Intrusion Detection with Snort Tutorial

Den generelle tanken er at hvis en brannmur beskytter nettverket sitt, anses nettverket som sikkert. Det er imidlertid ikke helt sant. Brannmurer er en grunnleggende komponent i et nettverk, men de kan ikke fullt ut beskytte nettverket mot tvungne oppføringer eller fiendtlig hensikt. Inntrengingsdeteksjonssystemer brukes til å evaluere aggressive eller uventede pakker og generere et varsel før disse programmene kan skade nettverket. Et vertsbasert inntrengingsdeteksjonssystem kjører på alle enhetene i et nettverk eller kobles til organisasjonens interne nettverk. Et nettverksbasert inntrengingsdeteksjonssystem blir i stedet distribuert på et bestemt punkt eller en gruppe punkter der all inngående og utgående trafikk kan overvåkes. En fordel med et vertsbasert inntrengingsdeteksjonssystem er at det også kan oppdage uregelmessigheter eller ondsinnet trafikk som genereres fra verten selv, dvs.e., hvis verten er påvirket av skadelig programvare osv. Inntrengingsdeteksjonssystemer (IDS) arbeide ved å overvåke og analysere nettverkstrafikk og sammenligne den med et etablert regelsett, bestemme hva som skal tas som normalt for nettverket (i.e., for porter, båndbredder osv.) og hva du skal se nærmere på.

Et inntrengingsdeteksjonssystem kan distribueres avhengig av størrelsen på nettverket. Det er dusinvis av kommersielle IDSer av høy kvalitet, men mange selskaper og små bedrifter har ikke råd til dem. Snør er et fleksibelt, lett og populært inntrengingsdeteksjonssystem som kan distribueres i henhold til behovene til nettverket, alt fra små til store nettverk, og gir alle funksjonene til en betalt IDS. Snør koster ingenting, men det betyr ikke at det ikke kan gi de samme funksjonalitetene som en elite, kommersiell IDS. Snør betraktes som en passiv IDS, noe som betyr at den snuser nettverkspakker, sammenlignes med regelsettet, og, i tilfelle det oppdages en ondsinnet logg eller oppføring (i.e., oppdage et inntrenging), genererer et varsel eller plasserer en oppføring i en loggfil. Snør brukes til å overvåke driften og aktivitetene til rutere, brannmurer og servere. Snort gir et brukervennlig grensesnitt som inneholder en kjede av regelsett som kan være veldig nyttig for en person som ikke er kjent med IDS. Snort genererer en alarm i tilfelle innbrudd (bufferoverløpsangrep, DNS-forgiftning, OS-fingeravtrykk, portskanning og mye mer), noe som gir en organisasjon større synlighet av nettverkstrafikken og gjør det mye lettere å oppfylle sikkerhetsforskriftene.

Installere Snort

Før du installerer Snort, er det noen programvare eller pakker med åpen kildekode som du bør installere først for å få mest mulig ut av dette programmet.

Libpcap: En pakke sniffer som Wireshark som brukes til å fange opp, overvåke og analysere nettverkstrafikk. Å installere libpcap, bruk følgende kommandoer for å laste ned pakken fra det offisielle nettstedet, pakke ut pakken og deretter installere den:

[e-postbeskyttet]: ~ $ wget http: // www.tcpdump.org / release / libpcap-1.9.1.tjære.gz
[e-postbeskyttet]: ~ $ tar -xzvf libpcap-
[e-postbeskyttet]: ~ $ cd libpcap-
[e-postbeskyttet]: ~ $ ./ konfigurere
[e-postbeskyttet]: ~ $ sudo make
[e-postbeskyttet]: ~ $ lag installasjon

OpenSSH: Et sikkert tilkoblingsverktøy som gir en sikker kanal, selv over et usikkert nettverk, for å logge på via ssh protokoll. OpenSSH brukes til å koble til systemer eksternt med administratorrettigheter. OpenSSH kan installeres ved hjelp av følgende kommandoer:

[e-postbeskyttet]: ~ $ wget http: // ftp.openbsd.org / pub / OpenBSD / OpenSSH /
bærbar / openssh-8.3p1.tjære.gz
[e-postbeskyttet]: ~ $ tar xzvf openssh-
[e-postbeskyttet]: ~ $ cd openssh-
[e-postbeskyttet]: ~ $ ./ konfigurere
[e-postbeskyttet]: ~ $ sudo lage installasjon

MySQL: Den mest populære gratis og åpen kildekode SQL database. MySQL brukes til å lagre varslede data fra Snort. SQL-biblioteker brukes av eksterne maskiner for å kommunisere og få tilgang til databasen der Snort-loggoppføringer er lagret. MySQL kan installeres ved hjelp av følgende kommando:

[e-postbeskyttet]: ~ $ sudo apt-get install mysql

Apache Web Server: Den mest brukte webserveren på internett. Apache brukes til å vise analysekonsollen via webserveren. Den kan lastes ned fra det offisielle nettstedet her: http: // httpd.apache.org /, eller ved å bruke følgende kommando:

[e-postbeskyttet]: ~ $ sudo apt-get install apache2

PHP: PHP er et skriptspråk som brukes i nettutvikling. En PHP-parsingmotor kreves for å kjøre Analyse-konsollen. Den kan lastes ned fra det offisielle nettstedet: https: // www.php.nett / nedlastinger.php, eller ved å bruke følgende kommandoer:

[e-postbeskyttet]: ~ $ wget https: // www.php.netto / distribusjoner / php-7.4.9.tjære.bz2
[e-postbeskyttet]: ~ $ tar -xvf php-.tjære
[e-postbeskyttet]: ~ $ cd php-
[e-postbeskyttet]: ~ $ sudo make
[e-postbeskyttet]: ~ $ sudo lage installasjon

OpenSSL: Brukes for å sikre kommunikasjon over nettverket uten å bekymre deg for at tredjepart henter eller overvåker dataene som er sendt og mottatt. OpenSSL gir kryptografisk funksjonalitet til webserveren. Den kan lastes ned fra det offisielle nettstedet: https: // www.openssl.org /.
Stunnel: Et program som brukes til å kryptere den vilkårlige nettverkstrafikken eller forbindelsene inne i SSL, og som fungerer ved siden av OpenSSL. Stunnel kan lastes ned fra det offisielle nettstedet: https: // www.stunnel.org /, eller det kan installeres ved hjelp av følgende kommandoer:

[e-postbeskyttet]: ~ $ wget https: // www.stunnel.org / nedlastinger / stunnel-5.56-android.glidelås
[e-postbeskyttet]: ~ $ tar xzvf-stunnel-
[e-postbeskyttet]: ~ $ cd-stunnel-
[e-postbeskyttet]: ~ $ ./ konfigurere
[e-postbeskyttet]: ~ $ sudo lage installasjon

SYRE: En forkortelse for Analysekontroll for deteksjon av inntrenging. ACID er et søkestøttet grensesnitt som brukes til å finne samsvarende IP-adresser, gitte mønstre, en spesifikk kommando, en nyttelast, signaturer, spesifikke porter osv., fra alle loggede varsler. Det gir grundig funksjonalitet for pakkeanalyse, slik at identifikasjon av hva angriperen prøvde å oppnå og hvilken type nyttelast som ble brukt i angrepet. SYRE kan lastes ned fra det offisielle nettstedet: https: // www.sei.cmu.edu / about / divisions / cert / index.cfm.

Nå som alle nødvendige grunnleggende pakker er installert, Snør kan lastes ned fra det offisielle nettstedet, fnuse.org, og kan installeres ved hjelp av følgende kommandoer:

[e-postbeskyttet]: ~ $ wget https: // www.fnuse.org / nedlastinger / fnyser / fnyser-2.9.16.1.tjære.gz
[e-postbeskyttet]: ~ $ tar xvzf fnyser-
[e-postbeskyttet]: ~ $ cd fnyser-
[e-postbeskyttet]: ~ $ ./ konfigurere
[e-postbeskyttet]: ~ $ sudo make && --enable-source-fire
[e-postbeskyttet]: ~ $ sudo lage installasjon

Deretter kjører du følgende kommando for å sjekke om Snort er installert og versjonen av Snort du bruker:

[e-postbeskyttet]: ~ $ fnyse --
,,_ - *> fnyse! <*-
o ") ~ Versjonsnummer"
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Bruke libpcap versjon 1.8.1
Bruke PCRE-versjon: 8.39 2016-06-14
Bruke ZLIB-versjon: 1.2.11

Etter at installasjonen er vellykket, burde følgende filer ha blitt opprettet på systemet:

/ usr / bin / fnyse: Dette er Snorts binære kjørbare.

/ usr / share / doc / fnyser: Inneholder Snort-dokumentasjonen og manpages.

/ etc / fnyser: Inneholder alle reglene for Snør og det er også konfigurasjonsfilen.

Bruke Snort

For å bruke Snort må du først konfigurere Hjem_Nett verdi og gi den verdien av IP-adressen til nettverket du beskytter. IP-adressen til nettverket kan fås ved hjelp av følgende kommando:

[e-postbeskyttet]: ~ $ ifconfig

Kopier verdien av resultatene fra resultatene inet-adresse av ønsket nettverk. Åpne nå Snort-konfigurasjonsfilen / etc / fnyser / fnyser.konf ved hjelp av følgende kommando:

[e-postbeskyttet]: ~ $ sudo vim / etc / snort / snort.konf

Du vil se en utgang som dette:

Finn linjen “Ipvar HOME_NET.” Foran ipvar HOME_NET, skriv IP-adressen som er kopiert før, og lagre filen. Før du løper Snør, en annen ting du må gjøre er å kjøre nettverket i promiskuøs modus. Du kan gjøre det ved å bruke følgende kommando:

[e-postbeskyttet]: ~ $ / sbin / ifconfig - -promisc

Nå er du klar til å løpe Snør. For å sjekke statusen og teste konfigurasjonsfilen, bruk følgende kommando:

[e-postbeskyttet]: ~ $ sudo snort -T -i -c / etc / fnyser / fnyser.konf
4150 Snortregler lest
3476 oppdagelsesregler
0 dekoderregler
0 forhåndsbehandlingsregler
3476 Alternativkjeder koblet til 290 kjedeoverskrifter
0 Dynamiske regler
+++++++++++++++++++++++++++++++++++++++++++++++++++
+-------------------[Regelportteller]---------------------------------------
| tcp udp icmp ip
| src 151 18 0 0
| dst 3306 126 0 0
| noen 383 48 145 22
| nc 27 8 94 20
| s + d 12 5 0 0
+----------------------------------------------------------------------------
+-----------------------[deteksjon-filter-konfigurasjon]------------------------------
| minnelokk: 1048576 byte
+-----------------------[registrerings-filter-regler]-------------------------------
| ingen
-------------------------------------------------------------------------------
+-----------------------[rate-filter-config]-----------------------------------
| minnelokk: 1048576 byte
+-----------------------[rate-filter-rules]------------------------------------
| ingen
-------------------------------------------------------------------------------
+-----------------------[event-filter-config]----------------------------------
| minnelokk: 1048576 byte
+-----------------------[event-filter-global]----------------------------------
| ingen
+-----------------------[event-filter-local]-----------------------------------
| gen-id = 1 sig-id = 3273 type = Threshold tracking = src count = 5 seconds = 2
| gen-id = 1 sig-id = 2494 type = Begge sporing = første antall = 20 sekunder = 60
| gen-id = 1 sig-id = 3152 type = Threshold tracking = src count = 5 seconds = 2
| gen-id = 1 sig-id = 2923 type = Terskel sporing = første antall = 10 sekunder = 60
| gen-id = 1 sig-id = 2496 type = Begge sporing = første antall = 20 sekunder = 60
| gen-id = 1 sig-id = 2275 type = Terskel sporing = første antall = 5 sekunder = 60
| gen-id = 1 sig-id = 2495 type = Begge sporing = første antall = 20 sekunder = 60
| gen-id = 1 sig-id = 2523 type = Begge sporing = første antall = 10 sekunder = 10
| gen-id = 1 sig-id = 2924 type = Terskel sporing = første antall = 10 sekunder = 60
| gen-id = 1 sig-id = 1991 type = Limit tracking = src count = 1 seconds = 60
+-----------------------[undertrykkelse]------------------------------------------
| ingen
-------------------------------------------------------------------------------
Regel applikasjonsrekkefølge: aktivering-> dynamisk-> pass-> slipp-> sdrop-> avvis-> varslings-> logg
Verifisere konfigurasjoner av forprosessor!
[Portbasert mønster som matcher minne]
+- [Aho-Corasick Sammendrag] -------------------------------------
| Lagringsformat: Full-Q
| Finite Automaton: DFA
| Alfabetstørrelse: 256 tegn
| Statens størrelse: Variabel (1,2,4 byte)
| Forekomster: 215
| 1 byte sier: 204
| 2 byte stater: 11
| 4 byte stater: 0
| Tegn: 64982
| Stater: 32135
| Overganger: 872051
| Statlig tetthet: 10.6%
| Mønstre: 5055
| Kampstatus: 3855
| Minne (MB): 17.00
| Mønstre: 0.51
| Kampslister: 1.02
| DFA
| 1 byte sier: 1.02
| 2 byte stater: 14.05
| 4 byte stater: 0.00
+----------------------------------------------------------------
[Antall mønstre avkortet til 20 byte: 1039]
pcap DAQ konfigurert til passiv.
Henter nettverkstrafikk fra "wlxcc79cfd6acfc".
--== Initialisering fullført ==--
,,_ - *> fnyse! <*-
o ") ~ Versjonsnummer
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Bruke libpcap versjon 1.8.1
Bruke PCRE-versjon: 8.39 2016-06-14
Bruke ZLIB-versjon: 1.2.11
Rules Engine: SF_SNORT_DETECTION_ENGINE Versjon 2.4
Forprosessorobjekt: SF_IMAP versjon 1.0
Forprosessorobjekt: SF_FTPTELNET versjon 1.2
Preprocessor Object: SF_REPUTATION Versjon 1.1
Forprosessorobjekt: SF_SDF versjon 1.1
Preprocessor Object: SF_SIP Versjon 1.1
Preprocessor Object: SF_SSH Versjon 1.1
Preprocessor Object: SF_GTP versjon 1.1
Preprocessor Object: SF_SSLPP Versjon 1.1
Preprocessor Object: SF_DCERPC2 Versjon 1.0
Forprosessorobjekt: SF_SMTP versjon 1.1
Forprosessorobjekt: SF_POP versjon 1.0
Forprosessorobjekt: SF_DNS versjon 1.1
Preprocessor Object: SF_DNP3 Versjon 1.1
Preprocessor Object: SF_MODBUS Versjon 1.1
Snort validerte konfigurasjonen!
Snort spennende

Snørrregelsett

Den største kraften i Snør ligger i sine regelsett. Snort har evnen til å benytte et stort antall regelsett for å overvåke nettverkstrafikk. I sin siste versjon, Snør kommer med 73 forskjellige typer og over 4150 regler for å oppdage avvik, som finnes i mappen “/ Etc / fnyser / regler.”

Du kan se på typene regelsett i Snort ved å bruke følgende kommando:

[e-postbeskyttet]: ~ $ ls / etc / snort / rles
angrepssvar.regler community-smtp.regler icmp.regler shellcode.regler
bakdør.regler community-sql-injection.regler imap.regler smtp.regler
dårlig trafikk.regler community-virus.regler info.regler snmp.regler
chatte.regler community-web-angrep.regler lokale.regler kvl.regler
community-bot.regler community-web-cgi.regler diverse.regler telnet.regler
fellesskap-slettet.regler community-web-client.regler multimedia.regler tftp.regler
samfunn-dos.regler community-web-dos.regler mysql.styrer virus.regler
samfunn-utnytte.regler community-web-iis.regler netbios.regler nettangrep.regler
community-ftp.regler community-web-misc.regler nntp.regler web-cgi.regler
community-game.regler community-web-php.regler orakel.regler nettklient.regler
community-icmp.regler ddos.regler andre-ider.regler web-coldfusion.regler
community-imap.reglene slettet.regler p2p.regler nettsiden.regler
fellesskaps-upassende.regler dns.regler politikk.regler web-iis.regler
felleskap-klient.regler dos.regler pop2.regler nett-diverse.regler
samfunn-diverse.regler eksperimentelle.regler pop3.regler web-php.regler
fellesskap-nntp.regler utnytter.regler porno.regler x11.regler
community-oracle.regler finger.regler RPC.regler
samfunnspolitikk.regler ftp.regler tjenester.regler
samfunn-slurk.regler icmp-info.regler skanner.regler

Som standard når du løper Snør i Intrusion Detection System-modus, blir alle disse reglene distribuert automatisk. La oss nå teste ICMP regelsett.

Bruk først følgende kommando for å kjøre Snør i IDS modus:

[e-postbeskyttet]: ~ $ sudo snort -A console -i
-c / etc / fnyser / fnyser.konf

Du vil se flere utganger på skjermen, hold det slik.

Nå vil du pinge IP-en til denne maskinen fra en annen maskin ved hjelp av følgende kommando:

[e-postbeskyttet]: ~ $ ping

Ping den fem til seks ganger, og gå tilbake til maskinen din for å se om Snort IDS oppdager det eller ikke.

08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Nødvendig og DF-bit ble satt [**] [Klassifisering: Diverse aktiviteter] [Prioritet: 3]
ICMP ->
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Nødvendig og DF-bit ble satt [**] [Klassifisering: Diverse aktiviteter] [Prioritet: 3]
ICMP ->
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Nødvendig og DF-bit ble satt [**] [Klassifisering: Diverse aktiviteter] [Prioritet: 3]
ICMP -> adresse>
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Nødvendig og DF-bit ble satt [**] [Klassifisering: Diverse aktiviteter] [Prioritet: 3]
ICMP -> ip-adresse>
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Nødvendig og DF-bit ble satt [**] [Klassifisering: Diverse aktiviteter] [Prioritet: 3]
ICMP -> adresse>
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Nødvendig og DF-bit ble satt [**] [Klassifisering: Diverse aktiviteter] [Prioritet: 3]
ICMP -> adresse>

Her fikk vi et varsel om at noen utfører en ping-skanning. Det ga til og med den IP adresse av angriperens maskin.

Nå skal vi gå til IP adressen til denne maskinen i nettleseren. Vi vil ikke se noe varsel, i dette tilfellet. Prøv å koble til ftp serveren til denne maskinen som bruker en annen maskin som angriper:

[e-postbeskyttet]: ~ $ ftp

Vi vil fremdeles ikke se noe varsel fordi disse regelsettene ikke er lagt til i standardreglene, og i disse tilfellene vil det ikke bli generert noe varsel. Dette er når du må lage din egen regelsett. Du kan lage regler i henhold til dine egne behov og legge dem til i “/ Etc / fnyser / regler / lokalt.regler ” filen, og deretter fnuse vil automatisk bruke disse reglene når de oppdager uregelmessigheter.

Opprette en regel

Vi vil nå opprette en regel for å oppdage en mistenkelig pakke sendt i havn 80 slik at et loggvarsel genereres når dette skjer:

# alert tcp any any -> $ HOME_NET 80 (msg: "HTTP Packet found"; sid: 10000001; rev: 1;)

Det er to hoveddeler av å skrive en regel, dvs.e., Regeloverskrift og regelalternativer. Følgende er en oversikt over regelen vi nettopp har skrevet:

Overskrift
Varsling: Handlingen spesifisert for å oppdage pakken som samsvarer med regelens beskrivelse. Det er flere andre handlinger som kan spesifiseres i stedet for varselet i henhold til brukerens behov, i.e., logg, avvis, aktiver, slipp, pass, etc.
Tcp: Her må vi spesifisere protokollen. Det er flere typer protokoller som kan spesifiseres, i.e., tcp, udp, icmp, etc., i henhold til brukerens behov.
Noen: Her kan kildenettverksgrensesnittet spesifiseres. Hvis noen er spesifisert, vil Snort se etter alle kildenettverk.
->: Retningen; i dette tilfellet er det satt fra kilde til destinasjon.
$ HOME_NET: Stedet der destinasjonen IP adresse er spesifisert. I dette tilfellet bruker vi den som er konfigurert i / etc / fnyser / fnyser.konf filen i begynnelsen.
80: Destinasjonsporten der vi venter på en nettverkspakke.
Alternativer:
Msg: Varselet som skal genereres eller meldingen som skal vises i tilfelle du tar en pakke. I dette tilfellet er det satt til “HTTP-pakke funnet.”
sid: Brukes til å identifisere Snort-regler unikt og systematisk. Den første 1000000 tallene er reservert, slik at du kan begynne med 1000001.
Rev: Brukes for enkelt regelvedlikehold.

Vi vil legge til denne regelen i “/ Etc / fnyser / regler / lokalt.regler ” fil og se om den kan oppdage HTTP-forespørsler på port 80.

[email protected]: ~ $ echo “alert tcp any any -> $ HOME_NET 80 (msg:" HTTP Packet
funnet "; sid: 10000001; rev: 1;)” >> / etc / snort / rules / local.regler

Vi er klare. Nå kan du åpne Snør i IDS modus med følgende kommando:

[e-postbeskyttet]: ~ $ sudo snort -A console -i wlxcc79cfd6acfc
-c / etc / fnyser / fnyser.konf

Naviger til IP adresse fra denne maskinen fra nettleseren.

Snør kan nå oppdage hvilken som helst pakke sendt til port 80 og vil vise varselet “HTTP-pakke funnet ” på skjermen hvis dette skjer.

08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] HTTP-pakke funnet [**]
[Prioritet: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] HTTP-pakke funnet [**]
[Prioritet: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] HTTP-pakke funnet [**]
[Prioritet: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] HTTP-pakke funnet [**]
[Prioritet: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] HTTP-pakke funnet [**]
[Prioritet: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] HTTP-pakke funnet [**]
[Prioritet: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] HTTP-pakke funnet [**]
[Prioritet: 0] TCP: 52008 -> 35.222.85.5:80

Vi vil også lage en regel for oppdagelse ftp påloggingsforsøk:

# alert tcp any any -> any 21 (msg: "FTP-pakke funnet"; sid: 10000002;)

Legg denne regelen til “Lokal.regler ” filen ved hjelp av følgende kommando:

[e-postbeskyttet]: ~ $ echo “alarm tcp any any -> alert tcp any any -> any 21
(msg: "FTP-pakke funnet"; sid: 10000002; rev: 1;) ”>> / etc / snort / rules / local.regler

Prøv nå å logge på fra en annen maskin og se på resultatene av Snort-programmet.

08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) FTP-pakke funnet [**] [Prioritet: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) FTP-pakke funnet [**] [Prioritet: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) FTP-pakke funnet [**] [Prioritet: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) FTP-pakke funnet [**] [Prioritet: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) FTP-pakke funnet [**] [Prioritet: 0]
TCP: 52008 -> 35.222.85.5:21

Som vist ovenfor mottok vi varselet, noe som betyr at vi har opprettet disse reglene for å oppdage avvik i havnen 21 og port 80.

Konklusjon

Inntrengingsdeteksjonssystemer som Snør brukes til å overvåke nettverkstrafikk for å oppdage når et angrep utføres av en ondsinnet bruker før det kan skade eller påvirke nettverket. Hvis en angriper utfører en portskanning på et nettverk, kan angrepet oppdages sammen med antall forsøk som er gjort, angriperens IP adresse og andre detaljer. Snør brukes til å oppdage alle typer avvik, og det kommer med et stort antall regler som allerede er konfigurert, sammen med muligheten for brukeren å skrive sine egne regler i henhold til hans eller hennes behov. Avhengig av størrelsen på nettverket, Snør kan enkelt settes opp og brukes uten å bruke noe, sammenlignet med andre betalte reklame Inntrengingsdeteksjonssystemer. De fangede pakkene kan analyseres videre ved hjelp av en pakkesniffer, som Wireshark, for å analysere og bryte ned hva som skjedde i angriperens sinn under angrepet, og hvilke typer skanninger eller kommandoer som ble utført. Snør er et gratis verktøy med åpen kildekode og lett å konfigurere, og det kan være et godt valg å beskytte ethvert mellomstort nettverk mot angrep.