Phenquestions
За овај туториал мрежа коју ћемо користити је: 10.0.0.0/24. Уредите свој / етц / снорт / снорт.цонф датотеку и и замените „било који“ поред $ ХОМЕ_НЕТ информацијама о вашој мрежи као што је приказано на примеру снимка екрана испод:
Такође можете дефинисати одређене ИП адресе за надгледање раздвојене зарезом између [] како је приказано на овом снимку екрана:
Сада кренимо и покренимо ову команду на командној линији:
# снорт -д -л / вар / лог / снорт / -х 10.0.0.0/24 -Конзола -ц / етц / снорт / снорт.цонфГде:
д = говори снорт да прикаже податке
л = одређује директоријум дневника
х = одређује мрежу за надгледање
А = упућује снорт да штампа упозорења у конзоли
ц = наводи Снорт конфигурациону датотеку
Омогућимо брзо покретање скенирања са другог уређаја помоћу нмап-а:
И да видимо шта се дешава у снорт конзоли:
Снорт је открио скенирање, такође са другог уређаја, који омогућава напад са ДоС помоћу хпинг3
# хпинг3 -ц 10000 -д 120 -С -в 64 -п 21 --флоод --ранд-соурце 10.0.0.3
Уређај који приказује Снорт открива лош саобраћај као што је приказано овде:
Пошто смо Снорт-у наложили да чува евиденције, можемо их прочитати покретањем:
# снорт -рУвод у правила хркања
Снорт-ов НИДС режим ради на основу правила наведених у / етц / снорт / снорт.цонф датотека.
Унутар хркања.цонф датотеку можемо пронаћи коментарисана и некоментирана правила као што можете видети доле:
Пут правила је обично / етц / снорт / рулес, тамо можемо пронаћи датотеке правила:
Погледајмо правила против заклона:
Постоји неколико правила за спречавање напада у позадини, зачудо да постоји правило против НетБуса, тројанског коња који је постао популаран пре неколико деценија, дозволите да га погледамо и објаснићу његове делове и како то функционише:
упозори тцп $ ХОМЕ_НЕТ 20034 -> $ ЕКСТЕРНАЛ_НЕТ било који (мсг: "БАЦКДООР НетБус Про 2.0 везауспостављено "; проток: фром_сервер, успостављен;
протоци: иссет, бацкдоор.нетбус_2.повезивање; садржај: "БН | 10 00 02 00 |"; дубина: 6; садржај: „|
05 00 | "; дубина: 2; помак: 8; класстипе: мисц-ацтивити; сид: 115; рев: 9;)
Ово правило упућује снорт да упозори о ТЦП везама на порту 20034 које преносе на било који извор у спољној мрежи.
-> = одређује правац саобраћаја, у овом случају са наше заштићене мреже на спољну
мсг = Налаже упозорењу да приликом приказивања укључи одређену поруку
садржај = претрага одређеног садржаја у пакету. Може да садржи текст ако је између „“ или бинарне податке ако је између | |. |
дубина = Интензитет анализе, у горњем правилу видимо два различита параметра за два различита садржаја
офсет = говори Подмркните почетни бајт сваког пакета да започне тражење садржаја
цласстипе = говори на какав напад Снорт упозорава
сид: 115 = идентификатор правила
Стварање сопственог правила
Сада ћемо створити ново правило за обавештавање о долазним ССХ везама. Отвори / етц / снорт / рулес / иоурруле.правила, а унутра залепите следећи текст:
упозори тцп $ ЕКСТЕРНАЛ_НЕТ било који -> $ ХОМЕ_НЕТ 22 (мсг: "ССХ долазни";проток: без држављанства; заставице: С +; сид: 100006927; рев: 1;)
Поручујемо Снорт-у да упозори на било какву тцп везу из било ког спољног извора на наш ссх порт (у овом случају подразумевани порт), укључујући текстуалну поруку „ССХ ИНЦОМИНГ“, где апатриди налажу Снорту да игнорише стање везе.
Сада треба да додамо правило које смо створили свом / етц / снорт / снорт.цонф датотека. Отворите датотеку за конфигурацију у едитору и потражите # 7, што је одељак са правилима. Додајте некоментирано правило као на горњој слици додавањем:
укључите $ РУЛЕ_ПАТХ / иоурруле.правилаУместо „вашег правила.правила ”, поставите име датотеке, у мом случају је било тест3.правила.
Једном кад завршите, поново покрените Снорт и погледајте шта ће се догодити.
#снорт -д -л / вар / лог / снорт / -х 10.0.0.0/24 -Конзола -ц / етц / снорт / снорт.цонфссх на свој уређај са другог уређаја и погледајте шта ће се догодити:
Видите да је откривен долазни ССХ.
Уз ову лекцију надам се да знате како да направите основна правила и користите их за откривање активности у систему. Погледајте и водич о томе како подешавање хрче и почните да га користите и исти водич који је доступан на шпанском језику у Линуку.лат.
