Використання СОА Snort

СОА Snort можна використовувати як аналізатор трафіку, що володіє значними можливостями з фільтрації пакетів Наприклад, можна створити файл з правилами, що використовують виключно дії типу log В результаті з вхідного потоку даних будуть відібрані і збережені пакети, що задовольняють зазначеним правилам Так як за замовчуванням жур-нал ведеться в двійковому форматі tcpdump, він може бути імпортований майже усіма спеціалізованими програмами аналізу трафіку Зазвичай ці про-грами дозволяють наочно відображати вміст пакетів, але не володіють такими можливостями щодо їх фільтрації, як Snort

Для запуску Snort в режимі аналізатора трафіку, як і для запуску його в режимі системи виявлення атак, необхідно виконати наступну ко-манду в командному рядку Windows:

snort-i <інтерфейс> -C <файл_конфігураціі>

-L <путь_к_журналу>

де

<Інтерфейс> – Номер інтерфейсу, отриманий в результаті виконання команди snort-W

<Файл_конфігураціі> – Шлях до файлу, в якому зберігаються настройки програми і правила виявлення

<Путь_к_журналу> – Шлях до каталогу, в якому необхідно зберегти файл журналу

Приклад:

snort -i 3 -c ./etc/myconf -l ./log

Слід звернути увагу, що при записі шляху використовуються не об-

ратні, а прямі «косі риси»

Для завершення роботи СОА Snort, необхідно натиснути клавіші

&ltCtrl+C&gt.

Розглянемо кілька правил (табл 43), які дозволять виявив-

вать атаки, описані в розділі 2 Текст правил повинен записуватися в один рядок

Приклади правил СОА Snort

Таблиця 43

№ Опис

Опис

Правило

1

Виявлення вхідного

ECHO-запитів (pingов)

alert icmp $EXTERNAL_NET any -&gt

$HOME_NET any (msg: &quotIncoming ECHO

REQUEST" itype: 8)

2

Виявлення вихідних

ECHO-відповідей

alert icmp $HOME_NET any -&gt

$EXTERNAL_NET any (msg: &quotOutgoing ECHO

REPLY" itype: 0)

3

Виявлення великих

ICMP-пакетів (атака

«Ping of Death»)

alert icmp $EXTERNAL_NET any -&gt

$HOME_NET any (msg: &quotIncoming large

ICMP packet" dsize: &gt800)

4

DoS-атака Winnuke

alert tcp $EXTERNAL_NET any -&gt

$HOME_NET 135:139 (msg: &quotDoS Winnuke

attack" flags: U+)

5

Запит на підключення до

139 порту (служба SMB)

із зовнішньої мережі (два ва-

ріанта)

alert tcp $EXTERNAL_NET any -&gt

$HOME_NET 139 (msg: &quotNETBIOS SMB IPC$

share access" flags: A+ content: &quot|00|" offset: 0 depth: 1 content: &quot|FF|SMB|75|" offset: 4 depth: 5 content: &quot\\IPC$|00|" nocase)

alert tcp $EXTERNAL_NET any -&gt

$HOME_NET 139 (msg:&quotNETBIOS SMB IPC$

share access (unicode)" flags: A+ content: &quot|00|" offset: 0 depth: 1 content: &quot|FF|SMB|75|" offset: 4 depth: 5 content:

Опис

Правило

&quot|5c00|I|00|P|00|C|00|$| 00|"

nocase)

6

Запит на підключення до

445 порту (служба SMB)

із зовнішньої мережі (два ва-

ріанта)

alert tcp $EXTERNAL_NET any -&gt

$HOME_NET 445 (msg: &quotNETBIOS SMB IPC$ share access" flags: A+ content: &quot|00|" offset: 0 depth: 1 content: &quot|FF|SMB|75|" offset: 4 depth: 5 content: &quot\\IPC$|00|" nocase)

alert tcp $EXTERNAL_NET any -&gt

$HOME_NET 445 (msg:&quotNETBIOS SMB IPC$ share access (unicode)" flags: A+ content: &quot|00|" offset: 0 depth: 1 content: &quot|FF|SMB|75|" offset: 4 depth: 5 content: &quot|5c00|I|00|P|00|C|00|$|00|" nocase)

6

Виявлення сканування-вання портів методом NULL

alert tcp $EXTERNAL_NET any -&gt

$HOME_NET any (msg:&quotNULL port scanning" flags:FSRPAU)

7

Виявлення сканування-вання портів методом XMAS

alert tcp $EXTERNAL_NET any -&gt

$HOME_NET any (msg:&quotXMAS port

scanning" flags:FPU+)

ВИКОНАТИ

5 Створити в каталозі «\ snort \ etc» файл «myconf», що містить такі рядки:

var HOME_NET

var EXTERNAL_NET $HOME_NET

6 Додати в файл «myconf» правило, що дозволяє виявляти входять ECHO-запити Перевірити, чи відбувається виявлення, запустивши СОА з каталогу «\ snort \ bin» наступною командою (з «командного рядка»):

snort-i <інтерфейс> -C . / etc / myconf-l . / log

Для перевірки виконати кілька ECHO-запитів з іншого компютера,

використовуючи команду:

ping

7 Доповнити файл «myconf» правилами, зазначеними в табл 43 Для про-

верки виявлення підключень до служби SMB використовувати команду:

net use \ \ \ IPC $ ” / User: “

До якого порту проводиться підключення Як це залежить від вико-

зуемое операційної системи

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*