Мониторинг журнала ids в режиме реального времени
На виртуальной машине CyberOps Workstation выполните сценарий для запуска mininet.
Должна появиться командная строка mininet, указывая, что среда mininet готова к выполнению команд.
В командной строке mininet откройте оболочку на узле R1 следующей командой:
mininet> xterm R1
mininet>
Оболочка R1 открывается в окне терминала с черным текстом на белом фоне. Какой пользователь вошел в систему в этой оболочке? Как это можно определить?
Пользователь root. На это указывает знак #
В оболочке узла R1 запустите IDS на основе Linux под названием Snort.
Примечание. Приглашение командной строки не будет отображаться, поскольку теперь в этом окне работает Snort. Если по какой-либо причине Snort прекращает выполнение и на экран выводится командная строка [root@secOps analysts] #, то нужно повторно запустить сценарий для запуска Snort. Далее для перехвата предупреждений в рамках этой лабораторной работы среда Snort должна быть запущена.
Из командной строки среды mininet в ВМ CyberOps Workstation откройте оболочки для хостов H5 и H10.
mininet> xterm H5
mininet> xterm H10
mininet>
H10 имитирует сервер в Интернете, который содержит вредоносное ПО. На H10 запустите сценарий mal_server_start.sh для запуска соответствующего сервера.
На H10 проверьте работу веб-сервера с помощью команды netstat с параметрами -tunpa. При запуске с показанными ниже параметрами netstat выводит список всех портов, которые в настоящий момент назначены службам.
Как видно из приведенных выходных данных, веб-сервер nginx запущен и прослушивает подключения через порт TCP 6666.
В окне терминала R1 работает экземпляр Snort. Для того чтобы ввести дополнительные команды на R1, откройте другой терминал R1, введя еще раз команду xterm R1 в окне терминала ВМ CyberOps Workstation, как показано ниже. Также можно упорядочить окна терминала таким образом, чтобы можно было видеть информацию от всех устройств и взаимодействовать с каждым из них. На рисунке ниже показано удобное размещение окон для оставшейся части данной лабораторной работы.
В новой вкладке терминала R1 выполните команду tail с параметром -f для мониторинга файла /var/log/snort/alert в режиме реального времени. Это файл, настроенный в snort для записи оповещений.
[root@sec0ps analyst]# tail -f /var/log/snort/alert
Поскольку оповещения еще не записывались, то журнал должен быть пустым. Однако, если данная лабораторная работа выполнялась ранее, могут отображаться старые записи оповещений. В любом случае после ввода данной команды приглашение командной строки не появится. В этом окне будут отображаться оповещения по мере их формирования.
С хоста H5 командой wget загрузите файл с именем W32.Nimda.Amm.exe. Разработанная для загрузки содержимого по протоколу HTTP команда wget — это отличное средство для загрузки файлов непосредственно с веб-серверов из командной строки.
Какой порт используется при взаимодействии с веб-сервером вредоносного ПО? Как это можно определить?
Порт 6666. Порт был указан в URL-адресе после разделителя :
Файл был полностью загружен? Да
В IDS были созданы оповещения, связанные с загрузкой файла? Да
По мере передачи вредоносного файла на R1 используемая IDS Snort могла изучить его содержимое. Содержимое, которое соответствует хотя бы одной сигнатуре, настроенной в Snort, приводило к формированию оповещения в окне второго терминала R1 (вкладка, где выполняется tail -f). Запись оповещения показана ниже. Метка времени может отличаться.
Определите по этому оповещению, каков был источник и назначение адресов IPv4, используемых в этой транзакции.
Источник IP: 209.165.200.235; IP назначения: 209.165.202.133
Определите по этому оповещению, каковы были порты источника и назначения, используемые в этой транзакции.
Исходный порт: 44810; Порт назначения: 6666
Определите по этому оповещению, когда произошла загрузка.