Katalog stron

katalog stron internetowych Katalog stron Gwiazdor Katalog stron INPLUS

piątek, 6 sierpnia 2010

Snort pierwsze uruchomienie

Snort jest tak naprawdę prostym w obsłudze narzędziem zawierającym jednak wiele opcji w dostępnych w linii poleceń.
Snort może być skonfigurowany do pracy w 3 trybach:
-sniffera(Sniffer mode)
-rejestratora pakietów(Packet logger mode)
-NIDS (Network Intrusion Detection System) – Sieciowy system wykrywania włamań
-Inline mode


Tryb Sniffera

Wyświetlanie nagłówków  pakietów Tcp na konsoli
snort –v

Wyświetlanie nagłówków  pakietów IP i nagłówków TCP/UDP/ICMP
snort –vd 

Aby dodatkowo wyświetlić nagłówki warsty łącza danych implikujemy –e
snort –vde

KOMENTARZ
Nie ma znaczenia jak zapisujemy przełączniki ,czyli
snort –vd oznacza to samo co  ./snort –v –d


Tryb rejestratora pakietów
Jeśli chcemy zapisać pakiety na dysku wpisujemy

snort –dev –l 
Np snort –dev –l /home/adam/logi

Z tym, że określony katalog musi istnieć inaczej snort zwróci błąd
Snort działając w tym trybie gromadzi logi w hierarchi katalogów w oparciu o adres ip jednego z komputerów w datagramie.


Przełącznik –h umożliwia nam określenie jakie adresy będą logowane podczas pracy snorta
Tzn. jaki jest adres naszej sieci.
snort -dev -l ./log -h 192.168.1.0/24

Dane przełapane przez snorta mają zostać zapisane do katalogu log. Logujemy pakiety dotyczące sieci klasy C 192.168.1.0 . Wszystkie przychodzące pakiety będą zapisywane w podkatalogach katalogu log z nazwami katalogów opartych o adres hosta zdalnego(nie 192.168.1.0
Jeśli natomiast źródło i miejsce przeznaczenia mają adres mieszczący się w adresie danej
Sieci to dane są rejestrowane w katalogu z nazwą w oparciu o wyższą z dwóch numerów portów lub w przypadku identycznych adresów portów decyduje adres źródłowy.

Logowanie  w trybie binarnym w celu późniejszej analizy pakietów. Jest to Format zapisu tcpdump do jednego pliku binarnego w katalogu log
 
snort -l ./log –b

Jeśli w przyszłości chcemy odczytać zawartość logów z postaci binarnej tcpdump
Możemy wykorzystać przełącznik –r 

snort -dv -r packet.log

Możemy również wykorzystać filtr BPF aby określić jakie pakiety chcemy przeglądać
I tak np. dla pakietów ICMP
 
snort -dvr packet.log icmp

Te w sumie podstawowe sposoby uruchomienia naszego systemu wykrywania włamań
dają nam już dość duże możliwości w konfiguracji snorta i ochrony naszej sieci.
Autor: Adam o 02:21

1 komentarz:

Subskrybuj: Komentarze do posta (Atom)