Snort varsler

Elias Aalerud Aasen
Snort varsler
“Denne opplæringen forklarer hvordan du administrerer snort -inntrengingsdeteksjonssystemvarslingsmodus i Linux.

Tidligere i Linuxhint publiserte vi artikler som viser hvordan vi kommer i gang med Snort og hvordan du lager snortregler.

Dette dokumentet beskriver snortvarslingsmodus og hvordan du administrerer dem.

Alle praktiske eksempler i denne opplæringen inkluderer skjermbilder for brukere å forstå dem lett.”

Introduksjon til Snort Alert Modes

Snortvarsler er anomalt nettverkstrafikk og mistenkelige tilkoblinger som rapporterer. Som standard lagres varsler under /var/log/snort katalog.

Det er 7 tilgjengelige varslingsmodus du kan spesifisere når du utfører Snort, som er oppført nedenfor:

  • Fort: Når du er i rask modus, rapporterer Snort Alerts tidsstempelet, send en varslingsmelding, vis kilden IP -adresse og port, og destinasjons -IP -adressen og port. Denne modusen instrueres ved hjelp av -En rask flagg.
  • Full: I tillegg til informasjonen som er trykt i hurtigmodus, viser hele modusen TTL, pakkeoverskrifter og datagramlengde, service, ICMP -type, vindusstørrelse, ack og sekvensnummer. Hele modusen er definert med -En full flagg, men dette er standardvarsler -modus.
  • Konsoll: skriver ut raske varsler i konsollen. Denne modusen implementeres med -En konsoll flagg.
  • CMG: Denne varslingsmodusen ble utviklet av Snort for testformål; Det skriver ut et fullstendig varsel på konsollen uten å lagre logger. Modusen implementeres med -En CMG flagg.
  • Unsock: Dette er nyttig for å eksportere varslingsrapporter til andre programmer gjennom UNIX -stikkontakter. Unsock -modus implementeres ved hjelp av -EN Unsock Flag.
  • Syslog: I syslog (systemloggingsprotokoll) -modus sender Snort varslingslogger eksternt; Denne modusen implementeres ved å legge til -s flagg.
  • Ingen: Med denne modusen genererer ikke Snort varsler.

Denne artikkelen fokuserer på Rask, full, konsoll og CMG modus, inkludert utgangsanalyse.

Snort hurtigmodusvarsler

Følgende kommando utfører snort med raske varsler, hvor snort Ringer programmet; de -c Flagg indikerer snorken.Conf -fil, -q instruerer en stille rapportering (uten å skrive ut banner og innledende informasjon) og -EN bestemmer varsletypen, i dette tilfellet, raskt.

sudo snort -c/etc/snort/snort.Conf -q -a rask

MERK: For denne opplæringen vil jeg starte en aggressiv fingeravtrykksskanning ved hjelp av juleteknikken fra en annen datamaskin for å vise hvordan Snort reagerer og rapporterer. Xmas Scan -kommandoen vises nedenfor.

sudo nmap -v -st -o 192.168.0.103

Varsler lagres under /var/log/snort. Når det gjelder raske varsler, er riktig loggfil /var/log/snort/snort.varsling.fort.

Derfor for å lese varselet, kjør følgende kommando.

hale/var/log/snort/snort.varsling.fort

Som du kan se på skjermbildet nedenfor, er hurtigutgangen ganske enkel. Først oppdager den en mistenkelig ICMP -pakke brukt av NMAP for å oppdage målet. Deretter oppdager den innkommende trafikk til SSH- og SNMP -protokoller brukt av NMAP for å oppdage åpne porter.

Rapportert informasjon inkluderer hendelsestid og type, kilde og destinasjons -IP -adresser, protokoll, involverte tjenester og prioritet.

Merk: Siden snortutgangen er for lang, delte jeg den i to skjermbilder.

Etter å ha samlet inn første informasjon om skanneegenskapene, innser Snort endelig at det er en juleskanning.

Som vist ovenfor, returnerer hurtigskanningen den mest brukervennlige output, og holder enkelhet.

Snort varsler av full modus

Det er klart at varsler i full modus returnerer hele utdataene. Det er viktig å avklare at hele modusen er standardmodus, og loggfilen er /var/log/snort/varsel. Derfor for å lese fulle varsler, kjør kommandoen mindre /var/log/snort/varsel.

For dette eksemplet vil jeg starte Snort med et fullt varsel, og da har den samme juleskanningen vist det forklarte i forrige del av denne opplæringen.

Alle brukte flagg er de samme som i forrige eksempel; Den eneste forskjellen er den definerte fulle modusen.

sudo snort -c/etc/snort/snort.Conf -q -a full

Som du kan se i følgende bilde, i ICMP -pakkers deteksjonsfase, returnerer hele varslingsutgangen også TTL, pakkeoverskriftslengde (IPLEN) og Datagram Length (DGMLEN), inkludert informasjonen som er trykt i hurtigskanningen.

Merk: Siden snortutgangen er for lang, delte jeg den i tre skjermbilder i tre skjermbilder.

I skjermdumpen nedenfor kan du se TCP -protokollrapporten også viser sekvensnummeret, godkjenning (ACK), maksimal segmentstørrelse (MSS), tidsstempel (TS) og vindusstørrelse.

Til slutt innser Snort at trafikken tilhører en juleskanning.

I likhet med hurtigskanningen, vil Snort rapportere hver hendelse og full trafikkfremgang.

Snort konsollmodus varsler

Varslingskonsollmodus viser utgangen i konsollen der Snort utføres. Syntaksen er alltid den samme; Den eneste endringen er konsoll Spesifikasjon etter -EN flagg.

sudo snort -c/etc/snort/snort.Conf -q -a konsoll

Som du kan se på skjermdumpen nedenfor, vises utgangen i konsollen; Du trenger ikke å lese logger når du bruker denne modusen.

På bildet over kan du se konsollmodus returnerer en enkel utgang.

Snort CMG -varslingsmodus

Snort CMG -varsler er kun for testformål. CMG -utganger lagres ikke i loggfiler. Informasjonen vises i konsollen som når du bruker konsollmodus, men den returnerer den samme informasjonen som returneres når du bruker full modus.

For å kjøre Snort i CMG Alert -modus, kjør kommandoen nedenfor.

Merk: Siden snortutgangen er for lang, delte jeg den i tre skjermbilder i tre skjermbilder.

sudo snort -c/etc/snort/snort.Conf -q -a konsoll

Som du vil se på skjermbildene nedenfor, er varslingsprosessen den samme som med tidligere modus.

Endelig rapporteres Xmas -skanningen, inkludert all informasjon som returneres i full modus.

Det handler om de viktigste snortvarslingsmodusene. Etter å ha lest denne og den forrige opplæringen som forklarer hvordan du konfigurerer og opprettet snortregler som er nevnt i introduksjonen av denne artikkelen, vil du være klar til å implementere snort. Hos Linuxhint vil vi fortsette å dele mer kunnskap om snort.

Konklusjon

Inntrengingsdeteksjonssystemer (ID -er) som Snort er en utmerket ressurs for å beskytte nettverk og systemer. Som du kan se, er Snort veldig fleksibel og kan tilpasses brukerbehov ved bare å erstatte et flagg. Fleksibiliteten ble også bevist i vår forrige artikkel om oppretting og styring av tilpassede regler. Markedet tilbyr mange IDS -alternativer som OSSEC, men Snort er fortsatt en av de mest populære blant systemadministratorene. For brukere som vet hvordan protokoller fungerer, lærer og implementerer snort er en ganske enkel oppgave og en fin prosess for å innlemme viktig kunnskap om nettverkssikkerhet. Det er verdt å nevne at det å håndtere snort er obligatorisk for hver systemadministrator. Siden IDS analyserer nettverkstrafikk, kan dette implementeres i nettverk uavhengig av datamaskinoperativsystemer.

Takk for at du leser dette dokumentet som forklarer hvordan du utfører snort med forskjellige varslingsmodus og hvordan du forstår utgangene deres. Fortsett å følge oss for mer Linux og Snort Professional Tutorials.

C programmering
Hva er strenger i C -programmering?
En streng er en sekvens av tegn. C støtter ikke eksplisitt strengdatatyper. Men det kan brukes ved h...
Elias Krogh Svendsen
C ++
Hva er identifikatorer i C++?
I et program brukes C ++ identifikatorer for å referere til navnene på variabler, funksjoner og matr...
Simen Stensrud
PHP
Hvordan du bruker substr_replace -funksjonen i php
I PHP er substr_replace () en innebygd funksjon som brukes til å erstatte en del av en streng med en...
Alexander Sørlie
Python
Python -liste til komma -adskilt streng
Daniel Johnsen
Python
Matplotlib fet tekst
Alexander Sørlie
JavaScript
Hvordan bruke getElementsByTagName -metoden i JavaScript
Mathias Halvorsen
Aws
Hva er forskjellen mellom AWS Batch og Lambda?
Daniel Berntsen
PHP
Hvordan du bruker stripeslash -funksjon i php
Elias Krogh Svendsen
Oracle Linux
Hva som skal være minimumssystemspesifikasjoner for Oracle Linux?
Elias Krogh Svendsen
JavaScript
Hvordan TypeScript er forskjellig fra JavaScript?
Alexander Sørlie
Docker
Hva Docker -registeret er satt som standard?
Alexander Sørlie
Git
Hvordan fungerer Git?
Elias Aalerud Aasen
C skarp
Hvordan bruke matematikk.Rundfunksjon i C#
Elias Aalerud Aasen