Wykrywanie włamań za pomocą samouczka Snort

Ogólna myśl jest taka, że jeśli firewall chroni sieć, sieć jest uważana za bezpieczną. Jednak to nie do końca prawda. Zapory sieciowe są podstawowym elementem sieci, ale nie mogą w pełni chronić sieci przed wymuszonymi wpisami lub wrogimi zamiarami. Systemy wykrywania włamań służą do oceny agresywnych lub nieoczekiwanych pakietów i generowania alertu, zanim te programy zaszkodzą sieci the. System wykrywania włamań oparty na hoście działa na wszystkich urządzeniach w sieci lub łączy się z wewnętrzną siecią organizacji. Sieciowy system wykrywania włamań jest zamiast tego wdrażany w określonym punkcie lub grupie punktów, z których można monitorować cały ruch przychodzący i wychodzący. Zaletą opartego na hoście systemu wykrywania włamań jest to, że może on również wykrywać anomalie lub złośliwy ruch generowany z samego hosta,.mi., jeśli host jest zainfekowany złośliwym oprogramowaniem itp. Systemy wykrywania włamań (IDS) pracuj, monitorując i analizując ruch sieciowy i porównując go z ustalonym zestawem reguł, określając, co należy uznać za normalne dla sieci (i.mi., dla portów, przepustowości itp.) i czemu warto się bliżej przyjrzeć.

W zależności od wielkości sieci można wdrożyć system wykrywania włamań. Istnieją dziesiątki wysokiej jakości komercyjnych systemów IDS, ale wiele firm i małych firm nie może sobie na nie pozwolić. Parsknięcie jest elastycznym, lekkim i popularnym systemem wykrywania włamań, który można wdrożyć zgodnie z potrzebami sieci, od małych do dużych i zapewnia wszystkie funkcje płatnego systemu wykrywania włamań. Parsknięcie nic nie kosztuje, ale to nie znaczy, że nie może zapewnić tych samych funkcjonalności, co elitarny, komercyjny IDS. Parsknięcie jest uważany za pasywny IDS, co oznacza, że podsłuchuje pakiety sieciowe, porównuje z zestawem reguł, a w przypadku wykrycia złośliwego dziennika lub wpisu (i.mi., wykrywanie włamania), generuje alert lub umieszcza wpis w pliku dziennika. Parsknięcie służy do monitorowania działania i aktywności routerów, zapór sieciowych i serwerów. Snort zapewnia przyjazny dla użytkownika interfejs, zawierający łańcuch zestawów reguł, które mogą być bardzo pomocne dla osoby, która nie jest zaznajomiona z IDS. Snort generuje alarm w przypadku włamania (ataki przepełnienia bufora, zatrucie DNS, odciski palców systemu operacyjnego, skanowanie portów i wiele innych), dając organizacji większą widoczność ruchu sieciowego i znacznie ułatwiając spełnienie przepisów bezpieczeństwa.

Instalowanie Snort

Zanim zainstalujesz Snort, jest kilka programów lub pakietów typu open source, które powinieneś najpierw zainstalować, aby jak najlepiej wykorzystać ten program.

Libpcap: Sniffer pakietów, taki jak Wireshark, który służy do przechwytywania, monitorowania i analizowania ruchu sieciowego. Żeby zainstalować libpcap, użyj następujących poleceń, aby pobrać pakiet z oficjalnej strony internetowej, rozpakować pakiet, a następnie go zainstalować:

[email chroniony]:~$ wget http://www.tcpdump.org/release/libpcap-1.9.1.smoła.gz
[ochrona poczty e-mail]:~$ tar -xzvf libpcap-
[ochrona poczty e-mail]:~$ cd libpcap-
[ochrona poczty e-mail]:~$ ./konfiguruj
[chroniony e-mail]: ~ $ sudo make
[ochrona poczty e-mail]:~$ make install

OpenSSH: Narzędzie do bezpiecznej łączności, które zapewnia bezpieczny kanał, nawet w niezabezpieczonej sieci, do zdalnego logowania przez cisza protokół. OpenSSH służy do zdalnego łączenia się z systemami z uprawnieniami administratora. OpenSSH można zainstalować za pomocą następujących poleceń:

[email chroniony]:~$ wget http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/
przenośny/openssh-8.3p1.smoła.gz
[email chroniony]:~$ tar xzvf openssh-
[ochrona poczty e-mail]: ~ $ cd openssh-
[ochrona poczty e-mail]:~$ ./konfiguruj
[ochrona poczty e-mail]:~$ sudo make install

MySQL: Najpopularniejszy darmowy i open-source SQL Baza danych. MySQL służy do przechowywania zaalarmowanych danych z Snort. Biblioteki SQL są używane przez zdalne maszyny do komunikacji i uzyskiwania dostępu do bazy danych, w której przechowywane są wpisy dziennika Snort. MySQL można zainstalować za pomocą następującego polecenia:

[ochrona poczty e-mail]:~$ sudo apt-get install mysql

Serwer WWW Apache: Najczęściej używany serwer WWW w internecie. Apache służy do wyświetlania konsoli analizy przez serwer WWW web. Można go pobrać z oficjalnej strony tutaj: http://httpd.Apache.organizacja/, lub za pomocą następującego polecenia:

[ochrona poczty e-mail]:~$ sudo apt-get zainstaluj apache2

PHP: PHP to język skryptowy używany w tworzeniu stron internetowych. Do uruchomienia konsoli analizy wymagany jest silnik analizujący PHP. Można go pobrać z oficjalnej strony internetowej: https://www.php.sieć/pobieranie.php, lub za pomocą następujących poleceń:

[email chroniony]:~$ wget https://www.php.sieć/dystrybucje/php-7.4.9.smoła.bz2
[email chroniony]:~$ tar -xvf php-.smoła
[email chroniony]:~$ cd php-
[ochrona poczty e-mail]: ~ $ sudo make
[ochrona poczty e-mail]:~$ sudo make install

OpenSSL: Służy do zabezpieczania komunikacji w sieci bez martwienia się o pobieranie lub monitorowanie wysyłanych i odbieranych danych przez osoby trzecie. OpenSSL udostępnia funkcjonalność kryptograficzną serwerowi WWW. Można go pobrać z oficjalnej strony internetowej: https://www.opensl.organizacja/.
Tunel: Program używany do szyfrowania dowolnego ruchu sieciowego lub połączeń wewnątrz SSL, który działa równolegle OpenSSL. Okazja można pobrać z jego oficjalnej strony internetowej: https://www.oszałamiający.organizacja/, lub można go zainstalować za pomocą następujących poleceń:

[email chroniony]:~$ wget https://www.oszałamiający.org/pliki do pobrania/stunel-5.56-Android.zamek błyskawiczny
[ochrona poczty e-mail]:~$ stunnel tar xzvf-
[ochrona poczty e-mail]: ~ $ stunnel CD-
[ochrona poczty e-mail]:~$ ./konfiguruj
[ochrona poczty e-mail]:~$ sudo make install

KWAS: Skrót od Kontrola analizy do wykrywania włamań. ACID to obsługiwany przez zapytania interfejs wyszukiwania używany do znajdowania pasujących adresów IP, podanych wzorców, określonego polecenia, ładunku, sygnatur, określonych portów itp., ze wszystkich zarejestrowanych alertów. Zapewnia dogłębną funkcjonalność analizy pakietów, pozwalającą na identyfikację tego, co dokładnie próbował osiągnąć atakujący oraz rodzaj ładunku użytego w ataku. KWAS można pobrać z jego oficjalnej strony internetowej: https://www.sei.cmu.edu/o/podziały/certyfikat/indeks.cfm.

Teraz, gdy wszystkie wymagane pakiety podstawowe są zainstalowane, Parsknięcie można pobrać z oficjalnej strony internetowej, parsknięcie.organizacja, i można go zainstalować za pomocą następujących poleceń:

[email chroniony]:~$ wget https://www.parsknięcie.org/pobieranie/snort/snort-2.9.16.1.smoła.gz
[ochrona poczty e-mail]:~$ tar xvzf parskanie-
[chroniony e-mail]: ~ $ cd parskanie-
[ochrona poczty e-mail]:~$ ./konfiguruj
[email protected]:~$ sudo make && --enable-source-fire
[ochrona poczty e-mail]:~$ sudo make install

Następnie uruchom następujące polecenie, aby sprawdzić, czy Snort jest zainstalowany i używaną wersję Snort:

[chroniony e-mail]:~$ prychnąć --
,,_ ->> Parskać! <*-
o" )~ Numer wersji"
Prawa autorskie (C) 1998-2013 Sourcefire, Inc., i inni.
Korzystanie z libpcap w wersji 1.8.1
Korzystanie z wersji PCRE: 8.39 2016-06-14
Korzystanie z wersji ZLIB: 1.2.11

Po pomyślnym zakończeniu instalacji w systemie powinny zostać utworzone następujące pliki:

/usr/bin/parskanie: To jest plik binarny Snorta.

/usr/share/doc/snort: Zawiera dokumentację i podręczniki Snort.

/etc/parsknięcie: Zawiera wszystkie zestawy reguł Parsknięcie i jest to również jego plik konfiguracyjny.

Korzystanie Snort

Aby korzystać ze Snorta, najpierw musisz skonfigurować Strona główna_Sieć wartość i nadaj jej wartość adresu IP sieci, którą chronisz. Adres IP sieci można uzyskać za pomocą następującego polecenia:

[ochrona poczty e-mail]:~$ ifconfig

Z wyników skopiuj wartość adres internetowy żądanej sieci. Teraz otwórz plik konfiguracyjny Snort /etc/parsknięcie/parsknięcie.konf za pomocą następującego polecenia:

[ochrona poczty e-mail]:~$ sudo vim /etc/snort/snort.konf

Zobaczysz wynik taki:

Znajdź linię „IPvar HOME_NET.” Przed ipvar HOME_NET, wpisz skopiowany wcześniej adres IP i zapisz plik. Przed uruchomieniem Parsknięcie, kolejną rzeczą, którą musisz zrobić, to uruchomić sieć w trybie rozwiązłym. Możesz to zrobić za pomocą następującego polecenia:

[ochrona poczty e-mail]:~$ /sbin/ifconfig - -obietnica

Teraz jesteś gotowy do biegu Parsknięcie. Aby sprawdzić jego stan i przetestować plik konfiguracyjny, użyj następującego polecenia:

[chroniony adres e-mail]:~$ sudo snort -T -i -c /etc/parskać/parskać.konf
4150 Przeczytano zasady Snort
3476 reguł wykrywania
0 zasad dekodera
0 reguł preprocesora
3476 łańcuchów opcji połączonych w 290 nagłówków łańcucha
0 reguł dynamicznych
+++++++++++++++++++++++++++++++++++++++++++++++++++
+-------------------[Reguła Liczba portów]---------------------------------------
| tcp udp icmp ip
| źródło 151 18 0 0
| czas 3306 126 0 0
| dowolna 383 48 145 22
| bz 27 8 94 20
| s+d 12 5 0 0
+----------------------------------------------------------------------------
+-----------------------[konfiguracja-filtru-wykrywania]------------------------------
| limit pamięci: 1048576 bajtów
+-----------------------[zasady-filtru-wykrywania]-------------------------------
| Żaden
-------------------------------------------------------------------------------
+-----------------------[konfiguracja-filtru stawek]-----------------------------------
| limit pamięci: 1048576 bajtów
+-----------------------[zasady-filtrowania-stawki]------------------------------------
| Żaden
-------------------------------------------------------------------------------
+-----------------------[konfiguracja-filtra-zdarzeń]----------------------------------
| limit pamięci: 1048576 bajtów
+-----------------------[filtr-zdarzeń-globalny]----------------------------------
| Żaden
+-----------------------[filtr-zdarzeń-lokalny]-----------------------------------
| gen-id=1 sig-id=3273 type=Śledzenie progowe=src count=5 sekund=2
| gen-id=1 sig-id=2494 type=Oba śledzenie=czas dst=20 sekund=60
| gen-id=1 sig-id=3152 type=Śledzenie progowe=src count=5 sekund=2
| gen-id=1 sig-id=2923 type=Śledzenie progowe=liczba dst=10 sekund=60
| gen-id=1 sig-id=2496 type=Oba śledzenie=czas dst=20 sekund=60
| gen-id=1 sig-id=2275 type=Śledzenie progowe=liczba dst=5 sekund=60
| gen-id=1 sig-id=2495 type=Oba śledzenie=czas dst=20 sekund=60
| gen-id=1 sig-id=2523 type=Oba śledzenie=czas dst=10 sekund=10
| gen-id=1 sig-id=2924 type=Śledzenie progowe=liczba dst=10 sekund=60
| gen-id=1 sig-id=1991 type=Limit śledzenia=src count=1 sekundy=60
+-----------------------[tłumienie]------------------------------------------
| Żaden
-------------------------------------------------------------------------------
Kolejność stosowania reguł: aktywacja->dynamic->pass->drop->sdrop->reject->alert->log
Weryfikacja konfiguracji preprocesora!
[ Pamięć dopasowywania wzorców oparta na portach ]
+- [ Podsumowanie Aho-Corasick ] -------------------------------------
| Format przechowywania: Full-Q
| Automat skończony: DFA
| Rozmiar alfabetu: 256 znaków
| Sizeof State : Zmienna (1,2,4 bajtów)
| Instancje: 215
| Stany 1 bajtowe: 204
| 2 stany bajtowe: 11
| 4 stany bajtowe: 0
| Znaki: 64982
| Stany : 32135
| Przejścia : 872051
| Gęstość stanu: 10.6%
| Wzory: 5055
| Stany meczowe : 3855
| Pamięć (MB): 17.00
| Wzory: 0.51
| Listy meczów: 1.02
| DFA
| Stany 1 bajtowe: 1.02
| 2 stany bajtowe: 14.05
| 4 stany bajtowe: 0.00
+----------------------------------------------------------------
[Liczba wzorców obciętych do 20 bajtów: 1039 ]
pcap DAQ skonfigurowany jako pasywny.
Pobieranie ruchu sieciowego z „wlxcc79cfd6acfc”.
--== Inicjalizacja zakończona ==--
,,_ ->> Parskać! <*-
o" )~ Numer wersji
Prawa autorskie (C) 1998-2013 Sourcefire, Inc., i inni.
Korzystanie z libpcap w wersji 1.8.1
Korzystanie z wersji PCRE: 8.39 2016-06-14
Korzystanie z wersji ZLIB: 1.2.11
Mechanizm reguł: SF_SNORT_DETECTION_ENGINE wersja 2.4
Obiekt preprocesora: SF_IMAP wersja 1.0
Obiekt preprocesora: SF_FTPTELNET wersja 1.2
Obiekt preprocesora: SF_REPUTATION wersja 1.1
Obiekt preprocesora: SF_SDF wersja 1.1
Obiekt preprocesora: SF_SIP wersja 1.1
Obiekt preprocesora: SF_SSH wersja 1.1
Obiekt preprocesora: SF_GTP wersja 1.1
Obiekt preprocesora: SF_SSLPP wersja 1.1
Obiekt preprocesora: SF_DCERPC2 wersja 1.0
Obiekt preprocesora: SF_SMTP wersja 1.1
Obiekt preprocesora: SF_POP wersja 1.0
Obiekt preprocesora: SF_DNS wersja 1.1
Obiekt preprocesora: SF_DNP3 wersja 1.1
Obiekt preprocesora: SF_MODBUS wersja 1.1
Snort pomyślnie zweryfikował konfigurację!
Parsknięcie wychodząc

Zestawy reguł wciągania

Największa moc Parsknięcie leży w jego zestawach reguł. Snort ma możliwość wykorzystania dużej liczby zestawów reguł do monitorowania ruchu sieciowego. W najnowszej wersji, Parsknięcie przychodzi z 73 różne typy i więcej 4150 zasady wykrywania anomalii zawarte w folderze „/itp/parskanie/zasady.”

Możesz spojrzeć na typy zestawów reguł w Snort za pomocą następującego polecenia:

[ochrona poczty e-mail]:~$ ls /etc/snort/rles
odpowiedzi na ataki.zasady community-smtp.zasady icmp.zasady shellcode.zasady
tylne drzwi.zasady community-sql-injection.zasady imap.zasady SMTP.zasady
zły ruch.wirus społeczności reguł.informacje o zasadach.zasady snmp.zasady
czat.zasady dotyczące ataków społecznościowych.zasady lokalne.zasady sql.zasady
społeczność-bot.zasady community-web-cgi.zasady różne.zasady telnet.zasady
usunięta przez społeczność.zasady community-web-client.zasady multimediów.zasady tftp.zasady
społeczność-dos.zasady community-web-dos.zasady mysql.wirus reguł.zasady
wykorzystanie społeczności.zasady community-web-iis.zasady netbios.zasady dotyczące ataków internetowych.zasady
społeczność-ftp community.zasady społeczności-sieć-różne.zasady nntp.zasady web-cgi.zasady
gra społecznościowa.zasady community-web-php.wyrocznia zasad.zasady web-klient.zasady
społeczność-icmp.zasady ddos.zasady inne-identyfikatory.zasady web-coldfusion.zasady
społeczność-imap.zasady usunięte.zasady p2p.zasady strony frontowej.zasady
nieodpowiednie dla społeczności.zasady dns.polityka zasad.zasady web-iis.zasady
klient-poczty-społeczności.zasady dos.zasady pop2.zasady web-misc.zasady
społeczność-misc.zasady eksperymentalne.zasady pop3.zasady web-php.zasady
społeczność-nntp.zasady wykorzystują.zasady porno.zasady x11.zasady
wspólnota-wyrocznia.palec zasad rules.zasady RPC.zasady
polityka-społeczności.zasady ftp.zasady rusług.zasady
łyk społeczności.zasady icmp-info.skanowanie reguł.zasady

Domyślnie po uruchomieniu Parsknięcie w trybie Intrusion Detection System wszystkie te reguły są wdrażane automatycznie. Przetestujmy teraz ICMP zestaw reguł.

Najpierw użyj następującego polecenia, aby uruchomić Parsknięcie w IDS tryb:

[ochrona poczty e-mail]:~$ sudo snort -Konsola -i
-c /etc/parskać/parskać.konf

Zobaczysz kilka wyjść na ekranie, zachowaj to w ten sposób.

Teraz będziesz pingować adres IP tego komputera z innego komputera za pomocą następującego polecenia:

[ochrona poczty e-mail]:~$ ping

Wykonaj polecenie ping od pięciu do sześciu razy, a następnie wróć do swojego komputera, aby sprawdzić, czy Snort IDS go wykryje, czy nie.

24.08-01:21:55.178653 [**] [1:396:6] ICMP Destination Unreachable Fragmentation
Potrzebny i ustawiony bit DF [**] [Klasyfikacja: Różne działania] [Priorytet: 3]
ICMP ->
24.08-01:21:55.178653 [**] [1:396:6] ICMP Destination Unreachable Fragmentation
Potrzebny i ustawiony bit DF [**] [Klasyfikacja: Różne działania] [Priorytet: 3]
ICMP ->
24.08-01:21:55.178653 [**] [1:396:6] ICMP Destination Unreachable Fragmentation
Potrzebny i ustawiony bit DF [**] [Klasyfikacja: Różne działania] [Priorytet: 3]
ICMP -> adres>
24.08-01:21:55.178653 [**] [1:396:6] ICMP Destination Unreachable Fragmentation
Potrzebny i ustawiony bit DF [**] [Klasyfikacja: Różne działania] [Priorytet: 3]
ICMP -> adres ip>
24.08-01:21:55.178653 [**] [1:396:6] ICMP Destination Unreachable Fragmentation
Potrzebny i ustawiony bit DF [**] [Klasyfikacja: Różne działania] [Priorytet: 3]
ICMP -> adres>
24.08-01:21:55.178653 [**] [1:396:6] ICMP Destination Unreachable Fragmentation
Potrzebny i ustawiony bit DF [**] [Klasyfikacja: Różne działania] [Priorytet: 3]
ICMP -> adres>

Tutaj otrzymaliśmy powiadomienie, że ktoś wykonuje skanowanie ping. Zapewnił nawet adres IP maszyny atakującego.

Teraz przejdziemy do IP adres tego komputera w przeglądarce. W tym przypadku nie zobaczymy ostrzeżenia. Spróbuj połączyć się z ftp serwer tej maszyny wykorzystujący inną maszynę jako atakujący:

[chroniony e-mail]:~$ ftp

Nadal nie zobaczymy żadnego ostrzeżenia, ponieważ te zestawy reguł nie są dodawane do reguł domyślnych, a w takich przypadkach nie zostanie wygenerowany żaden alert. To wtedy musisz stworzyć swój własny zestawy reguł. Możesz tworzyć reguły według własnych potrzeb i dodawać je w „/ itd. / parskanie / zasady / lokalne.zasady” plik, a następnie parsknięcie automatycznie użyje tych reguł podczas wykrywania anomalii.

Tworzenie reguły

Stworzymy teraz regułę wykrywania podejrzanego pakietu wysłanego na port 80 tak, aby w takim przypadku generowany był alert dziennika:

# alert tcp any any -> $HOME_NET 80 (msg: "Znaleziono pakiet HTTP"; sid:10000001; rev:1;)

Pisanie reguły składa się z dwóch głównych części, i.mi., Nagłówek reguły i opcje reguł. Poniżej znajduje się opis reguły, którą właśnie napisaliśmy:

nagłówek
Alarm: Akcja określona do podjęcia po wykryciu pakietu pasującego do opisu reguły. Istnieje kilka innych akcji, które można określić zamiast alertu zgodnie z potrzebami użytkownika, i.mi., zaloguj, odrzuć, aktywuj, upuść, przekaż, itp.
Tcp: Tutaj musimy określić protokół. Istnieje kilka typów protokołów, które można określić, i.mi., TCP, UDP, ICMP, itp., zgodnie z potrzebami użytkownika.
Każdy: Tutaj można określić źródłowy interfejs sieciowy. Gdyby każdy jest określony, Snort sprawdzi wszystkie sieci źródłowe.
->: Kierunek; w tym przypadku jest ustawiony od źródła do miejsca docelowego.
$HOME_NET: Miejsce, w którym cel podróży adres IP jest specyficzne. W tym przypadku używamy tego skonfigurowanego w /etc/parsknięcie/parsknięcie.konf plik na początku.
80: Port docelowy, na którym czekamy na pakiet sieciowy.
Opcje:
Wiadomość: Alert do wygenerowania lub komunikat do wyświetlenia w przypadku przechwycenia pakietu. W tym przypadku jest ustawiony na „Znaleziono pakiet HTTP.”
strona: Służy do unikalnego i systematycznego identyfikowania reguł Snort. Pierwszy 1000000 numery są zarezerwowane, więc możesz zacząć od 1000001.
Obrót silnika: Służy do łatwej konserwacji reguł.

Dodamy tę zasadę w in „/ itd. / parskanie / zasady / lokalne.zasady” plik i sprawdź, czy może wykryć żądania HTTP na porcie 80.

[email protected]:~$ echo “alert tcp any any -> $HOME_NET 80 (msg: "Pakiet HTTP
znaleziono"; sid:10000001; rev:1;)" >> /etc/snort/rules/local.zasady

Jesteśmy gotowi. Teraz możesz otworzyć Parsknięcie w IDS tryb za pomocą następującego polecenia:

[ochrona poczty e-mail]:~$ sudo snort -Konsola -i wlxcc79cfd6acfc
-c /etc/parskać/parskać.konf

Przejdź do to adres IP tej maszyny z przeglądarki.

Parsknięcie może teraz wykryć każdy pakiet wysłany do portu 80 i wyświetli alert „Znaleziono pakiet HTTP” na ekranie, jeśli tak się stanie.

08/24-03:35:22.979898 [**] [1:10000001:0] Znaleziono pakiet HTTP [**]
[Priorytet: 0] TCP:52008 -> 35.222.85.5:80
08/24-03:35:22.979898 [**] [1:10000001:0] Znaleziono pakiet HTTP [**]
[Priorytet: 0] TCP:52008 -> 35.222.85.5:80
08/24-03:35:22.979898 [**] [1:10000001:0] Znaleziono pakiet HTTP [**]
[Priorytet: 0] TCP:52008 -> 35.222.85.5:80
08/24-03:35:22.979898 [**] [1:10000001:0] Znaleziono pakiet HTTP [**]
[Priorytet: 0] TCP:52008 -> 35.222.85.5:80
08/24-03:35:22.979898 [**] [1:10000001:0] Znaleziono pakiet HTTP [**]
[Priorytet: 0] TCP:52008 -> 35.222.85.5:80
08/24-03:35:22.979898 [**] [1:10000001:0] Znaleziono pakiet HTTP [**]
[Priorytet: 0] TCP:52008 -> 35.222.85.5:80
08/24-03:35:22.979898 [**] [1:10000001:0] Znaleziono pakiet HTTP [**]
[Priorytet: 0] TCP:52008 -> 35.222.85.5:80

Stworzymy również regułę wykrywania ftp próby logowania:

# alert tcp any any -> any 21 (msg: "Znaleziono pakiet FTP"; sid:10000002; )

Dodaj tę regułę do "lokalny.zasady” plik za pomocą następującego polecenia:

[email protected]:~$ echo “alert tcp any any -> alert tcp any any -> any 21
(msg: "Znaleziono pakiet FTP"; sid:10000002; rev:1;)” >> /etc/snort/rules/local.zasady

Teraz spróbuj zalogować się z innego komputera i spójrz na wyniki programu Snort.

08/24-03:35:22.979898 [**] [1:10000002:0) Znaleziono pakiet FTP [**] [Priorytet: 0]
TCP:52008 -> 35.222.85.5:21
08/24-03:35:22.979898 [**] [1:10000002:0) Znaleziono pakiet FTP [**] [Priorytet: 0]
TCP:52008 -> 35.222.85.5:21
08/24-03:35:22.979898 [**] [1:10000002:0) Znaleziono pakiet FTP [**] [Priorytet: 0]
TCP:52008 -> 35.222.85.5:21
08/24-03:35:22.979898 [**] [1:10000002:0) Znaleziono pakiet FTP [**] [Priorytet: 0]
TCP:52008 -> 35.222.85.5:21
08/24-03:35:22.979898 [**] [1:10000002:0) Znaleziono pakiet FTP [**] [Priorytet: 0]
TCP:52008 -> 35.222.85.5:21

Jak widać powyżej, otrzymaliśmy alert, co oznacza, że pomyślnie utworzyliśmy te reguły wykrywania anomalii na porcie 21 i port 80.

Wniosek

Systemy wykrywania włamań lubić Parsknięcie służą do monitorowania ruchu sieciowego w celu wykrycia, kiedy złośliwy użytkownik przeprowadza atak, zanim zaszkodzi lub wpłynie na sieć. Jeśli atakujący wykonuje skanowanie portów w sieci, atak może zostać wykryty, wraz z liczbą podjętych prób, IP adres i inne dane. Parsknięcie służy do wykrywania wszystkich rodzajów anomalii i zawiera dużą liczbę już skonfigurowanych reguł, wraz z opcją pisania własnych reguł zgodnie z jego potrzebami. W zależności od wielkości sieci, Parsknięcie można go łatwo skonfigurować i używać bez wydawania pieniędzy, w porównaniu do innych płatnych reklam Systemy wykrywania włamań. Przechwycone pakiety można dalej analizować za pomocą sniffera pakietów, takiego jak Wireshark, aby przeanalizować i przeanalizować, co działo się w umyśle atakującego podczas ataku oraz rodzaje skanów lub wykonywanych poleceń. Parsknięcie to bezpłatne, otwarte i łatwe w konfiguracji narzędzie, które może być doskonałym wyborem do ochrony każdej średniej wielkości sieci przed atakiem.