Параметр Опис

Опис

-y

Додати місяць, день і рік в відображаються і зберігаються тимчасові позначки

Показати допомога за параметрами командного рядка

Для перевірки працездатності СОА Snort рекомендується виконати наступні дії

ВИКОНАТИ

1 Встановити СОА Snort

2 Вивести на екран список доступних мережевих інтерфейсів командою

snort –W

3 Запустити Snort на обраному інтерфейсі в режимі аналізатора пакетів з виведенням інформації на екран, вказавши програмі завершити роботу після прийому третього пакету:

snort –v –i 1 –n 3

4 Виконати будь-які дії, які приведуть до відправки або прийому се-тевих пакетів (наприклад, відправити луна-запит на будь-який IP-адреса коман-дою ping) Переконатися, що пакети перехоплюються і відображаються на ек-рані

Опис мови правил

Розглянемо короткий опис мови правил, на якому задаються сиг-натури атак, які виявляються СОА Snort Повний опис мови правил со-тримається у файлі документації «з: \ snort \ doc \ snort_manualpdf»

Правила записуються в один рядок, якщо виникає необхідність перенести текст правила на наступний рядок, необхідно додати в кінці рядка символ зворотної косої межі «\»

Правила складаються з двох частин: заголовка і набору атрибутів Загол-

вок, в свою чергу, складається з:

1 Вказівки дії, що необхідно виконати (alert, log, pass та ін)

2 Протоколу (tcp, udp, icmp, ip)

3 IP-адреси і маски підмережі джерела і приймача інформації, а також

інформації про порти джерела і приймача

Дія alert полягає в генерації застережливого події і збереженні вмісту пакета для подальшого аналізу Дія log передбачає збереження пакета без генерації попередження Дія

pass означає пропуск пакета (його ігнорування) Існує також ряд більш складних дій, які тут не розглядаються

Текст атрибутів розташовується в дужках, кожна пара атрибут – зна-

чення має вигляд <Атрибут>: <значення>. Значення строкових атрибутів записуються в лапках

Розглянемо приклад простого правила (один рядок):

alert <протокол> <Адрес_подсеті1> [/ маска_подсеті1]

<Порт1> <Напрямок> <Адрес_подсеті2> [/ маска_подсеті2]

<Порт2> ([Msg: Текст повідомлення;] [другіе_атрібути])

де

– Alert – дія, яку необхідно виконати при виявленні пакету, який задовольняє даному правилу, і яке полягає в генера-ції «попередження» – записи в журналі реєстрації

– <Протокол> – Найменування протоколу (tcp, udp, icmp, ip)

– <Адрес_подсеті> [/ маска_подсеті] – IP-адреса і маска підмережі,

або IP-адресу сайту учасника обміну в форматі: 1921682470/24, або

1921682471

– <Порт> – Номер порту або діапазон портів у форматі 1:1024 для

позначення діапазону портів від 1 до 1024, 1024: – з номерами більше або рівними 1024, або: 1024 – менше або рівними 1024 відповідно

– <Напрямок> – Позначення напряму у вигляді ->, <- або <>

Замість IP-адрес і номерів портів можуть використовуватися псевдоніми

any, які є замінником будь-якого значення

Атрибути є найбільш значущою частиною правил, так як позво-

ляють шукати цікаву інформацію в полях заголовків та вмісті пакетів Існує чотири категорії атрибутів:

– Meta-data – надають інформацію про правило, але не впливають на процес виявлення

– Payload – атрибути даного типу призначені для пошуку інформа-

ції в «корисному навантаженні» (вмісті) пакета

– Non-payload – призначені для пошуку інформації в заголовках паку-

тов

– Post-detection – визначають поведінку системи після виявлення па-

кета, задовольняє правилу

У табл 42 наведено неповний список атрибутів, які можуть бути використані при написанні правил

Якщо відоме місцезнаходження інформації, що цікавить в пакеті,

то доцільно обмежити область пошуку за допомогою модифікаторів offset і depth, так як це суттєво скоротить час, що витрачається на аналіз пакета

Список атрибутів СОА Snort

Таблиця 42

Атрибут Опис

Опис

meta-data

msg: <текст>“;

Повідомлення, яке додається до журналу регист-

рації при активації правила

sid:

<Ідентифікатор>

Унікальний номер, який використовується для идентифи-

кации правил Ідентифікатори від 100 до

1 000 000 використовуються для правил, включених в дистрибутив Snort Для локальних правил слід

використовувати значення більше 1 000 000

rev:

<Номер_редакціі>

Ціле число, що служить для позначення номера редакції правила

classtype:

<Імя_класса>

Використовується для позначення класу атаки Пол-ний список класів наведено в документації по Snort

priority:

<Пріоритет>

Ціле число, використовуване для перевизначення пріоритету, що задається зазначеним раніше класом атаки, або для призначення пріоритету новим правилом Найвищий пріоритет – 1, типове значення атрибута становить від 1 до 4

payload

content: [] <рядок>“;

Дозволяє шукати задану підрядок в місти-мом корисного навантаження пакета Знак оклику означає відсутність зазначеної інформації в пакеті За замовчуванням цей атрибут є чутливим до регістру Для позначення дво-ічних даних слід використовувати шістнадцятому-ковий значення, відокремлені вертикальними чер-тами: | 00 5С | Атрибут content має не-скільки модифікаторів, які можуть распола-гаться слідом за ним

nocase

Модифікує стоїть раніше атрибут content,

роблячи його нечутливим до регістру

depth:

<Чісло_байт>

Значення атрибута (у байтах) визначає, як да-далеко в корисному навантаженні пакета повинен вироб-диться пошук

Атрибут

Опис

offset:

<Чісло_байт>

Значення атрибута визначає, скільки байтів по-лезной навантаження слід пропустити Пошук буде вестися, починаючи з чісло_байт +1- го байта

distance:

<Чісло_байт>

Атрибут схожий на depth, але вказує, скільки байт необхідно пропустити після попередньої що збіглася підрядка перед продовженням поис-ка

within:

<Чісло_байт>

Атрибут вказує системі шукати збіги лише в першому чісло_байт, починаючи з кінця попередньої що збіглася підрядка

non-payload

dsize: <розмір>

Порівняти розмір корисного навантаження із заданим Можливо вказівку діапазонів значень із використанням знаків>, < і <> Наприклад:> 128,

300 <> 500 (від 300 до 500)

flags: [ | * | +] <прапори>

Перевірити, чи встановлені зазначені прапори в прийнятому TCP-пакеті Прапори записуються під-ряд без пробілів і позначаються наступним про-разом:

F – FIN (LSB в байті прапорів)

S — SYN R — RST P — PSH A — ACK U — URG

1 – Резерв 1 (MSB в байті прапорів)

2 – Резерв 2

0 – прапори не встановлені

Можуть бути додатково використані сле-

дмуть модифікатори:

– Зазначені прапори не встановлені

* – Встановлений хоча б один із зазначених

+ – Встановлені зазначені і будь-які інші

itype: <тип>

Порівняти тип ICMP повідомлення із вказаним Віз-можна вказівку діапазонів значень з вико-ристанням знаків>, < і <> (Див вище)

icode: <код>

Порівняти код ICMP повідомлення із вказаним

Замість IP-адрес можуть використовуватися змінні, задані вище по тексту таким чином:

var <ім'я_змінної> <Значеніе_переменной>

Щоб послатися на змінну далі в тексті, перед її імям сліду-

ет поставити знак долара $

У текст файлу правил можна включати коментарі, які відокремлені-

ються знаком # Вся інформація праворуч від цього знаку і до кінця рядка вва-

тается коментарем і не інтерпретується системою:

# <Коментар>

Розглянемо приклад завдання двох змінних подальшого їх ис-

користування в правилі, фильтрующем входять ICMP-пакети ECHO (тип 8):

# Глобальні змінні

var HOME_NET 1921682471 var EXTERNAL_NET $HOME_NET

# Виявлення луна-запитів (pingов)

alert icmp $EXTERNAL_NET any -&gt $HOME_NET any

(msg:&quotIncoming ECHO REQUEST" itype: 8)

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*