У овом водичу ће бити објашњени режими упозорења Снорт који ће упутити Снорт-а да извештава о инцидентима на 5 различитих начина (игноришући режим „без упозорења“), брзо, пуно, конзола, цмг и откачено.
Ако нисте прочитали горе поменуте чланке и немате претходно искуство са хркањем, започните са упутством о инсталацији и употреби Снорта и наставите са чланком о правилима пре него што наставите ово предавање. Овај водич претпоставља да је Снорт већ покренут.
Да бисмо рекли држава Снорт има 6 начина упозорења:
Брзо: у овом режиму Снорт ће пријавити временску ознаку, поруку упозорења, ИП изворну адресу и порт и одредишну ИП адресу и порт. (-Брзо)
Пун: поред упозорења за брзи режим, пуни режим укључује: ТТЛ, дужину ИП пакета и ИП заглавља, услугу, ИЦМП тип и редни број. (-Пуна)
Конзола: штампа брза упозорења у конзоли. (-Конзола)
Цмг: Овај формат је развио Снорт за потребе тестирања, он исписује потпуно упозорење на конзоли без чувања извештаја у евиденцијама. (-А цмг)
Откачи: извези извештај у друге програме путем Уник сокета. (-Откопчано)
Ниједан: Снорт неће генерисати упозорења. (-А ниједан)
Свим режимима упозорења претходи а -А што је параметар за упозорења. Упозорења се чувају у евиденцији / вар / лог / снорт / алерт. Подразумевана правила хркања могу открити неправилне активности као што је скенирање порта. Испробајмо сваки режим упозорења:
Тест брзог упозорења:
снорт -ц / етц / снорт / снорт.цонф -к -брз
Где:
фркнути= позива програм
-ц= путања до датотеке конфигурације, у овом случају подразумеване (/ етц / снорт / снорт.цонф)
-к= спречава хркање да приказује почетне информације
-А= дефинише режим упозорења, у овом случају брз.
Док сам са другог рачунара започео скенирање нмап-а према првих 1000 портова, упозорења су почела да се пријављују / вар / лог / снорт / алерт.
Потпуни тест упозорења:
снорт -ц / етц / снорт / снорт.цонф -к -А пун
Где:
фркнути= позива програм
-ц= пут до конфигурационе датотеке, у овом случају подразумеване (/ етц / снорт / снорт.цонф)
-к= спречава хркање да приказује почетне информације
-А= дефинише режим упозорења, у овом случају пун.
Као што видите, извештај даје додатне информације брзом.
Тест упозорења конзоле:
Са тестом упозорења на конзоли, добићемо упозорења одштампана у конзоли, за ово покретање
снорт -ц / етц / снорт / снорт.цонф -к -Конзола
Где:
фркнути= позива програм
-ц= пут до конфигурационе датотеке, у овом случају подразумеване (/ етц / снорт / снорт.цонф)
-к= спречава хркање да приказује почетне информације
-А= дефинише режим упозорења, у овом случају конзолу.
Као што видите, одштампане информације ближе су брзом упозорењу него потпуном.
Цмг тест упозорења:
Сада ћемо добити извештај у конзоли са информацијама о потпуном извештају и још много тога. Овај режим је развијен за потребе тестирања и не бележи резултате.
снорт -ц / етц / снорт / снорт.цонф -к -А цмг
Где:
фркнути= позива програм
-ц= пут до конфигурационе датотеке, у овом случају подразумеване (/ етц / снорт / снорт.цонф)
-к= спречава хркање да приказује почетне информације
-А= дефинише режим упозорења, у овом случају цмг.
Да би упозорење за откључавање функционисало, мораћете да га интегришете у независни програм или додатак.
Снорт-ов задати режим упозорења је пуни, ако вам нису потребне додатне информације о посту, тада би брзи режим повећао перформансе.
Надам се да је овај водич помогао да се разумеју Снорт-ови начини упозорења.