Snort może być skonfigurowany do pracy w 3 trybach:
-sniffera(Sniffer mode)
-rejestratora pakietów(Packet logger mode)
-NIDS (Network Intrusion Detection System) – Sieciowy system wykrywania włamań
-Inline mode
Tryb Sniffera
Wyświetlanie nagłówków pakietów Tcp na konsoli
snort –v
Wyświetlanie nagłówków pakietów IP i nagłówków TCP/UDP/ICMP
snort –vd
Aby dodatkowo wyświetlić nagłówki warsty łącza danych implikujemy –e
snort –vde
KOMENTARZ
Nie ma znaczenia jak zapisujemy przełączniki ,czyli
snort –vd oznacza to samo co ./snort –v –d
Tryb rejestratora pakietów
Jeśli chcemy zapisać pakiety na dysku wpisujemy
snort –dev –l
Np snort –dev –l /home/adam/logi
Z tym, że określony katalog musi istnieć inaczej snort zwróci błąd
Snort działając w tym trybie gromadzi logi w hierarchi katalogów w oparciu o adres ip jednego z komputerów w datagramie.
Przełącznik –h umożliwia nam określenie jakie adresy będą logowane podczas pracy snorta
Tzn. jaki jest adres naszej sieci.
snort -dev -l ./log -h 192.168.1.0/24
Dane przełapane przez snorta mają zostać zapisane do katalogu log. Logujemy pakiety dotyczące sieci klasy C 192.168.1.0 . Wszystkie przychodzące pakiety będą zapisywane w podkatalogach katalogu log z nazwami katalogów opartych o adres hosta zdalnego(nie 192.168.1.0
Jeśli natomiast źródło i miejsce przeznaczenia mają adres mieszczący się w adresie danej
Sieci to dane są rejestrowane w katalogu z nazwą w oparciu o wyższą z dwóch numerów portów lub w przypadku identycznych adresów portów decyduje adres źródłowy.
Logowanie w trybie binarnym w celu późniejszej analizy pakietów. Jest to Format zapisu tcpdump do jednego pliku binarnego w katalogu log
snort -l ./log –b
Jeśli w przyszłości chcemy odczytać zawartość logów z postaci binarnej tcpdump
Możemy wykorzystać przełącznik –r
snort -dv -r packet.log
Możemy również wykorzystać filtr BPF aby określić jakie pakiety chcemy przeglądać
I tak np. dla pakietów ICMP
snort -dvr packet.log icmp
Te w sumie podstawowe sposoby uruchomienia naszego systemu wykrywania włamań
dają nam już dość duże możliwości w konfiguracji snorta i ochrony naszej sieci.
Ciekawy artykuł. Pozdrawiam.
OdpowiedzUsuń