Откривање упада помоћу водича за хркање

Општа је мисао да ако заштитни зид штити нечију мрежу, мрежа се сматра сигурном. Међутим, то није у потпуности тачно. Заштитни зидови су основна компонента мреже, али не могу у потпуности заштитити мрежу од присилних уноса или непријатељске намере. Системи за откривање упада користе се за процену агресивних или неочекиваних пакета и генерисање упозорења пре него што ови програми могу наштетити мрежи. Систем за откривање упада заснован на хосту ради на свим уређајима у мрежи или се повезује са унутрашњом мрежом организације. Мрежни систем за откривање упада уместо тога је постављен на одређеној тачки или групи тачака са којих се може надгледати сав долазни и одлазни саобраћај. Предност система за откривање упада заснован на хосту је што такође може да открије аномалије или злонамерни саобраћај који се генерише од самог хоста, тј.е., ако је на домаћин погођен малвер итд. Системи за откривање провала (ИДС) радити надгледањем и анализом мрежног промета и упоређивањем са утврђеним скупом правила, утврђујући шта би требало узети за мрежу нормално (и.е., за луке, пропусне опсеге итд.) и шта треба пажљивије погледати.

Систем за откривање провала може се применити у зависности од величине мреже. Постоје десетине квалитетних комерцијалних ИД-ова, али многе компаније и мала предузећа не могу да их приуште. Фркни је флексибилан, лаган и популаран систем за откривање упада који се може применити у складу са потребама мреже, у распону од малих до великих мрежа, и пружа све функције ИДС-а који се плаћа. Фркни не кошта ништа, али то не значи да не може да пружи исте функције као елитни, комерцијални ИДС. Фркни сматра се пасивним ИДС-ом, што значи да њушка мрежне пакете, упоређује се са скупом правила и, у случају откривања злонамерног дневника или уноса (и.е., откривање упада), генерише упозорење или ставља унос у датотеку евиденције. Фркни користи се за надгледање рада и активности рутера, заштитног зида и сервера. Снорт пружа усер-фриендли интерфејс који садржи ланац скупова правила који могу бити од велике помоћи особи која није упозната са ИДС-овима. Снорт генерира аларм у случају упада (напади преливања бафера, тровање ДНС-ом, отисци прстију ОС-а, скенирање порта и још много тога), пружајући организацији већу видљивост мрежног промета и олакшавајући испуњавање сигурносних прописа.

Инсталирање Снорт

Пре него што инсталирате Снорт, постоји неколико софтвера или пакета отвореног кода које бисте требали прво инсталирати да бисте најбоље искористили овај програм.

Либпцап: Њушкач пакета попут Виресхарк-а који се користи за хватање, надгледање и анализу мрежног промета. За инсталацију либпцап, користите следеће наредбе за преузимање пакета са званичне веб странице, распакујте пакет, а затим га инсталирајте:

[заштићен е-поштом]: ~ $ вгет хттп: // ввв.тцпдумп.орг / релеасе / либпцап-1.9.1.катран.гз
[заштићена е-поштом]: ~ $ тар -кзвф либпцап-
[заштићен е-поштом]: ~ $ цд либпцап-
[заштићен е-поштом]: ~ $ ./ цонфигуре
[емаил заштићен]: ~ $ судо маке
[заштићен е-поштом]: ~ $ маке инсталл

ОпенССХ: Алат за сигурно повезивање који обезбеђује сигуран канал, чак и преко несигурне мреже, за даљинско пријављивање путем ссх протокол. ОпенССХ користи се за даљинско повезивање са системима са администраторским привилегијама. ОпенССХ може се инсталирати помоћу следећих команди:

[заштићен е-поштом]: ~ $ вгет хттп: // фтп.опенбсд.орг / пуб / ОпенБСД / ОпенССХ /
преносни / опенссх-8.3п1.катран.гз
[заштићена е-поштом]: ~ $ тар кзвф опенссх-
[заштићен е-поштом]: ~ $ цд опенссх-
[заштићен е-поштом]: ~ $ ./ цонфигуре
[заштићен е-поштом]: ~ $ судо маке инсталл

МиСКЛ: Најпопуларнији бесплатни и отворени код СКЛ база података. МиСКЛ користи се за чување упозорених података из Снорт-а. Удаљене машине користе СКЛ библиотеке за комуникацију и приступ бази података у којој се чувају уноси Снорт дневника. МиСКЛ се може инсталирати помоћу следеће наредбе:

[заштићен е-поштом]: ~ $ судо апт-гет инсталл мискл

Апацхе веб сервер: Најкоришћенији веб сервер на Интернету. Апацхе се користи за приказивање конзоле за анализу путем веб сервера. Може се преузети са званичне веб странице овде: хттп: // хттпд.апацхе.орг /, или помоћу следеће команде:

[заштићен е-поштом]: ~ $ судо апт-гет инсталл апацхе2

ПХП: ПХП је скриптни језик који се користи у веб развоју. За покретање конзоле за анализу потребан је ПХП механизам за рашчлањивање. Може се преузети са званичне веб странице: хттпс: // ввв.пхп.нет / преузимања.пхп, или помоћу следећих команди:

[заштићен е-поштом]: ~ $ вгет хттпс: // ввв.пхп.нет / дистрибуције / пхп-7.4.9.катран.бз2
[заштићен е-поштом]: ~ $ тар -квф пхп-.катран
[емаил заштићен]: ~ $ цд пхп-
[емаил заштићен]: ~ $ судо маке
[заштићен е-поштом]: ~ $ судо маке инсталл

ОпенССЛ: Користи се за заштиту комуникације преко мреже без бриге о преузимању или надгледању података послатих и примљених од стране треће стране. ОпенССЛ пружа криптографску функционалност веб серверу. Може се преузети са званичне веб странице: хттпс: // ввв.опенссл.орг /.
Стуннел: Програм који се користи за шифровање произвољног мрежног промета или веза унутар ССЛ-а и који ради заједно ОпенССЛ. Стуннел можете преузети са званичне веб странице: хттпс: // ввв.омамљивање.орг /, или се може инсталирати помоћу следећих команди:

[заштићен е-поштом]: ~ $ вгет хттпс: // ввв.омамљивање.орг / довнлоадс / стуннел-5.56-андроид.зип
[заштићен е-поштом]: ~ $ тар тар кзвф стуннел-
[заштићен е-поштом]: ~ $ цд стуннел-
[заштићен е-поштом]: ~ $ ./ цонфигуре
[заштићен е-поштом]: ~ $ судо маке инсталл

КИСЕЛИНА: Скраћеница за Контрола анализе за откривање продора. АЦИД је интерфејс за претрагу подржан упитом који се користи за проналажење одговарајућих ИП адреса, задатих образаца, одређене наредбе, корисног терета, потписа, одређених портова итд., из свих евидентираних упозорења. Пружа дубинску функционалност анализе пакета, омогућавајући идентификацију шта тачно нападач покушава постићи и врсту корисног терета који се користи у нападу. КИСЕЛИНА можете преузети са званичне веб странице: хттпс: // ввв.сеи.цму.еду / абоут / дивисионс / церт / индек.цфм.

Сада када су инсталирани сви потребни основни пакети, Фркни може се преузети са званичне веб странице, фркнути.орг, и може се инсталирати помоћу следећих команди:

[заштићен е-поштом]: ~ $ вгет хттпс: // ввв.фркнути.орг / довнлоадс / снорт / снорт-2.9.16.1.катран.гз
[заштићена е-поштом]: ~ $ тар квзф снорт-
[емаил заштићен]: ~ $ цд снорт-
[заштићен е-поштом]: ~ $ ./ цонфигуре
[заштићена е-поштом]: ~ $ судо маке && --енабле-соурце-фире
[заштићен е-поштом]: ~ $ судо маке инсталл

Затим покрените следећу команду да бисте проверили да ли је Снорт инсталиран и верзију Снорт коју користите:

[заштићена е-поштом]: ~ $ снорт --
,,_ - *> Фркни! <*-
о ") ~ Број верзије"
Ауторска права (Ц) 1998-2013 Соурцефире, Инц., ет ал.
Коришћење либпцап верзије 1.8.1
Коришћење верзије ПЦРЕ: 8.39 2016-06-14
Коришћење верзије ЗЛИБ: 1.2.11

Након успешне инсталације, на систему су требале бити креиране следеће датотеке:

/ уср / бин / снорт: Ово је Снорт-ов бинарни извршни програм.

/ уср / схаре / доц / снорт: Садржи Снорт документацију и странице.

/ етц / снорт: Садржи све скупове правила Фркни а такође је и његова конфигурациона датотека.

Коришћење Снорт

Да бисте користили Снорт, прво морате да конфигуришете Хоме_Нет вредност и дајте јој вредност ИП адресе мреже коју штитите. ИП адреса мреже може се добити помоћу следеће наредбе:

[заштићен е-поштом]: ~ $ ифцонфиг

Из резултата копирајте вредност адреса инет жељене мреже. Сада отворите конфигурациону датотеку Снорт / етц / снорт / снорт.цонф користећи следећу команду:

[заштићен е-поштом]: ~ $ судо вим / етц / снорт / снорт.цонф

Видећете овакав излаз:

Нађи линију „Ипвар ХОМЕ_НЕТ.” Испред ипвар ХОМЕ_НЕТ, напишите пре копирану ИП адресу и сачувајте датотеку. Пре трчања Фркни, још једна ствар коју морате да урадите је да водите мрежу у промискуитетном режиму. То можете учинити помоћу следеће команде:

[заштићена е-поштом]: ~ $ / сбин / ифцонфиг - -промисц

Сада сте спремни за трчање Фркни. Да бисте проверили њен статус и тестирали конфигурациону датотеку, користите следећу наредбу:

[заштићена е-поштом]: ~ $ судо снорт -Т -и -ц / етц / снорт / снорт.цонф
4150 Прочитана правила хркања
3476 правила откривања
0 правила декодера
0 правила претпроцесора
3476 Опциони ланци повезани у 290 заглавља ланца
0 Динамичка правила
+++++++++++++++++++++++++++++++++++++++++++++++++++
+-------------------[Правило броји луке]---------------------------------------
|. | тцп удп ицмп ип
|. | срц 151 18 0 0
|. | дст 3306 126 0 0
|. | било који 383 48 145 22
|. | нц 27 8 94 20
|. | с + д 12 5 0 0
+----------------------------------------------------------------------------
+-----------------------[детецтион-филтер-цонфиг]------------------------------
|. | цап-мемори: 1048576 бајтова
+-----------------------[правила детекције-филтера]-------------------------------
|. | ниједан
-------------------------------------------------------------------------------
+-----------------------[рате-филтер-цонфиг]-----------------------------------
|. | цап-мемори: 1048576 бајтова
+-----------------------[рате-филтер-правила]------------------------------------
|. | ниједан
-------------------------------------------------------------------------------
+-----------------------[евент-филтер-цонфиг]----------------------------------
|. | цап-мемори: 1048576 бајтова
+-----------------------[филтер-догађаја-глобално]----------------------------------
|. | ниједан
+-----------------------[евент-филтер-лоцал]-----------------------------------
|. | ген-ид = 1 сиг-ид = 3273 типе = Праћење прага = срц цоунт = 5 секунди = 2
|. | ген-ид = 1 сиг-ид = 2494 типе = Оба праћења = дст цоунт = 20 секунди = 60
|. | ген-ид = 1 сиг-ид = 3152 типе = Праћење прага = срц цоунт = 5 секунди = 2
|. | ген-ид = 1 сиг-ид = 2923 типе = Праћење прага = дст цоунт = 10 секунди = 60
|. | ген-ид = 1 сиг-ид = 2496 типе = Оба праћења = дст цоунт = 20 секунди = 60
|. | ген-ид = 1 сиг-ид = 2275 типе = Праг прага = дст цоунт = 5 секунди = 60
|. | ген-ид = 1 сиг-ид = 2495 типе = Оба праћења = дст цоунт = 20 секунди = 60
|. | ген-ид = 1 сиг-ид = 2523 типе = Оба праћења = дст цоунт = 10 секунди = 10
|. | ген-ид = 1 сиг-ид = 2924 типе = Праћење прага = дст цоунт = 10 секунди = 60
|. | ген-ид = 1 сиг-ид = 1991 врста = Ограничење праћења = срц цоунт = 1 секунда = 60
+-----------------------[сузбијање]------------------------------------------
|. | ниједан
-------------------------------------------------------------------------------
Правило редоследа пријаве: активација-> динамичка-> пролазак-> испуштање-> сдроп-> одбијање-> упозорење-> евиденција
Провера конфигурација претпроцесора!
[Меморија за подударање образаца заснована на луци]
+- [Ахо-Цорасицк резиме] -------------------------------------
|. | Формат складишта: Фулл-К
|. | Коначни аутомат: ДФА
|. | Величина абецеде: 256 знакова
|. | Величина стања: променљива (1,2,4 бајта)
|. | Примерака: 215
|. | 1 бајт наводи: 204
|. | 2 бајта: 11
|. | 4 бајтна стања: 0
|. | Ликови: 64982
|. | Државе: 32135
|. | Прелази: 872051
|. | Густина државе: 10.6%
|. | Обрасци: 5055
|. | Мечеви држава: 3855
|. | Меморија (МБ): 17.00
|. | Обрасци: 0.51
|. | Листа утакмица: 1.02
|. | ДФА
|. | 1 бајт наводи: 1.02
|. | 2 бајта наводи: 14.05
|. | 4 бајтна стања: 0.00
+----------------------------------------------------------------
[Број образаца скраћен на 20 бајтова: 1039]
пцап ДАК конфигурисан на пасиван.
Прибављање мрежног саобраћаја са „влкцц79цфд6ацфц“.
--== Иницијализација је завршена ==--
,,_ - *> Фркни! <*-
о ") ~ Број верзије
Ауторска права (Ц) 1998-2013 Соурцефире, Инц., ет ал.
Коришћење либпцап верзије 1.8.1
Коришћење верзије ПЦРЕ: 8.39 2016-06-14
Коришћење верзије ЗЛИБ: 1.2.11
Механизам правила: СФ_СНОРТ_ДЕТЕЦТИОН_ЕНГИНЕ Верзија 2.4
Предмет процесора: СФ_ИМАП верзија 1.0
Предмет процесора: СФ_ФТПТЕЛНЕТ верзија 1.2
Предмет процесора: СФ_РЕПУТАТИОН Верзија 1.1
Предмет процесора: СФ_СДФ верзија 1.1
Предмет процесора: СФ_СИП верзија 1.1
Предмет процесора: СФ_ССХ верзија 1.1
Предмет процесора: СФ_ГТП верзија 1.1
Предмет процесора: СФ_ССЛПП верзија 1.1
Предмет процесора: СФ_ДЦЕРПЦ2 верзија 1.0
Предмет процесора: СФ_СМТП верзија 1.1
Предмет процесора: СФ_ПОП верзија 1.0
Предмет процесора: СФ_ДНС верзија 1.1
Предмет процесора: СФ_ДНП3 верзија 1.1
Предмет процесора: СФ_МОДБУС верзија 1.1
Снорт је успешно потврдио конфигурацију!
Фркне излазећи

Снорт Рулесетс

Највећа снага од Фркни лежи у њеном скупу правила. Снорт има могућност да користи велики број скупова правила за надгледање мрежног промета. У својој најновијој верзији, Фркни долази са 73 различите врсте и више 4150 правила за откривање аномалија садржаних у фасцикли “/ Етц / снорт / рулес.”

Типове скупова правила у Снорт можете погледати помоћу следеће наредбе:

[заштићен е-поштом]: ~ $ лс / етц / снорт / рлес
одговори на напад.правила цоммунити-смтп.правила ицмп.правила схеллцоде.правила
задња врата.правила цоммунити-скл-ињецтион.правила имап.правила смтп.правила
лош саобраћај.правила заједница-вирус.правила о информацијама.правила снмп.правила
Ћаскање.влада заједничким веб нападима.правила локална.правила скл.правила
заједница-бот.правила цоммунити-веб-цги.правила разно.правила телнет.правила
избрисана из заједнице.правила заједница-веб-клијент.правила мултимедије.правила тфтп.правила
заједнице-дос.правила заједница-веб-дос.правила мискл.правила вирус.правила
заједница-експлоатација.правила цоммунити-веб-иис.правила нетбиос.влада веб нападима.правила
цоммунити-фтп.правила заједница-веб-разно.правила ннтп.правила веб-цги.правила
заједница-игра.правила заједница-веб-пхп.правила пророчиште.правила веб-клијента.правила
цоммунити-ицмп.правила ддос.влада другим ид.правила веб-цолдфусион.правила
заједница-имап.правила обрисана.правила п2п.правила веб странице.правила
заједница-неприкладна.правила днс.правила политике.правила веб-иис.правила
заједница-маил-клијент.правила дос.правила поп2.правила веб-разно.правила
заједница-разно.правила експериментална.правила поп3.правила веб-пхп.правила
заједница-ннтп.правила експлоатишу.правила порно.правила к11.правила
заједница-пророчиште.правила прст.правила рпц.правила
политика заједнице.правила фтп.правила руслуга.правила
заједница-гутљај.правила ицмп-инфо.сканирање правила.правила

Подразумевано, када трчите Фркни у режиму система за откривање упада, сва ова правила се примењују аутоматски. Хајде да сада тестирамо ИЦМП сет правила.

Прво користите следећу наредбу за покретање Фркни у ИДС мод:

[заштићена е-поштом]: ~ $ судо снорт -А конзола -и
-ц / етц / снорт / снорт.цонф

Видећете неколико излаза на екрану, нека буде тако.

Сада ћете пингати ИП ове машине са друге машине помоћу следеће наредбе:

[емаил заштићен]: ~ $ пинг

Пинг-ујте га пет до шест пута, а затим се вратите на свој рачунар да бисте видели да ли га Снорт ИДС детектује или не.

08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ИЦМП дестинација недостижна фрагментација
Потребан и постављен је ДФ бит [**] [Класификација: Разне активности] [Приоритет: 3]
ИЦМП ->
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ИЦМП дестинација недостижна фрагментација
Потребан и постављен је ДФ бит [**] [Класификација: Разне активности] [Приоритет: 3]
ИЦМП ->
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ИЦМП дестинација недостижна фрагментација
Потребан и постављен је ДФ бит [**] [Класификација: Разне активности] [Приоритет: 3]
ИЦМП -> адреса>
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ИЦМП дестинација недостижна фрагментација
Потребан и постављен је ДФ бит [**] [Класификација: Разне активности] [Приоритет: 3]
ИЦМП -> ип адреса>
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ИЦМП дестинација недостижна фрагментација
Потребан и постављен је ДФ бит [**] [Класификација: Разне активности] [Приоритет: 3]
ИЦМП -> адреса>
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ИЦМП дестинација недостижна фрагментација
Потребан и постављен је ДФ бит [**] [Класификација: Разне активности] [Приоритет: 3]
ИЦМП -> адреса>

Овде смо добили упозорење да неко врши скенирање пинг-а. Чак је и пружио ИП адреса машине нападача.

Сада ћемо ићи на ИП адресу ове машине у прегледачу. У овом случају нећемо видети упозорење. Покушајте да се повежете са фтп сервер ове машине који користи другу машину као нападача:

[заштићен е-поштом]: ~ $ фтп

И даље нећемо видјети ниједно упозорење, јер ови скупови правила нису додани у подразумевана правила, а у тим случајевима се неће генерисати упозорење. Тада морате створити свој властити скупови правила. Можете креирати правила према сопственим потребама и додати их у “/ Етц / снорт / рулес / лоцал.правила" датотеку, а затим фркнути ће аутоматски користити ова правила приликом откривања аномалија.

Стварање правила

Сада ћемо створити правило за откривање сумњивог пакета послатог на порту 80 тако да се генерише упозорење дневника када се то догоди:

# алерт тцп било који -> $ ХОМЕ_НЕТ 80 (мсг: "Пронађен ХТТП пакет"; сид: 10000001; рев: 1;)

Постоје два главна дела писања правила, тј.е., Заглавље правила и опције правила. Следи слом правила која смо управо написали:

Заглавље
Упозорење: Радња наведена за откривање пакета који одговара опису правила. Постоји неколико других радњи које се могу навести уместо упозорења у складу са потребама корисника, тј.е., евидентирати, одбити, активирати, испустити, проћи, итд.
Тцп: Овде морамо да одредимо протокол. Постоји неколико врста протокола који се могу навести, тј.е., тцп, удп, ицмп, итд., према потребама корисника.
Било који: Овде се може навести изворни мрежни интерфејс. Ако било који је наведено, Снорт ће проверити да ли постоје све изворне мреже.
->: Правац; у овом случају се поставља од извора до одредишта.
$ ХОМЕ_НЕТ: Место одредишта ИП адреса је назначено. У овом случају користимо онај конфигурисан у / етц / снорт / снорт.цонф датотека на почетку.
80: Одредишни порт на којем чекамо мрежни пакет.
Опције:
Порука: Упозорење које треба генерисати или порука која ће се приказати у случају преузимања пакета. У овом случају је постављено на „Пронађен је ХТТП пакет.”
сид: Користи се за јединствено и систематично идентификовање Снорт правила. Први 1000000 бројеви су резервисани, па можете почети са 1000001.
Рев: Користи се за лако одржавање правила.

Ово правило ћемо додати у “/ Етц / снорт / рулес / лоцал.правила" датотеку и погледајте да ли може да открије ХТТП захтеве на порту 80.

[заштићен е-поштом]: ~ $ ецхо “алерт тцп ани ани -> $ ХОМЕ_НЕТ 80 (мсг:" ХТТП пакет
пронађено "; сид: 10000001; рев: 1;)" >> / етц / снорт / рулес / лоцал.правила

Сви смо спремни. Сада можете отворити Фркни у ИДС режим користећи следећу команду:

[заштићена е-поштом]: ~ $ судо снорт -А конзола -и влкцц79цфд6ацфц
-ц / етц / снорт / снорт.цонф

Дођите до ИП адреса ове машине из прегледача.

Фркни сада може да открије било који пакет послан на порт 80 и приказаће упозорење „Пронађен ХТТП пакет ” на екрану ако се то догоди.

08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] ХТТП пакет пронађен [**]
[Приоритет: 0] ТЦП: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] ХТТП пакет пронађен [**]
[Приоритет: 0] ТЦП: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] ХТТП пакет пронађен [**]
[Приоритет: 0] ТЦП: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] ХТТП пакет пронађен [**]
[Приоритет: 0] ТЦП: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] ХТТП пакет пронађен [**]
[Приоритет: 0] ТЦП: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] ХТТП пакет пронађен [**]
[Приоритет: 0] ТЦП: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] ХТТП пакет пронађен [**]
[Приоритет: 0] ТЦП: 52008 -> 35.222.85.5:80

Такође ћемо створити правило за откривање фтп покушаји пријаве:

# алерт тцп било који -> било који 21 (порука: "Пронађен је ФТП пакет"; сид: 10000002;)

Додајте ово правило у „Локални.правила" датотеку помоћу следеће наредбе:

[заштићен е-поштом]: ~ $ ецхо “упозори тцп било који -> упозори тцп било који - - било који 21
(мсг: "Пронађен ФТП пакет"; сид: 10000002; рев: 1;) ”>> / етц / снорт / рулес / лоцал.правила

Покушајте се сада пријавити са друге машине и погледајте резултате програма Снорт.

08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Пронађен ФТП пакет [**] [Приоритет: 0]
ТЦП: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Пронађен ФТП пакет [**] [Приоритет: 0]
ТЦП: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Пронађен ФТП пакет [**] [Приоритет: 0]
ТЦП: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Пронађен ФТП пакет [**] [Приоритет: 0]
ТЦП: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Пронађен ФТП пакет [**] [Приоритет: 0]
ТЦП: 52008 -> 35.222.85.5:21

Као што се горе види, добили смо упозорење, што значи да смо успешно креирали ова правила за откривање аномалија на порту 21 и лука 80.

Закључак

Системи за откривање упада као Фркни користе се за надгледање мрежног промета како би се открило када злонамерни корисник изврши напад пре него што то може наштетити или утицати на мрежу. Ако нападач врши скенирање порта на мрежи, напад се може открити, заједно са бројем покушаја нападача, ИП адресу и друге детаље. Фркни користи се за откривање свих врста аномалија, а долази са великим бројем већ конфигурисаних правила, заједно са опцијом да корисник напише своја правила у складу са својим потребама. У зависности од величине мреже, Фркни може се лако поставити и користити без икаквог трошења, у поређењу са осталим плаћеним рекламама Системи за откривање упада. Ухваћени пакети могу се даље анализирати помоћу алата за проналажење пакета, попут Виресхарка, за анализу и рашчлањивање онога што се нападачу догађало у уму током напада и врста извршених скенирања или команди. Фркни је бесплатан алат отвореног кода и једноставан за конфигурисање и може бити одличан избор за заштиту било које мреже средње величине од напада.