Snort è un leggero sistema di rilevamento di intrusioni di rete gratuito per UNIX e Windows.
In questo articolo, lo faremo Esaminare come installare Snort dall’inizio, scrivi regole ed eseguire test di base.
Scarica ed estrarre snort
È necessario scaricare l’ultima versione gratuita del sito web di Snort. Quindi estrae il codice sorgente Snort nella directory / usr / src come mostrato di seguito.
|
2
3
|
# cd / usr / src
# wget -o snort-2.8.6.1.tar .gz http://www.snort.org/downloads/116
# tar xvzf snort-2.8.6.1.tar.gz
|
Installare snort
Prima di installare Snort, assicurarsi di avere i pacchetti di sviluppo libpcap e libpre.
|
1
2
3
4
5
7
8
9
|
È necessario seguire i seguenti passaggi per installare Snort.
|
1
3
4
|
# cd snort-2.8.6.1
# ./configure
# make
# Effettuare l’installazione
|
vede Rifinificare l’installazione di snort
È necessario verificare l’installazione come mostrato di seguito.
|
2
3
4
5
6
|
Creare i file e le directory necessari.
È necessario creare il file di configurazione, il file delle regole e la directory di registrazione.
Devi creare le seguenti directory:
|
1
2
4
5 / td > |
# MKDIR / etc / snort
# mkdir / etc / snort / regole
# mkdir / Var / log / snort
|
Quindi è necessario creare i seguenti file snot.conf e icmp.rux:
|
1
2
3
5
td> |
# cat /etc/snort/snort.conf
include /etc/snort/rules/icmp.rules
# gatto /etc/snort/rules/icmp.rules
avviso ICMP qualsiasi eventuali – > Qualsiasi (MSG: “ICMP Packet”; Sid: 477; REV: 3;)
|
La precedente regola di base quando C’è un pacchetto ICMP (PING).
la siguiente es la estructura de la alerta:
|
1
2
|
< Azioni regole > < Protocollo > < Sorgente indirizzo IP > Porta di origine > < Operatore di direzione >
< Indirizzo IP Destinazione > Destinazione > (Opzioni regola)
|
tabla: estructura de Reglas y EJEMPLO
| estructura | |
| Alert | |
| Protocollo | ICMP |
| Porta di origine | qualsiasi |
| – > | |
| Destinazione indirizzo IP | qualsiasi |
| qualsiasi | |
| (msg : “Pacchetto ICMP”; Sid: 477; Rev: 3;) |
Ejecutar snort
ejecuta SNOT DESDE LA LÍNEA DE COMANDOS, COMO SE VE A CONTINACIÓN.
|
1
|
# snort -c /etc/snort/snort.conf -l / var / log / snort /
|
Ahora Intenta Hacer Ping A Alguna IP de Tu Máquina, Para Verificar Nuestra Regla de Ping. EL SIGUENTE ES EGEMPLO DE UNA ALITTA DE SNORT PARA ESTA Regla ICMP.
|
1
2
3
4
5
6
7
|
# testa / var / log / snort / avviso
pacchetto ICMP
07 / 27-20: 41: 57.230345 > L / L LEN: 0 L / L Tipologia: 0x200 0: 0: 0: 0: 0: 0
PKT Tipo: 0x4 Proto: 0x800 Len: 0x64
209.85.231.102 – > 209.85.231.104 ICMP TTL: 64 TOS: 0x0 ID: 0 IPLEN: 20 DGMLEN: 84 DF
Tipologia: 8 Codice: 0 ID: 24905 Seq: 1 ECHO
|
Esplosión De Alertas
SE Agregan Un Par de Líneas Para Cada Alerta, Que Incluye Lo Siguiente:
- El Mensaje SE Imprime en la primera línea.
- IP de Origen
- IP de destino
- tipo de paquete e información del incabezado.
SI TIENES UNA INTERFAZ DIFEREENTE PARA LA CONEXIÓN DE RED, USA LA OPCIÓN -DEV -I. En este ejemplo, MI Interfaz de Red ES PPP0.
|
1
|
# Snort -Dev -i PPP0 -C /etc/snort/snort.conf -l / var / log / snort /
|
Ejecutar snort como demonio
agrega la opción -d para ejecutar snort como demonio.
|
1
|
# snort -d -c /etc/snort/snort.conf -l / var / log / snot /
|
información adicional de snort
- Le regole predefinite possono essere scaricate da: http://www.snort.org/snort-rules