運作模式
- 嗅探器模式(Sniffer mode)
- 封包記錄器模式(Packet Logger mode)
- 網路入侵偵測系統模式(Network Intrusion Detection System(NIDS) mode)
規則說明
自訂rules存放在
/etc/snort/rules/local.rules
利用文字編輯器編輯以上檔案(須以root權限編輯)
規則如下
rules的主要組成
Rule Header Rule Options
Rule Header結構:
Action Protocol Src. Address Src. Port Direction Dst. Address Dst. Port
Action: alert, log, pass, activate, dynamic, drop, reject, sdrop
Protocol: ip, tcp,udp, icmp
Direction: ->,<>
Rule Options:
當alert時會產生的資訊為DNS request attempt
Example:
利用ping產生帶有ICMP的封包
snort偵測到ICMP封包產生alert
亦可將alert輸出進log檔案中做紀錄
再利用
也可以在後方加入過濾字眼
規則如下
rules的主要組成
Rule Header結構:
alert tcp ipAddr any -> any 53表示當有意TCP封包從ipAddr任意Port發送到任何IP的53port時警告
Action: alert, log, pass, activate, dynamic, drop, reject, sdrop
Protocol: ip, tcp,udp, icmp
Direction: ->,<>
Rule Options:
(msg: "DNS request attempt"; sid:1000010;)以分號分隔
當alert時會產生的資訊為DNS request attempt
Example:
#sudo vim /etc/snort/rules/local.rules
alert icmp any any -> ipAddr any (msd: "ICMP detect"; sid:0000001;)
alert tcp ipAddr any -> any 53 (msg:"DNS request attempt"; sid:1000010;)
alert icmp any any -> ipAddr any (msd: "ICMP detect"; sid:0000001;)
執行
sudo snort -T -c /etc/snort/snort.conf啟動snort載入local.rules
sudo snort -T -c /etc/snort/snort.conf啟動後結果
sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
監聽網卡eth0將符合rules訊息打印在console上
利用ping產生帶有ICMP的封包
snort偵測到ICMP封包產生alert
亦可將alert輸出進log檔案中做紀錄
sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0 -l /var/log/snort會在/var/log/snort產生log檔案
再利用
sudo snort -dvr snort.org檔案即可看到log中的內容
也可以在後方加入過濾字眼
sudo snort -dvr snort.org檔案 icmp





0 意見:
張貼留言