Файловый архив студентов. Файловый архив студентов.
1305 вузов, 5165 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Сибирский государственный технологический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
защита информации.doc
Скачиваний:
0
Добавлен:
01.07.2025
Размер:
3.2 Mб
Скачать
►Содержание►

Команды конфигурации

Конкретные параметры настройки системы задаются в файле конфигурации командой CONFIG. Формат команды:

Config <директива> [: <значение>]

Например:

CONFIG STATEFUL

Config pkt_count: 1000

Некоторые команды конфигурации, которые потребуются для выполнения задания, приведены в таблице 1. Полный список возможных команд приведен в файле snort_manual.pdf, поставляемом вместе с дистрибутивом системы (каталог \doc).

Таблица 1. Команды конфигурации Snort

Команда

Описание команды

Config alertfile: <имя файла>

Задает имя файла, в который будут выводиться предупреждения.

Config interface: <номер интерфейса>

Задает номер сетевого интерфейса, с которого будет производиться захват трафика (аналог snort -i)

Config logdir: <dir>

Задает каталог, в который производится запись (аналог snort -l)

Config min_ttl: <значение>

Задает минимальное значение времени жизни пакета (TTL), ниже которого весь трафик будет игнорироваться системой

Config no_promise

Отключает режим promiscuous mode, в котором захват трафика идет независимо от МАС адреса пакета. В этом случае система захватит только тот трафик, который предназначен данному сетевому адаптеру

Config obfuscate

Скрывает IP адрес хоста, на котором работает Snort

Config pkt_count: <число>

Завершает работу после захвата количества пакетов, указанного в команде (аналог snort -n)

Config dump_chars_only

Config dump_payload

Config dump_payload_verbose

Включение файлов в конфигурацию

Файлы, которые должна использовать данная конфигурация Snort, включаются командой include. Формат команды:

include <название файла>

Например:

include c:\Snort\rules/local.rules

include $RULE_PATH/local.rules

Таким образом к системе подключаются все файлы правил.

Формат предупреждения системы Snort

Пример предупреждения:

Alert:

[**] IDS024 - RPC - portmap-request-ttdbserv [**]

07/27-13:33:58.314512 10.0.0.69 : 896 -> 192.168.38.15 : 111

UDP TTL:64 TOS:0x0 ID:33481

Len: 64

Здесь: IDS024 - RPC - portmap-request-ttdbserv – ссобщение предупреждения

07/27-13:33:58.314512 - дата и время

10.0.0.69 : 896 - IP-адрес и порт отправителя

-> - направление трафика

192.168.38.15 : 111 - IP-адрес и порт получателя

UDP - тип протокола

TTL:64 - время жизни (Time To Live)

TOS:0x0 - тип службы (Type Of Service)

ID:33481 - идентификатор сеанса

Задание к лабораторному занятию

  1. С помощью Snort получить список сетевых интерфейсов, опознаваемых системой. Определить номер интерфейса, который является в системе реальным, и все остальные команды запускать с указанием этого номера.

  2. Убедиться в работоспособности Snort, запустив Snort в режиме снифера с выводом информации на экран.

  3. Запустить Snort в режиме записи в файл с выводом информации в заданный каталог. Программа должна перехватывать весь трафик, направленный на ваш компьютер, и выводить содержимое трафика в указанный каталог. Команду на запуск программы и часть полученного протокола поместить в отчет по лабораторному занятию.

  4. Запустить Snort. в режиме NIDS, указав в качестве файла конфигурации primer.conf. Убедиться в работоспособности системы по факту появления файлов предупреждений в указанном каталоге. В отчет по лабораторному занятию поместить команду на запуск.

  5. Создать свой собственный файл конфигурации, сделав копию файла primer.conf с другим именем. В новом файле конфигурации оставить действующим подключение только правил обнаружения сканирования вашего компьютера scan.rules. Настроить в собственном файле конфигурации переменную HOME_NET на ваш компьютер.

  6. Запустить Snort с собственным файлом конфигурации. На соседнем компьютере запустить сканер Superscan, сканирующий ваш компьютер. Правильно настроенный Snort должен обнаружить сканирование. Полученные предупреждения о сканировании должны быть приведены в отчете по лабораторному занятию.

  7. В собственном файле конфигурации сделать следующие настройки:

    • В качестве «домашней» сети HOME_NET указать подсеть класса С, в которой находится ваш компьютер.

    • В качестве внешней сети EXTERNAL_NET укажите все адреса, кроме адреса вашей подсети HOME_NET

    • Определите имя каталога и имя файла, в который будут выводиться предупреждения, и номер сетевого интерфейса, с которого будет производиться захват трафика.

    • Определите нулевое значение min_ttl

    • Сконфигурируйте останов системы после проверки 200 пакетов.

Проверьте работоспособность созданного файла, запустив Snort в режиме NIDS, не дублируя в команде запуска сделанные настройки. Листинг файла конфигурации приведите в отчете по лабораторному занятию. При срабатывании автоматического останова на экран будет выведен листинг статистики проверенных пакетов по видам сетевых протоколов, как показано ниже:

Сделать снимок экрана своего листинга и поместить в отчет по лабораторному занятию.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности