Система виявлення атак Snort

451 Загальні відомості

Snort – це безкоштовна система виявлення атак з відкритим результат-ним кодом, розроблена Мартіном Рошем (Martin Roesch) Доступні вер-оці програми, що працюють під управлінням операційних систем Win-

dows NT, Linux, BSD, Mac OS X, а також деяких інших Відповідно до запропонованої вище класифікацією, Snort є мережевий СОА, заснований-ної на сигнатурному аналізі Сигнатури атак описуються при допомоги пра-вил – Спеціальних синтаксичних конструкцій, що дозволяють виявляти ін-Тереса адміністратора інформацію в полях заголовків та вмісті переданих по мережі пакетів Крім того, в Snort реалізовано кілька препроцесорів, що виконують більш складні операції з аналізу трафіку, такі, наприклад, як дефрагментація IP-пакетів, відстеження TCP-зєднань і виявлення спроб сканування портів

452 Установка і запуск програми

Для забезпечення можливості перехоплення мережевих пакетів програмою Snort необхідна попередня установка і запуск служби WinPcap (WinPcap_3_1exe)

Рис 41 Служба WinPcap в переліку служб

Для установки СОА Snort версії 243 необхідно запустити файл

«Snort_243_Installerexe» і відповісти на цікаві для програму-інсталятор питання За замовчуванням Snort встановлюється в каталог «С: \ snort», а його іс-нують файл розташовується в каталозі «С: \ snort \ bin» Запуск СОА Snort здійснюється з командного рядка, в табл 41 наведено неповний список параметрів, з якими може проводитися запуск Щоб вивести цей список на екран під час роботи, необхідно виконати команду

snort –

Список параметрів СОА Snort

Таблиця 41

Параметр

Опис

-c

&ltrules&gt

Використовувати файл правил

-E

Додавати попередження (alerts) до журналу реєстрації со-

битій Windows NT (не створюючи log-файлу)

-h &lthn&gt

Задати домашню мережу (home network)

-i &ltif&gt

Підключитися до мережному інтерфейсу номер (Список ін-

інтерфейсів можна отримати за допомогою команди snort-W)

-I

Додавати до попередження найменування інтерфейсу

-K &ltmode&gt

Режим реєстрації попереджень: pcap (за замовчуванням) – в двійковому форматі, ascii – в текстовому форматі, none – без реєстрації

-l &ltld&gt

Зберігати результати реєстрації в каталог

-L &ltfile&gt

Зберігати результати реєстрації у вказаний файл формату tcpdump (розташовуватиметься в каталозі, попередньо ука-занном параметром-l)

-n &ltcnt&gt

Завершити роботу програми після отримання паку-

тов

-N

Чи не зберігати у файлах реєстрації вмісту пакетів (со-

що зберігаються лише текст попереджень)

-p

Аналізувати тільки пакети, відправлені на локальний ад-

рес, і широкомовні пакети

-r &lttf&gt

Прочитати і обробити файл , записаний у форматі

tcpdump

-S &ltn=v&gt

Встановити значення змінної n файлу правил, рівний v

-U

Записувати тимчасові мітки в універсальному скоординує-

ванном часу (UTC)

-v

Відображати на екрані заголовки всіх перехоплених пакетів

-V

Показати версію Snort

-W

Показати доступні мережеві інтерфейси

-X

Зберігати у файлі журналу реєстрації подій вміст перехоплених пакетів в «сирому» вигляді, починаючи з рівня link моделі OSI

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*