sətirini və növünü göstərir. Hər şey işlədisə, işləyən qaydalardan biri işə salınana qədər heç nə görməyəcəyik. Onlardan birini istifadə etmək üçün gəlin şəbəkə hücumunu simulyasiya etməyə və yerli şəbəkəmiz üzərində şübhəli paketi işə salmağa çalışaq. Bunu etmək üçün, məsələn, əmr satırını açın və aşağıdakıları daxil edin: "Ping 192.168.1.16". Snort 192.168.1.1624 ünvanında hostu dinləmək cəhdinin qarşısını alacaq və şəbəkədə şübhəli fəaliyyət haqqında mesaj və məlumat göstərəcək. Təəssüf ki, bu cür IDS sistemlərinin ciddi bir çatışmazlığı var - yanlış pozitivlər. Bu baxımdan, Snort-un faydalı olması və yanıltıcı olmaması üçün qaydaları kifayət qədər və aydın şəkildə müəyyən etmək və bu yanlış pozitivlərdən qaçmaq üçün baxılan şəbəkələri fərqləndirmək lazımdır.

düyü. 1.2.

İndi IDS-nin işlədiyi konsolda “dinləmə”yə bənzəyən şübhəli paket haqqında mesajlar görünəcək. Bu qayda Snortun tam işlək olduğunu göstərdi. Gəlin onun iş rejimlərini və sonrakı iş üçün qaydaların sintaksisini nəzərdən keçirək.

Hər gün milyardlarla məlumat paketləri korporativ şəbəkələr arasında ötürülür. Onlardan bəziləri təhlükəlidir; Bu cür paketlərin müəllifləri şəbəkələrin perimetri boyunca təhlükəsizlik divarlarını yan keçmək və müdafiə xətlərini yarmaq üçün xüsusi tədbirlər görərək, yolda rast gəlinən bütün sistemlərin işini pozmuşlar. Code Red, Nimda, SQL Slammer və MSBlaster kimi paket hücumların dağıdıcı təsirləri yaxşı məlumdur. Bütün bu zərərli proqramlar etibarlı protokollardan (HTTP kimi) və ya Microsoft sistemlərindən gələn şəbəkə trafikindən istifadə edir. Bu cür protokolları sadəcə olaraq götürmək və bloklamaq mümkün deyil, ona görə də administratorlar adətən təhlükəyə vaxtında cavab vermək üçün icazəsiz giriş aşkarlama sistemlərindən, Şəbəkəyə müdaxilənin aşkarlanması sistemindən (NIDS) istifadə edərək təhlükəli trafiki mümkün qədər tez tutmağa çalışırlar.

Kommersiya baxımından bir neçə NIDS mövcuddur, imkanları və dəyəri fərqlidir. Ümumiyyətlə, onların hamısı uğurla işləyir. Qarşılaşdığım bütün kommersiya paketləri əla idi. Bəs müdaxilənin aşkarlanması prioritet deyilsə, təvazökar büdcəsi olan təşkilatlar nə etməlidir? Belə hallar üçün Snort var - güclü pulsuz NIDS paketi. Bir çox açıq mənbə paketlərindən fərqli olaraq, Windows ilə uyğun gəlir.

Snortla tanış olmaq

Snort-un orijinal tərtibatçısı Martin Reş proqramı GNU Ümumi İctimai Lisenziyasının (GPL) şərtlərinə uyğun olaraq açıq ictimaiyyətə təqdim etdi. Bu paketin tarixi 1998-ci ildə başladı və o vaxtdan bəri etibarlılığını bir neçə dəfə sübut etdi. Bütün dünyada açıq icma üzvlərinin və şəbəkə administratorlarının töhfələri sayəsində Snort çox güclü bir məhsula çevrildi. Cari versiya Fast Ethernet və Gigabit Ethernet sürətlərində real vaxt rejimində şəbəkə trafikinin təhlili və IP trafik qeydini təmin edir.

Michael Davis Snort 1.7-ni Win32 platformasına köçürərək onu Windows icması üçün əlçatan etdi. Chris Reid daha sonra Snort-un yeni versiyalarını Windows mühitində asanlıqla yerləşdirilə bilən hazır icra sənədlərinə toplamaq vəzifəsini öz üzərinə götürdü.

NIDS ilə tanış olmayan idarəçilər aləti şəbəkə analizatorunun xüsusi növü kimi düşünə bilərlər. NIDS interfeysdən keçən hər bir paketi yoxlayır, adətən zərərli kodun gizlədildiyi faydalı yükdə məlum nümunələri axtarır. Snort ilə siz bir təşkilatın şəbəkəsindən keçən hər paketdə axtarış və uyğunlaşdırma əməliyyatları həyata keçirə və real vaxt rejimində bir çox hücum növlərini və qeyri-qanuni trafiki aşkar edə bilərsiniz.

Snort Tələbləri

Snort-u işə salmaq üçün sizə ən azı bir şəbəkə adapteri ilə təchiz olunmuş Windows kompüteri lazımdır. Biri idarə olunan şəbəkəyə, digəri isə istehsal şəbəkəsinə qoşulmuş iki şəbəkə adapterinin olması daha yaxşıdır; sonuncu hesabatları irəli sürür. Snort yalnız Windows 2000 Server və sonrakı versiyaları ilə deyil, həm də Windows XP Professional Edition, XP Home Edition və Windows 2000 Professional ilə uyğun gəlir. Heç bir server lisenziyası tələb olunmur. Mən XP Pro noutbukumu hər gün bir çox müştəri şəbəkəsinə qoşuram və adətən Snort-u xidmət kimi işə salıram. Bu yolla, proqram arxa planda işləyir və mənim sistemimə həmin müştəri şəbəkəsindən gələn hər hansı hücumları aşkarlayır. Mən Snort-u portativ sensor kimi istifadə edirəm - proqram laptopun qoşulduğu hər hansı bir port üçün NIDS rolunu oynayır.

Kiçik şəbəkələrdə Snort giriş səviyyəli serverdə yerləşdirilə bilər. İcazəsiz giriş cəhdlərini aşkar etmək üçün xüsusi yüksək güclü maşına ehtiyac yoxdur. Məsələn, 1 GHz prosessorları və 1 GB RAM ilə FreeBSD əsaslı Snort qovşaqlarının 15.000 istifadəçisi və çoxsaylı T-3 WAN bağlantıları olan şəbəkələrə uğurla xidmət etdiyini eşitmişəm. Snort-un mənbə kodunun səmərəliliyi sayəsində proqramı işə salmaq üçün çox güclü maşın tələb olunmur.

NIDS-i tapmaq üçün şəbəkədə ən yaxşı yer haradadır? İlk fikir cihazı firewall qarşısında yerləşdirməkdir. Bu, NIDS-in ən çox hücumu aşkar edəcəyi yerdir, lakin yanlış pozitivlərin sayı da ən yüksək olacaq və administrator təhlükə ilə bağlı çoxlu faydasız xəbərdarlıqlar alacaq. Firewall tərəfindən dayandırılan təhdidlərdən narahat olmamalısınız, bunun arxasında duran təhlükəli proqramları aşkar etmək daha vacibdir. Buna görə də Snort-u hər halda firewall arxasına yerləşdirmək daha yaxşıdır.

Bununla belə, istifadəçilər şəbəkəyə VPN bağlantısı (İnternet və ya simsiz əlaqə) vasitəsilə qoşulurlarsa, NIDS-i təhlükəsizlik duvarının arxasında, məsələn, VPN serverinin və ya konsentratorun arxasında yerləşdirmək məqsədəuyğundur. VPN tuneli. Əks halda, NIDS VPN trafikinə daxil edilmiş zərərli proqramlara qarşı çıxa bilməyəcək, çünki təhlil edilən paketlər şifrələnəcək. Eyni şey şifrələnmiş SMTP trafikinə, e-poçt mesajlarına əlavə edilmiş şifrələnmiş .zip fayllarına və şifrələnmiş məlumatların digər növlərinə aiddir.

İdeal olaraq, NIDS mümkün qədər çox seqment və alt şəbəkədə trafiki təhlil etmək üçün trafiki şifrələyən hər hansı komponentlərin arxasında kifayət qədər uzaq və şəbəkə perimetrinə kifayət qədər yaxın yerləşdirilməlidir. Kommutasiya edilmiş şəbəkə mühitində keçid adətən şəbəkədən keçən bütün paketləri toplamaq üçün diaqnostik port tələb edir. Nəticədə, NIDS bütün şəbəkə trafikinə rahat çıxış əldə edir.

İndi Snort ilə tanış olduğunuza və onun hostinq tələblərini bildiyinizə görə NIDS-i quraşdırıb sınaqdan keçirə bilərsiniz. Snort haqqında daha çox məlumat üçün "Veb Resursları" yan panelində əlaqəli sənədlərə baxın. Bu proses yeddi mərhələdən ibarətdir:

1. WinPcap quraşdırılması
2. Snort quraşdırılması
3. Snort testi
4. Snort-un qurulması
5. Qaydaların qurulması
6. Xəbərdarlıqların və qeydlərin qurulması
7. Xidmət olaraq işləyin

Mərhələ 1. WinPcap-ın quraşdırılması

Snort mahiyyətcə qeyri-adi rejimli şəbəkə analizatorudur, ona görə də sürücü dəstəyi tələb edir. Bu dəstək WinPcap tərəfindən təmin edilir. Loris Digioanni, Unix istifadəçiləri arasında geniş istifadə olunan libpcap paket tutma sürücüsünü Windows mühitinə köçürərək WinPcap yaratdı. WinPcap-a nüvə səviyyəli paket filtri, aşağı səviyyəli DLL (packet.dll) və yüksək səviyyəli sistemdən müstəqil kitabxana (libpcap 0.6.2 əsasında wpcap.dll) daxildir.

WinPcap-i buradan yükləmək olar http://winpcap.polito.it. Sürücü Windows Server 2003, XP, Windows 2000, Windows NT, Windows Me və Windows 9x ilə uyğun gəlir. WinPcap həmçinin açıq mənbəli Ethereal paket sniffer-i dəstəkləyir. Ethereal istifadə edərək, Snort-un düzgün quraşdırıldığını yoxlaya bilərsiniz.

WinPcap quraşdırma faylını şəbəkədən yüklədikdən sonra quraşdırma prosedurunun bir neçə ekranından keçmək kifayətdir. İstifadəçinin ən böyük səyi lisenziya şərtləri ilə razılaşmalı olduğunuz ekran tərəfindən tələb olunur.

Addım 2: Snort quraşdırın

Növbəti addım Snort quraşdırmaqdır. Ən son versiyanı CodeCraft Consultants veb saytlarında tapa bilərsiniz ( http://www.codecraftconsultants.com/snort.aspx) və ya Snort.org ( http://www.snort.org). Snort-u CodeCraft Consultants-dan yükləməyi məsləhət görürəm, çünki o saytdan öz-özünə çıxarılan icraedici faylı əldə edə bilərsiniz. Proqram hətta istifadəçiyə Snort-un kompüterə quraşdırılmasının əsas addımları ilə də rəhbərlik edir. Bu məqalənin hazırlanmasında Snort 2.1.1-in ən son versiyası, build 18 istifadə edilmişdir.

Quraşdırma proqramını işə saldıqda, ilk dialoq pəncərəsində nəticələrin saxlanması üçün verilənlər bazası konfiqurasiya rejimini seçməlisiniz. MySQL və ya ODBC uyğun verilənlər bazası istifadə edirsinizsə, siz standart rejimi qəbul edə bilərsiniz (Şəkil 1). Lakin əgər siz protokolları Microsoft SQL Server və ya Oracle verilənlər bazasında saxlayacaqsınızsa, o zaman müvafiq rejimi seçməli və tələb olunan müştəri proqramının maşında mövcud olduğundan əmin olmalısınız. Bu məqalənin hazırlanmasında standart rejimdən istifadə edilmişdir.

Növbəti addım quraşdırmaq istədiyiniz Snort komponentlərini müəyyən etməkdir. Standart dəst (Ekran 2) yaxşıdır, ona görə də onu qəbul edib Next düyməsini sıxmağı məsləhət görürəm. Quraşdırılma yerini seçin dialoq qutusunda siz Snort-un yerləşdiriləcəyi qovluğu göstərməlisiniz. Kataloq adını daxil etdikdən sonra quraşdırma prosesini başa çatdırmaq üçün Next düyməsini klikləyin.

Ekran 2: Quraşdırma Komponentlərinin Seçilməsi

Addım 3: Snort quraşdırmanızı sınayın

Quraşdırma prosesini tamamladıqdan sonra Snort sınaqdan keçirilməlidir. Varsayılan olaraq, Snort icraedici faylına iki yerə məlumat verilməlidir: jurnalların harada yazılması və konfiqurasiya faylının (snort.conf) harada tapılması. Bu məlumat istifadəçi tərəfindən müvafiq olaraq -l və -c keçidlərindən istifadə edərək Snort-u komanda xəttindən işlədərkən təmin edilir. Məsələn, əmr

Snort -l F:snortlog -c F:snortetcsnort.conf -A konsolu

proqrama logların F:snortlog kataloquna yazılmalı olduğunu və snort.conf-un F:snortetc kataloqunda yerləşdiyini bildirir. -A açarı proqram tərəfindən yaradılan xəbərdarlıqların ötürülməsi üsulunu təyin edir. Bu nümunədə xəbərdarlıqlar konsol ekranında göstərilir ki, idarəçi Snort-un düzgün işlədiyini yoxlaya bilsin. Nəzərə alın ki, məqalədə əmr bir neçə sətirdə çap olunur, lakin əmr pəncərəsində bir sətirdə daxil edilməlidir. Eyni şey bu məqalədəki digər çoxsətirli əmrlərə də aiddir. Bir çox Snort əmr xətti açarları hərflərə həssasdır, ona görə də əmrləri məhz onlar yazıldığı kimi daxil etməlisiniz.

Sistemdə bir neçə şəbəkə interfeysi varsa, defolt olaraq Snort kəşf etdiyi ilk interfeysə qulaq asır. Maşındakı şəbəkə interfeyslərinin sırası məlum deyilsə, Snort əmrini tək -W keçidi ilə işlədə bilərsiniz. Snort şəbəkə interfeyslərinin adlarını və nömrələrini proqramın onları aşkar etdiyi ardıcıllıqla sadalayır. Snort-u xüsusi şəbəkə interfeysindən istifadə etməyə məcbur etmək üçün Snort-u işə salarkən interfeys nömrəsi ilə -i keçidini daxil etməlisiniz. Snort-u işə saldıqdan sonra ekranda göstərilənə bənzər məlumatlar görünəcək ekran 3 .

Snort-u işə saldıqdan sonra NIDS-ə xüsusi hazırlanmış trafik göndərməklə onun həssaslığını yoxlaya bilərsiniz. Xəbərdarlığı işə salmağın ən asan yollarından biri HTTP URL sorğusunun bir hissəsi kimi uzaq maşında əmr tərcüməçisinə (cmd.exe) zəng etməkdir (Kod Qırmızı və Nimda qurdları üçün ümumi texnika). Hücumun bu mərhələsini simulyasiya etmək üçün istənilən URL-ə daxil olun və sorğunun sonuna /cmd.exe simvollarını əlavə edin. Məsələn, http://www.a-website-that-I-can-trust.com/cmd.exe ünvanına edilən zəngə cavab olaraq, Snort əmr pəncərəsində ilk üç xəbərdarlığa bənzər bir xəbərdarlıq göstərməlidir. haqqında ekran 4. Bu mesajlar F:snortlog jurnalına yazılır.

Test üçün hədəf veb saytları diqqətlə seçilməlidir. Texniki nöqteyi-nəzərdən veb sayt administratorlarının əksəriyyəti bu cür hərəkətləri haker cəhdi kimi qiymətləndirir. Bu cəhd uğur qazanmayacaq (server konfiqurasiyasında ciddi xətalar olmadıqda), lakin mən yalnız öz serverinizlə və ya inzibatçıları sınaqdan xəbərdar olan etibarlı serverlə test etməyi məsləhət görürəm.

Test etmək mümkün deyilsə, Snort-u sınaqdan keçirməyin başqa bir yolu şəbəkə üzərindən Snort işlək serverə və ya kompüterə qeyri-adi uzun əks-səda sorğusu göndərməkdir. Məsələn, Ping əmrindən istifadə edə bilərsiniz

Ping -l 32767 ip_ünvanı

burada ip_address hədəf serverin və ya Snort kompüterinin IP ünvanıdır. Bu komanda çox uzun bir paket göndərməlidir (dəqiq uzunluq - 32 KB), bu, Ping əmri üçün açıq-aydın qeyri-adidir. Aşağıdakı səkkiz xəbərdarlıqda göründüyü kimi Snort bu paketi təsbit etməlidir ekran 4 .

Xəbərdarlıqlar alsanız, xüsusi şərtləriniz üçün Snort-u konfiqurasiya etməyə başlaya bilərsiniz. Əks halda, quraşdırma proseduruna qayıtmalı və hər hansı bir addımın atıldığını yoxlamaq lazımdır.

Addım 4: Snort-un qurulması

Əsas Snort konfiqurasiya məlumatları standart olaraq %systemdrive%snortetc kataloqunda yerləşən snort.conf faylında saxlanılır. Proqramın yolunu əmr satırında göstərsəniz, fayl bu qovluqda qala bilər və ya başqa qovluğa köçürülə bilər.

Snort.conf-da mövcud olan bütün parametrlərin ətraflı təsviri bütün jurnal nömrəsini doldura bilər, çünki Snort heyrətamiz dərəcədə güclü proqramdır. Hələlik biz onun yalnız əsas parametrlərini nəzərdən keçirəcəyik.

Daxil olan trafiki gedən trafikdən fərqləndirmək üçün Snort-a müəssisə şəbəkənizin hostları və IP ünvanlarını bildirməlisiniz. Bu məlumatı daxil etmək üçün HOME_NET dəyişəni snort.conf faylında təyin edilməlidir. Siz xətti tapmalısınız

HOME_NET hər hansı birini seçin

və onu bir sıra IP ünvanları ilə əvəz edin. Məsələn, bir sıra təyin edə bilərsiniz

Var HOME_NET 192.168.0.1/24

və ya bir neçə diapazon. Çoxlu diapazonları təyin edərkən aralıqlar dəstini kvadrat mötərizələrə daxil etməli və hər aralığı vergüllə ayırmalısınız. IP ünvan diapazonları arasında boşluqlar daxil edə bilməzsiniz. Məsələn, xətt

Var HOME_NET

Snort-a 10.0.1.0/24, 10.0.2.0/24 və 10.0.3.0/24 alt şəbəkələrinin müəssisə şəbəkəsinə aid olduğunu bildirir. Varsayılan olaraq, Snort bütün digər ünvanları xarici hesab edir. Siz EXTERNAL_NET dəyişənini təyin etməklə hansı şəbəkələrin xarici hesab edilməli olduğunu açıq şəkildə təyin edə bilərsiniz. snort.config faylında xətti tapmaq lazımdır

Var EXTERNAL_NET hər hansı

və onu xarici hesab edilməli olan şəbəkənin IP ünvanı ilə əvəz edin. Bununla belə, EXTERNAL_NET dəyişənini başlamaq üçün hər hansı bir olaraq tərk etmək daha yaxşı olar.

Bir az vaxt sərf etdikdən sonra siz müəssisənizin server növlərini və onların yerlərini müəyyən edə bilərsiniz. Bu məlumat snort.conf faylının aşağıdakı sətirlərində DNS_SERVERS, SMTP_SERVERS, HTTP_SERVERS, SQL_SERVERS və TELNET_SERVERS dəyişənlərində var:

DNS_SERVERS $HOME_NET var SMTP_SERVERS $HOME_NET var HTTP_SERVERS $HOME_NET var SQL_SERVERS $HOME_NET var TELNET_SERVERS $HOME_NET var SNMP_SERVERS $HOME_NET

Defolt olaraq, bütün altı server dəyişəni $HOME_NET olaraq təyin edilir; bu o deməkdir ki, Snort HOME_NET diapazonunda olan bütün sistemlərə edilən bütün növ hücumlara nəzarət edəcək. Bu konfiqurasiya administratorları müəyyən sayda yanlış xəbərdarlıqlara dözən kiçik bir şəbəkə üçün olduqca məqbuldur. Ancaq sıx trafikə nəzarət etmək üçün müəyyən qovşaqlar üçün imzaların yalnız bir hissəsini yoxlamaq üçün Snort-u dəqiq tənzimləmək məsləhətdir. Yalnız Microsoft IIS ilə işləyən veb serveri SQL bufer daşqın hücumlarından qorumaq mənasızdır. Xüsusi host sinfini müəyyən etmək üçün siz $HOME_NET-i HOME_NET dəyişəni üçün istifadə olunan formata uyğun olaraq bir sıra hədəf server IP ünvanları ilə əvəz etməlisiniz. Məsələn, DNS_SERVERS dəyişəni üçün $HOME_NET əvəzinə DNS serverlərinin IP ünvanları diapazonunu əvəz etməlisiniz.

Tuning dəqiqliyi xüsusi proqramlar üçün serverlər tərəfindən istifadə edilən portları müəyyən etməklə yaxşılaşdırıla bilər. Məsələn, əgər veb serverlər 80 port əvəzinə HTTP trafiki üçün xüsusi port 8080 istifadə edirsə (bu port adətən Veb serverlər və brauzerlər üçün istifadə olunur), HTTP_PORTS dəyişənini dəyişdirərək Snort-u 8080 portunu monitorinq etmək üçün konfiqurasiya edə bilərsiniz. Snort.conf-da xətti tapmalısınız

Var HTTP_PORTS 80

və onu xətt ilə əvəz edin

Var HTTP_PORTS 8080

Eynilə, siz Oracle (ORACLE_PORTS dəyişəni ilə müəyyən edilir) və digər proqramlar üçün portları dəyişə bilərsiniz. HTTP_PORTS dəyişəni kimi, ORACLE_PORTS defolt olaraq 80-dir. Əgər server əvəzinə 1521 portu istifadə edirsə, sətir belə görünəcək.

Var ORACLE_PORTS 1521

Beləliklə, snort.conf faylında konfiqurasiya edilə bilən bir çox parametr var. Xüsusi mühitiniz üçün ən vacib olan parametrləri tapmaq və müvafiq olaraq konfiqurasiya etmək üçün snort.conf-u nəzərdən keçirməlisiniz.

Mərhələ 5. Qaydaların təyin edilməsi

snort.conf-dakı sətirlərdən birində RULE_PATH dəyişəni var. Bu xəttin bir nümunəsi:

Var RULE_PATH ../qaydalar

../rules seçimi qaydaların (yəni imzaların) qovluq strukturunda Snort ikili faylları ilə eyni səviyyədə olan qaydalar kataloqunda tapıla biləcəyini müəyyən edir. Beləliklə, məsələn, Snort-u ümumi F:snort qovluğuna quraşdırsanız, Snort ikili faylları F:snortin-də, qaydalar isə F:snort ules-də olur. İstəsəniz RULE_PATH dəyişənini dəyişə bilərsiniz, lakin standart seçim yaxşıdır.

Qaydalar Snortun əsasını təşkil edir. Bunlar bayt ardıcıllığı, hücum imzaları və aşkar edildikdə xəbərdarlıq yaradan digər məlumat növləridir. Snort-un 1500-dən çox hazır imzası var.

Qayda nə kimi görünür? Snort testi zamanı pozulmuş cmd.exe üçün qayda belə görünür: xəbərdarlıq tcp $EXTERNAL_NET hər hansı -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe girişi"; flow:to_server, qurulmuş; məzmun: " cmd.exe"; sinif növü:veb tətbiqi-hücum; sid:1002;). Qaydanın əsas komponentlərinə baxaq. $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS keçidi müəyyən edir ki, yalnız kənardan şəbəkəyə daxil olan trafik (EXTERNAL_NET dəyişəni ilə müəyyən edildiyi kimi) təhlil edilməlidir. Məzmun: parametr məlumat axınında cmd.exe simvollarının ardıcıllığı üçün axtarışı təyin edir. Snort belə bir ardıcıllığı aşkar etdikdə msg: parametri ilə müəyyən edilmiş xəbərdarlıq yaradır.

Cmd.exe nümunəsindən göründüyü kimi, qaydalar əsasən sadədir. İstənilən trafik növü üçün öz qaydalarınızı yarada bilərsiniz. Məsələn, əmr tərcüməçisi vasitəsilə maşındakı qovluğa uzaqdan daxil olmaq üçün icazəsiz cəhdləri aşkar etmək istəyirsinizsə, siz diskdə həcmi və ya çıxış portları kimi nadir hallarda tapılan portlarda həcmin seriya nömrəsini axtara bilərsiniz. Qaydaların təyin edilməsinə çevik yanaşma sayəsində administratorlar Snort üçün geniş konfiqurasiya seçimləri ilə təmin edilir.

Snort-un 1500 qaydası təhlil edilən məlumatların növlərinə görə müxtəlif fayllarda saxlanılır. Məsələn, cmd.exe üçün qayda web-iis.rules faylındadır. Müəssisə IIS-dən istifadə etmirsə, proqramın IIS hücumlarını aşkar etməsinə ehtiyac yoxdur. web-iis.rules faylı xətti tapmaq və şərh etməklə asanlıqla konfiqurasiyadan tamamilə çıxarıla bilər.

$RULE_PATH/web-iis.rules daxil edin

snort.conf faylında. Sətiri şərh etmək üçün ondan əvvəl (#) işarəsi qoyun:

# $RULE_PATH/web-iis.rules daxildir

Varsayılan olaraq, qayda fayllarının bəzi növləri (məsələn, icmp-info.rules, chat.rules) snort.conf-da şərhlərlə təmsil olunur. Snort.conf-da qaydaların standart konfiqurasiyası olduqca yaxşıdır. Bloklanmış qaydaları aktivləşdirdikdən sonra proqram adətən çoxlu lazımsız xəbərdarlıqlar yaradır.

Bəzi fayllar bir sıra faydalı qaydaları ehtiva edir, lakin bir neçə qaydalar çoxlu lazımsız xəbərdarlıqlar yaradır. Müəyyən bir qaydanı söndürmək üçün qaydalar faylında müvafiq sətri şərh kimi qeyd etməlisiniz. Gələcəkdə Snort faylla işləyərkən bu qaydaya məhəl qoymayacaq.

Yeni təhlükə mənbələri görünəndə qaydalar faylı yenilənməlidir. Yeni qaydalar üçün ən yaxşı mənbə Snort.org-dur. Bu veb-saytda avtomatik yeniləmə xidməti yoxdur, ona görə də yeni təhlükə yarandıqda administrator yeniləmələri müntəzəm olaraq yoxlamalı olacaq.

Addım 6: Xəbərdarlıqları və qeydləri konfiqurasiya edin

Qeyd edildiyi kimi, Snort MySQL, SQL Server, Oracle və ODBC uyğun verilənlər bazalarında məlumatların qeydini təmin edir. Snort quraşdırma prosesi zamanı sadəcə uyğun verilənlər bazası növünü seçin. Məqalənin uzunluğunu həddindən artıq artırmamaq üçün mətn faylından istifadə edərək standart giriş rejimlərini və Windows hadisələr jurnalına mesaj yazma funksiyasını nəzərdən keçirəcəyik.

Snort əmrindən istifadə edərək NIDS işlədərkən -A konsol açarı xəbərdarlıqların ekranda görünməsinə səbəb olur. Mesajları mətn faylına yönləndirmək üçün seçdiyiniz giriş rejimindən asılı olaraq bu keçidi -A sürətli və ya -A dolu ilə əvəz etməlisiniz. Tam parametr qovluğunda alerts.ids adlı mətn faylının bir neçə sətirində təhlükənin təfərrüatlı təsvirini göstərir, onun yolu -l keçidi ilə müəyyən edilir. Bu tip giriş hərtərəfli təfərrüatları təmin edir, lakin şəbəkədə çoxlu hadisələrin qeyd olunduğunu başa düşmək çətin ola bilər. Belə “səs-küylü” şəbəkələrdə şübhəli trafikin əsas xüsusiyyətlərini ehtiva edən alerts.ids-ə bir sətirli qeydlər əlavə etmək üçün sürətli rejimdən istifadə etmək tövsiyə olunur. Məncə, sürətli rejimdə mətn faylı ilə işləmək tam rejimdən daha asandır.

Snort-un cari versiyası Windows hadisələr jurnalına daxil olmağı təmin edir. Bir çox təşkilatlar artıq mərkəzləşdirilmiş hadisələrin monitorinqi, qeydiyyatı və məlumatların toplanması alətləri alıblar və bu xüsusiyyət Windows mühitinə əla əlavə olacaq.

Snort-un işlədiyi sistemin Tətbiq hadisələri jurnalına xəbərdarlıq yazmaq üçün -A keçidinin əvəzinə -E keçidindən istifadə edin (parametrlər isteğe bağlıdır). Şəkil 5, Tətbiq jurnalında dərc edilmiş Snort hadisəsinin (bu halda cmd.exe-yə daxil olmaq cəhdi) necə göründüyünü göstərir. Windows hadisəsi konsol ekranı ilə eyni ətraflı məlumatı təqdim edir.

İnzibatçı həftədə bir dəfə hadisə qeydlərinə (və ya mətn qeydlərinə) baxarsa, NIDS faydasızdır. Şəbəkədə nəsə baş verərsə, administrator bu barədə dərhal xəbər tutmalıdır. Mərkəzləşdirilmiş monitorinq və hadisələrin emalı sistemi e-poçt, peycer və digər rabitə cihazları vasitəsilə mesajlar göndərə bilər. Ancaq belə bir sistem yoxdursa, bu narahatlıq üçün əsas deyil. NETIKUS.NET xəbərdarlıqlar göndərmək üçün istifadə edilə bilən pulsuz EventSentry Light paketini təklif edir.

EventSentry Light EventSentry-nin sınaq versiyasıdır və buradan endirilə bilər http://www.netikus.net/products_downloads.html. EventSentry Light ilə siz sisteminizi hadisə qeydlərinə nəzarət etmək və jurnalda qeydə alınmış hər hansı Snort hadisələri haqqında ətraflı e-poçt mesajlarını avtomatik göndərmək üçün konfiqurasiya edə bilərsiniz. Aktiv ekran 6 cmd.exe hücum cəhdləri haqqında e-poçt mesajı göstərir. Mən bu mesajı hadisə baş verəndən bir neçə saniyə sonra EventSentry Light-dan aldım.

Yuxarıda qeyd edildiyi kimi, Snort adətən hadisə qeydlərini tez dolduran bir ton lazımsız mesaj yaradır. Hadisə qeydləri üçün fayl ölçülərini və onları necə çevirəcəyinizi seçərkən bu, yadda saxlamaq lazım olan bir şeydir. EventSentry Light-ın kiçik hadisələrlə bağlı mesajlar qutusunu doldurmasının qarşısını almaq üçün əsas sətirləri axtarmaq üçün filtr yarada bilərsiniz. Məsələn, mən mesajların mətnində sətir üçün axtarış filtri təşkil etdim.

Addım 7: Xidmət olaraq işə salın

İşiniz bitdikdən sonra proqramı hər dəfə işə salmaq istədiyiniz zaman masaüstü kompüterinizə daxil olmaq əvəzinə Snort-u xidmət kimi işlədə bilərsiniz. Snort-u /SERVICE və /INSTALL seçimləri ilə (digər komanda xətti seçimləri ilə birlikdə) işlədirsinizsə, Snort Windows xidməti kimi işləmək üçün konfiqurasiya edilir və istifadəçi müdaxiləsi olmadan avtomatik olaraq Windows ilə başlayır.

Növbəti səviyyə: genişləndirmə modulları

Snort tam xüsusiyyətli bir proqramdır. Bununla belə, bəzi hallarda proqramı genişləndirmək lazımdır. Məsələn, şəbəkənin müxtəlif hissələrində bir neçə NIDS yerləşdirilibsə, Snort-u qrafik interfeysdən idarə etmək rahatdır. Bu cür imkanlar Engage Security-dən IDScenter genişləndirmə modullarında və Activeworx-dən IDS Policy Manager-də həyata keçirilir. Bəzən mesajlarda olan məlumatları təhlil etmək lazımdır. Siz Carnegie Mellon Universitetində hazırlanmış Intrusion Databases üçün Analiz Konsolu (ACID) modulundan istifadə edərək saxlanılan məlumatlara baxa və təhlil edə bilərsiniz.

Etibarlı qorunma

Snort, şirkətin büdcəsinə zərər verməyəcək tam xüsusiyyətli bir proqramdır. Snort-u EventSentry Light kimi güclü hadisələrin monitorinqi proqramı ilə birləşdirərək, şəbəkənizə qarşı hücumların qarşısını aktiv şəkildə ala bilərsiniz.

RUSİYA FEDERASİYASININ TƏHSİL VƏ ELM NAZİRLİYİ

dövlət ali peşə təhsili müəssisəsi

“SANKT PETERBURQ DÖVLƏT UNİVERSİTETİ
Aerokosmik cihaz mühəndisliyi”

KURS İŞİ (Layihə)
ƏLA DEĞERLƏRİ İLƏ qorunur

Nəzarətçi

İŞ BİTİRİLDİ)

Sankt-Peterburq 2011

1.. Snort nədir?. 2

2. Sniffer rejimi: 2

3. Paket qeydi rejimi. 6

4. Şəbəkəyə müdaxilənin aşkarlanması rejimi. 6

1. Snort nədir?

Snort yüngül müdaxilə aşkarlama sistemidir. Snort adətən "yüngül" NIDS adlanır / deşifrə, tərcümə / - çünki o, ilk növbədə kiçik şəbəkələr üçün nəzərdə tutulmuşdur. Proqram protokol analizini həyata keçirə bilər və müxtəlif hücumları aşkar etmək üçün istifadə edilə bilər.

Snort hansı trafikə icazə veriləcəyini və hansının bloklanacağını bilmək üçün "qaydalar"dan ("qaydalar" fayllarında göstərilmişdir) istifadə edir. Alət çevikdir, sizə yeni qaydaları yazmağa və onlara əməl etməyə imkan verir.

Snort 3 əsas rejimdə işləyə bilər:

· Sniffer rejimi: sadəcə olaraq şəbəkədən paketləri tutmağa və onları ekranda göstərməyə imkan verir (adətən konsolda)

· Paket qeydi rejimi: paketləri sabit diskinizdə saxlamağa imkan verir

· Intrusion Detection System (NIDS) rejimi istifadəçi tərəfindən müəyyən edilmiş qaydalar toplusu əsasında şəbəkə trafikini təhlil etməyə imkan verən ən mürəkkəb və fərdiləşdirilə bilən konfiqurasiyadır.

2. Sniffer rejimi:

Paket iyləmə rejimində Snort sadəcə şəbəkədən gələn paketləri oxuyur və onları ekranda göstərir. TCP/IP paket başlıqlarını göstərmək üçün aşağıdakıları yerinə yetirməlisiniz:

xoruldamaq –v

Bu əmr IP və TCP/UDP/ICMP paket başlıqlarını göstərir. Siz paketlərin haradan, haradan, neçəyə /ünvana?/ göndərildiyini görə bilərsiniz. Şəkil/rəsmlər istinad üçün nömrələnməlidir. Heç bir link yoxdur - bu o deməkdir ki, şəkil lazım deyil / iki gedən ünvanın olduğu aydındır / onu haradan görə bilərsiniz? Şəkildəki qeydlərin formatlarını deşifrə edin və ya ən azı sətir nömrəsinə baxın /

Bu ünvanların nə olduğunu başa düşmək üçün əmri yerinə yetirmək kifayətdir

sistem məlumatı

Şəkildən / artıq - şəkillər. və rəsmlər deyil? Sənəddə vahidlik qorunmalıdır! Yoxsa başqa bir şeydir?/ Bu gedən ünvanların nə olduğu aydın olur. /yaxşı, onları sadalayın - və ya heç olmasa göstərin. onların nömrələri kvadrat mötərizədə verilmişdir/

Paketlərdə olan məlumatları görmək üçün aşağıdakıları daxil etməlisiniz:

snort-vd

https://pandia.ru/text/78/320/images/image004_112.jpg" alt=" detailed_output.jpg" width="589" height="338">!}

Keçidlər istənilən formada verilə bilər, məsələn: "snort - vde", "snort - d - ev" və "snort - e - v -d".

Snort kəsilənə qədər məlumat toplamağa davam edəcək. Paket ələ keçirməyi başa çatdırmaq üçün Ctrl-C düyməsini sıxmalısınız. Ctrl-C düymələrini basdıqdan sonra tutulan paketlərin hesabatı göstərilir. Aşağıda Snort-u təxminən bir dəqiqə işlətdikdən sonra hesabat verilmişdir.

Snapshotdan təhlil edilən paketlərin əksəriyyətinin TCP/IP paketləri olduğunu görə bilərsiniz. UDP paketləri də ələ keçirilib.

3. Paket qeydi rejimi

Paket qeydi rejimi sizə məlumat axınını diskə yazmağa imkan verir. Bu, müəyyən müddət ərzində təhlil apararkən və ya parametrlərdə və təhlükəsizlik siyasətlərində dəyişiklikləri yoxlayarkən faydalıdır.
Siz qeydlər üçün kataloq yaratmalı və müəyyən etməlisiniz və Snort avtomatik olaraq paket qeydi rejiminə keçəcək.

Misal: kataloq yaratmaq loglar və qaç:

snort - dev - l../log

Əməliyyat nəticəsində /harada, harda axtarmaq lazımdır, istədiyiniz yeri necə göstərmək olar?/ fayl hönkürür. log.. Yeni fayl adlarının sonundakı nömrələr zaman ştamplarıdır və bu, fayllar yaratarkən münaqişələrin qarşısını almağa kömək edir. /log faylı nümunəsi arzuolunandır/

4. Şəbəkəyə müdaxilənin aşkarlanması rejimi

Snortun üçüncü rejimi Şəbəkəyə müdaxilənin aşkarlanması (NIDS) rejimidir.

Əsas formada Snort qaydası /onlar harada saxlanılır?/ iki hissədən ibarətdir: başlıq və parametrlər. Aşağıda bir qayda nümunəsidir.

alert tcp any -> any any (məzmun: "www."; msg: "Kimsə indi youtube-a baş çəkir"; sid:1000002; rev:1)

Qayda strukturu modeli təqdim edilə bilərmi, o, kodlaşdırılıb, yoxsa dəyişdirilə bilərmi? ümid edirik ki, kvadrat mötərizədə olan elementlər isteğe bağlıdır. məlumdur. Ancaq bunlar arasında / aşağıdakı sxemə görə xüsusi ayırıcılar varmı?

<действие_правила> <протокол> <порт> <оператор_направления>

<порт>([meta_data] [paket_məzmunu_data]

[başlıqda_məlumat] [aşkarlanan_sonra_fəaliyyət])

Qayda hərəkətləri aşağıdakı kateqoriyalara bölünür:

1. xəbərdarlıq - Seçilmiş metoddan istifadə edərək xəbərdarlıq yaradın və məlumatı giriş sisteminə bildirin.

2. log - Paket məlumatlarını qeyd etmək üçün giriş sistemindən istifadə edin.

3. keçmək - Paketə məhəl qoymayın.

4. aktivləşdirin - Başqa bir dinamik qaydadan istifadə edin.

5. dinamik - Aktiv qayda icra edildikdən sonra qeyd proseduru olan qayda aktivləşdirilir.

6. damcı - Proqram təminatının təhlükəsizlik duvarından istifadə edərək paketi buraxın və məlumatı giriş sisteminə bildirin

7. sdrop - Proqram təminatının təhlükəsizlik divarından istifadə edərək paketi buraxın və giriş sistemindən istifadə etməyin.

8. rədd etmək - Təhlükəsizlik divarından istifadə edərək, protokol TCP-dirsə, paketi atın və ya log faylına mesaj yazın: Paket UDP protokolu ilə daxil olarsa, ICMP portu mövcud deyil.

Snort qaydasının ikinci hissəsi aşkar edilmiş trafikin əlavə təfərrüatlarını təyin edən seçimlərdir. Siz TCP/ başlığında bir sıra sahələr və ya paket yükü ilə axtarış edə bilərsiniz. Hər bir seçimdən sonra dırnaq işarələri və axtarılan dəyər olmalıdır. Onları nöqtəli vergüllə ayıraraq bir neçə variant əlavə edə bilərsiniz. Aşağıdakılar etibarlı variantlardır.

sid – qaydanı müəyyən edən unikal etiket. Bu seçim seçimlə birlikdə istifadə edilməlidir rev .

<100 зарезервировано для дальнейшего использования

100-999,999 artıq qorunan qaydalar

>=1.000.000 istifadəçi tərəfindən müəyyən edilmiş qaydalar

rev- qayda versiyasının dəyəri. Rev qaydaları tərcüməçisindən istifadə

Snort yazılı qaydanın versiyasını müəyyən edir.

Snort-u IDS rejimində əmrlə işlədə bilərsiniz:

snort - c "D:\Program Files\Snort\etc\snort. conf" - l " D:\Program Files\Snort\log" - Konsol - i 1

açar - İlə IDS rejiminin aktiv olduğunu bildirir

açar – l faylın yolunu göstərən sabit diskə qeyd rejimini aktivləşdirir

açar – A bütün xəbərdarlıqların (xəbərdarlıqların) konsol çıxışı ilə təkrarlanacağını göstərir

açar – i maraqlandığımız interfeysin indeks nömrəsini göstərir

Dəstəklənən interfeysləri tapmaq üçün əmri yerinə yetirməlisiniz:

xoruldamaq – W

Fayl məzmunu xoruldamaq. konf

Fayl məzmunu *****s:

Faylda xoruldamaq. conf açar sözündən istifadə edərək qaydaları birləşdirə bilərsiniz daxildir .

Komandanın nəticəsi:

Görünür ki, Snort “təhlükəli” sayta daxil olmaq cəhdi aşkar edib.

Dağıtımın haradan götürüldüyü, tədqiqatın aparıldığı ƏS haqqında heç bir məlumat yoxdur

Ümumilikdə iş çox maraqlıdır. /