For denne opplæringen er nettverket vi bruker: 10.0.0.0/24. Rediger / etc / snort / snort.conf-fil og og erstatt "hvilken som helst" ved siden av $ HOME_NET med nettverksinformasjonen din som vist i skjermbildet nedenfor:
Alternativt kan du også definere spesifikke IP-adresser som skal overvåkes atskilt med komma mellom [] som vist i dette skjermbildet:
La oss nå komme i gang og kjøre denne kommandoen på kommandolinjen:
# snort -d -l / var / log / snort / -h 10.0.0.0/24 -En konsoll -c / etc / fnyser / fnyser.konfHvor:
d = forteller snort å vise data
l = bestemmer loggkatalogen
h = spesifiserer nettverket som skal overvåkes
A = instruerer snort til å skrive ut varsler i konsollen
c = spesifiserer Snort konfigurasjonsfilen
Lar oss starte en rask skanning fra en annen enhet ved hjelp av nmap:
Og la oss se hva som skjer i fnysekonsollen:
Snort oppdaget skanningen, nå, også fra en annen enhet, kan angripe med DoS ved hjelp av hping3
# hping3 -c 10000 -d 120 -S -w 64 -p 21 --flom --rand-source 10.0.0.3
Enheten som viser Snort oppdager dårlig trafikk som vist her:
Siden vi ba Snort om å lagre logger, kan vi lese dem ved å kjøre:
# fnyse -rIntroduksjon til fnysregler
Snorts NIDS-modus fungerer basert på regler som er spesifisert i / etc / snort / snort.conf-fil.
Innenfor fnissen.conf-fil kan vi finne kommentarer og ikke-kommenterte regler som du kan se nedenfor:
Regelbanen er normalt / etc / snort / regler, der kan vi finne reglefilene:
La oss se reglene mot bakdører:
Det er flere regler for å forhindre bakdørangrep, overraskende nok er det en regel mot NetBus, en trojansk hest som ble populær for noen tiår siden, kan se på den, og jeg vil forklare dens deler og hvordan den fungerer:
varsling tcp $ HOME_NET 20034 -> $ EXTERNAL_NET any (msg: "BACKDOOR NetBus Pro 2.0-tilkoblingetablert "; flyt: fra_server, etablert;
flowbits: isset, bakdør.netbus_2.koble; innhold: "BN | 10 00 02 00 |"; dybde: 6; innhold: "|
05 00 | "; dybde: 2; forskyvning: 8; classtype: diverse aktiviteter; sid: 115; rev: 9;)
Denne regelen instruerer snort for å varsle om TCP-tilkoblinger på port 20034 som overføres til en hvilken som helst kilde i et eksternt nettverk.
-> = spesifiserer trafikkretningen, i dette tilfellet fra vårt beskyttede nettverk til et eksternt
msg = Instruerer varselet om å inkludere en spesifikk melding når den vises
innhold = søk etter spesifikt innhold i pakken. Det kan inneholde tekst hvis det er mellom ““ eller binære data hvis mellom | |
dybde = Analyseintensitet, i regelen ovenfor ser vi to forskjellige parametere for to forskjellige innhold
forskyvning = forteller Snort startbyten til hver pakke for å begynne å søke etter innholdet
classtype = forteller hva slags angrep Snort varsler om
sid: 115 = regelidentifikator
Å lage vår egen regel
Nå oppretter vi en ny regel for å varsle om innkommende SSH-forbindelser. Åpen / etc / fnyser / regler / yourrule.regler, og lim inn følgende tekst:
varsling tcp $ EXTERNAL_NET any -> $ HOME_NET 22 (msg: "SSH innkommende";flyt: statsløs; flagg: S +; sid: 100006927; rev: 1;)
Vi ber Snort om å varsle om enhver TCP-forbindelse fra en hvilken som helst ekstern kilde til ssh-porten (i dette tilfellet standardporten) inkludert tekstmeldingen "SSH INCOMING", der statsløs instruerer Snort om å ignorere tilkoblingens tilstand.
Nå må vi legge til regelen vi opprettet i vår / etc / fnyser / fnyser.konf fil. Åpne konfigurasjonsfilen i en editor og søk etter # 7, som er seksjonen med regler. Legg til en ukommentert regel som i bildet ovenfor ved å legge til:
inkluderer $ RULE_PATH / yourrule.reglerI stedet for “yourrule.regler ”, angi filnavnet ditt, i mitt tilfelle var det test3.regler.
Når det er gjort, kjør Snort igjen og se hva som skjer.
#snort -d -l / var / log / snort / -h 10.0.0.0/24 -En konsoll -c / etc / fnyser / fnyser.konfssh til enheten din fra en annen enhet og se hva som skjer:
Du kan se at SSH innkommende ble oppdaget.
Med denne leksjonen håper jeg du vet hvordan du lager grunnleggende regler og bruker dem til å oppdage aktivitet i et system. Se også en veiledning om hvordan Setup Snort og begynn å bruke den og den samme tutorialen som er tilgjengelig på spansk på Linux.lat.