- •1. Короткий огляд Snort 3
- •2. Настройка Snort 10
- •2.4.2. Приклади 44
- •3. Правила Snort 53
- •4. Отримання Snort 83
- •5. Встановлення Snort 85
- •1. Короткий огляд Snort
- •1.1. Загальні відомості
- •1.2. Режим перегляду
- •1.3. Режим реєстрації пакетів
- •1.4. Режим виявлення вторгнень в мережі
- •1.4.1. Елементи настройок виводу в режимі nids
- •1.4.2. Настройка високої продуктивності
- •1.4.3 Зміна порядку попереджень
- •1.5. Інші можливості
- •1.6. Додаткова інформація
- •2. Настройка Snort
- •2.1.1 Вмикачі
- •2.1.3. Конфігурування
- •2.2. Препроцесори
- •2.2.1. Детектор роrtscan
- •2.3.1. Автономні настройки
- •2.3.2 Автономний формат
- •2.3.3 Формат ключового слова правила
- •Формат ключового слова правила
- •2.3.4. Приклади
- •2.4. Заборона події
- •2.4.1 Формат
- •2.4.2. Приклади
- •2.5. Модулі виводу
- •2.5.6 База даних
- •3. Правила Snort з.1. Основи
- •3.2. Створення правила Snort
- •3.3. Параметри правил Snort
- •3.4. Створення нового правила
- •4. Отримання Snort
- •5. Встановлення Snort
1.2. Режим перегляду
Для виведення заголовків TCP/IP пакетів на екран (тобто режим перегляду), використовується команда:
snort –v
Ця команда запустить Snort і показуватиме тільки IP і TCP/UDP/ICMP заголовки, і нічого іншого. Для виведення даних програми при передачі пакету, використовується ключ “-d”:
snort -vd
Таким чином Snort відображатиме дані пакету разом із заголовками пакетів. Якщо потрібен більш детальний вивід, з показом заголовка канального рівня застосовується ключ “-е”:
snort -vde
Ці ключі можна розділяти або прописувати разом в будь-якій комбінації. Остання команда могла бути також набрана так:
snort -d -v -е
і це повинно виконувати одне і теж.
1.3. Режим реєстрації пакетів
Для того, щоб Snort записав пакети на диск, потрібно визначити директорію реєстрації і тоді програма знатиме, що потрібно перейти в режим протоколювання пакетів:
snort -dev -l C:\Snort\log
Звичайно, це припускає, що існує “Log” директорія, і вона знаходиться по вказаному шляху. Якщо ні, Snort завершить роботу з виведенням повідомлення про помилку. Коли Snort запускається в цьому режимі, то збирає кожний пакет і розміщує в директорію з вказівкою IP адреси одного з хостів в датаграмі.
Якщо буде визначений тільки “–l ключ” , то можна помітити, що іноді Snort використовує адресу віддаленого комп'ютера як директорію, в якій він розміщує пакети, а іноді використовується локальна адреса хосту. Щоб проводити реєстрацію пакетів в домашній мережі, потрібно вказати до якого типу належить домашня мережа:
snort -dev -l C:\Snort\log -h 192.168.1.0/24
Це правило вказує Snort зберігати пакети канального рівня і TCP/IP заголовки в директорію C:\Snort\log, і реєструвати пакети, які відносяться до 192.168.1.0 мереж класу C. Всі пакети, що поступають, записуватимуться в підкаталогах директорії реєстрації, з використанням імен каталогів заснованих на адресі віддаленого комп'ютера (не-192.168.1).
Коли мережа працює на великій швидкості, і необхідно реєструвати пакети в більш компактній формі для більш пізнього аналізу існує реєстрація в двійковому режимі. Двійковий режим реєструє пакети в “tcpdump” форматі в один двійковий файл котрий знаходиться в директорії реєстрації:
snort -l C:\Snort\log -b
В наведеному вище прикладі не потрібно визначати домашню мережу, тому що двійковий режим реєструє все в одному файлі, який виключає потребу у форматуванні вихідної структури директорій.
До того ж, не потрібно запускати програму в надмірному режимі або визначати ключі “-d” або “-е”, тому що в двійковому режимі реєструється цілий пакет, а не тільки його розділи. Все що потрібно для запуску Snort в режимі реєстратора пакетів, так це визначення директорії реєстрації в командному рядку з ключем “-l”, “-b” ключ реєстрації в двійковому форматі лише вказує модифікатору реєструвати пакети в іншому форматі, ніж вихідному форматі ASCII тексту який заданий за умовчанням.
Як тільки пакети будуть зареєстровані в двійковому файлі, їх можна буде прочитати з файлу за допомогою будь-якої програми, котра підтримує двійковий формат tcpdump як, наприклад tcpdump або Ethereal. Snort може також прочитати пакети назад з файлу за допомогою ключа “-r”, який поміщає пакет в режим відображення. Пакети з будь-якого відформатованого tcpdump файлу можуть оброблятися через Snort в будь-якому з виконуваних режимів. Наприклад, для запуску файлу реєстрації в двійковому вигляді через Snort в режимі виведення інформації про пакети, щоб вивести вміст пакету на екран, використовується команда:
snort -dv -r C:\Snort\Log\packet.log
Можна маніпулювати даними файлу в режимі реєстрації пакетів Snort і режимі виявлення вторгнень за допомогою BPF інтерфейсу, який доступний з командного рядка. Наприклад, якщо потрібно відображати тільки пакети ICMP з файлу реєстрації, слід визначити BPF-фільтр в командному рядку і тоді Snort видасть тільки ICMP пакети у файлі:
snort -dvr C:\Snort\log\packet.log icmp