Snort est un petit système de détection d’intrusion de réseau gratuit pour UNIX et Windows.
Dans cet article, nous Examinez comment installer Snort depuis le début, écrire des règles et effectuer des tests de base.
télécharger et extraire Snort
Vous devez télécharger la dernière version gratuite du site Web de Snort. Ensuite , il extrait le code source de SNORT dans le répertoire / usr / SRC , comme indiqué ci – dessous.
installer Snort
Avant d’ installer Snort, assurez – vous que vous avez les libpcap et les paquets de développement libpcre.
|
1
2
3
4
5
7
8
9
|
Vous devez suivre les étapes suivantes pour installer Snort.
|
1
3
4
|
# CD-Snort 2.8.6.1
# ./configure
# make
# make install
|
voit Rify l’installation de SNORT
Vous devez vérifier l’installation comme indiqué ci – dessous.
|
2
3
4
5
6
|
créer les fichiers et répertoires nécessaires
Vous devez créer le fichier de configuration, le fichier de règles et le répertoire d’enregistrement
Vous devez créer les répertoires suivants:..
|
1
2
4
5 / TD > |
# mkdir / etc / snort
# mkdir / etc / snort / rules
# mkdir / Var / journal / snort
|
Les fichiers suivants Snort.conf et ICMP.RUX doivent être créés:
|
1
2
3
5
TD> |
# cat /etc/snort/snort.conf
comprennent /etc/snort/rules/icmp.rules
# cat /etc/snort/rules/icmp.rules
alerte ICMP any any – > Tous Tous (MSG: « paquets ICMP »; SID: 477; REV: 3;)
|
|
1
2
|
< Actions de règle > < Protocole >
< adresse IP source > < Port de source >
< opérateur de direction >
< adresse IP de destination > Destination > (options de règle)
|
tabla: estructura de Reglas Y ejemplo
| estructura | ejempo |
| Actions Règle | alerte |
| protocole | ICMP |
| any | |
| Source Port | TOUT |
| Opérateur de direction | – > |
| Adresse IP de destination | TOUT |
| Port de destination | any |
| (options de règle) | (msg : « Paquet ICMP »; SID: 477; REV: 3;) |
|
1
|
# snort -c /etc/snort/snort.conf -l / var / log / snort /
|
AHORA INTENTA HACER PING A Alguna IP de Tu Máquina, Para Vérificateur Nuestra Regla de Ping. EL SIGUIENTE ES El EJEMPLO DE UNA ALTERA DE SNORTA DE SNORT PARA ESTA REGLA ICMP.
|
1
2
3
4
5
6
7
|
# tête / var / log / snort / alerte
paquet ICMP
07 / 27-20: 41: 57.230345 > L / L LEN: 0 L / L Type: 0x200 0: 0: 0: 0: 0: 0
PKT Type: 0x4 Proto: 0x800 len: 0x64
209.85.231.102 – > 209.85.231.104 ICMP TTL: 64 TOS: 0x0 ID: 0 Iplen: 20 DF DF
Type: 8 code: 0 ID: 24905 Seq: 1 ECHO
|
Explicación DE AVERTAS
SE CONCLARGAN UN PAR DE LÍNEAS Para CADA ALTERTA, QUE INCLUYE LO SIGUIENTE:
- El Mensaje Se Immime en la Primera Línée.
- IP de Origène
- IP de Destino
- Tipo de paquet E Información del Encabezado.
Si Tiènes Una Interfaz Diferente Para la Conexión de Rouge, États-Unis La Opción -Dev -i. EN ESTE EJEMPLO, MI INTERFAZ DE RED ES PPP0.
|
1
|
# snort -dev -i ppp0 -c /etc/snort/snort.conf -l / var / log / snort /
|
Ejecutar Snort Côme Demonio
ACCORDGA LA OPCIÓN -D para ejecutar Snort Côme Demonio.
|
1
|
# snort -d -c /etc/snort/snort.conf -l / var / log / snort /
|
Información adicional de Snort
- El Archivo de Configuración Prepeterminado ESTARÁ DISPONIBLE EN SNORT-2.8.6.1 / ETC / SNORT.CONF
- Les règles par défaut peuvent être téléchargées à partir de: http://www.snort.org/snort-rules