Makluman Snort

Sebelumnya telah dijelaskan di LinuxHint cara memasang Sistem Pengesanan Pencerobohan Snort dan cara membuat peraturan Snort. Snort adalah Sistem Pengesanan Pencerobohan yang dirancang untuk mengesan dan memberi amaran mengenai aktiviti tidak teratur dalam rangkaian. Snort disatukan oleh sensor yang menyampaikan maklumat ke pelayan mengikut arahan peraturan.

Dalam tutorial ini, mod amaran Snort akan dijelaskan untuk memerintahkan Snort untuk melaporkan kejadian dalam 5 cara yang berbeza (mengabaikan mod "tanpa amaran"), cepat, penuh, konsol, cmg dan buka kunci.

Sekiranya anda tidak membaca artikel yang disebutkan di atas dan anda tidak mempunyai pengalaman sebelumnya dengan snort, mulailah dengan tutorial mengenai pemasangan dan penggunaan Snort dan teruskan artikel mengenai peraturan sebelum meneruskan kuliah ini. Tutorial ini mengandaikan bahawa anda sudah menjalankan Snort.

Menjadi keadaan, Snort mempunyai 6 mod amaran:

Cepat: dalam mod ini Snort akan melaporkan cap waktu, mesej amaran, alamat sumber IP dan port dan alamat IP tujuan dan port. (-Sepantas)

Penuh: selain amaran mod pantas, mod penuh merangkumi: TTL, paket IP dan panjang tajuk IP, perkhidmatan, jenis ICMP dan nombor urutan. (-Penuh)

Konsol: mencetak amaran pantas di konsol. (-Konsol)

Cmg: Format ini dikembangkan oleh Snort untuk tujuan pengujian, ia mencetak amaran penuh di konsol tanpa menyimpan laporan di log. (-Sebiji cmg)

Buka stok: laporan eksport ke program lain melalui Unix Socket. (-Unock)

Tiada: Snort tidak akan menghasilkan amaran. (-Tiada)

Semua mod amaran didahului oleh a -A yang merupakan parameter untuk amaran. Makluman disimpan dalam log / var / log / snort / amaran. Peraturan lalai Snort mampu mengesan aktiviti tidak teratur seperti pengimbasan port. Mari uji setiap mod amaran:

Ujian amaran pantas:

snort -c / etc / snort / snort.conf -q -A cepat

Di mana:

mendengus= memanggil program

-c= jalan ke file konfigurasi, dalam hal ini yang lalai (/ etc / snort / snort).conf)

-q= menghalang snort daripada memaparkan maklumat awal

-A= menentukan mod amaran, dalam kes ini cepat.

Semasa dari komputer lain, saya memulakan imbasan nmap terhadap 1000 port terawal yang dimaklumkan / var / log / snort / amaran.

Ujian amaran penuh:

snort -c / etc / snort / snort.conf -q -A penuh

Di mana:

mendengus= memanggil program

-c= jalan ke file konfigurasi, dalam hal ini yang lalai (/ etc / snort / snort).conf)

-q= menghalang snort daripada memaparkan maklumat awal

-A= mentakrifkan mod amaran, dalam kes ini penuh.

Seperti yang anda lihat, laporan tersebut memberikan maklumat tambahan kepada yang cepat.

Ujian amaran konsol:

Dengan ujian amaran konsol, kami akan mendapat amaran yang dicetak di konsol, untuk jangka masa ini

snort -c / etc / snort / snort.conf -q -A konsol

Di mana:

mendengus= memanggil program

-c= jalan ke file konfigurasi, dalam hal ini yang lalai (/ etc / snort / snort).conf)

-q= menghalang snort daripada memaparkan maklumat awal

-A= mentakrifkan mod amaran, dalam kes ini konsol.

Seperti yang anda lihat maklumat yang dicetak lebih dekat dengan amaran cepat daripada yang penuh.

Ujian amaran Cmg:

Sekarang mari dapatkan laporan di konsol dengan maklumat laporan lengkap dan banyak lagi. Mod ini dikembangkan untuk tujuan ujian dan tidak mencatat hasil.

snort -c / etc / snort / snort.conf -q -A cmg

Di mana:

mendengus= memanggil program

-c= jalan ke file konfigurasi, dalam hal ini yang lalai (/ etc / snort / snort).conf)

-q= menghalang snort daripada memaparkan maklumat awal

-A= menentukan mod amaran, dalam hal ini cmg.

Agar amaran tidak tersekat berfungsi, anda perlu mengintegrasikannya ke program atau pemalam pihak ketiga.

Mod amaran lalai Snort adalah mod penuh, jika anda tidak memerlukan maklumat tambahan tentang puasa, maka mod cepat akan meningkatkan prestasi.

Saya harap tutorial ini dapat membantu memahami mod amaran Snort.