image1 image2 image3

HELLO I'M Pinman|WELCOME TO MY PERSONAL BLOG|I LOVE TO DO CREATIVE THINGS|I'M WEB DEVELOPER

Snort 介紹 (Ubuntu 14.04)


運作模式

  1. 嗅探器模式(Sniffer mode)ƒ
  2. 封包記錄器模式(Packet Logger mode)ƒ
  3. 網路入侵偵測系統模式(Network Intrusion Detection System(NIDS) mode)

規則說明

自訂rules存放在
/etc/snort/rules/local.rules
利用文字編輯器編輯以上檔案(須以root權限編輯)

規則如下
rules的主要組成
      Rule Header             Rule Options      

Rule Header結構:
   Action     Protocol     Src. Address     Src. Port     Direction     Dst. Address     Dst. Port  
alert tcp ipAddr any -> any 53
表示當有意TCP封包從ipAddr任意Port發送到任何IP的53port時警告

   Action: alert, log, pass, activate, dynamic, drop, reject, sdrop
   Protocol: ip, tcp,udp, icmp
   Direction: ->,<>



Rule Options:
(msg: "DNS request attempt"; sid:1000010;)
以分號分隔
當alert時會產生的資訊為DNS request attempt

Example:
#sudo vim /etc/snort/rules/local.rules
alert icmp any any -> ipAddr any (msd: "ICMP detect"; sid:0000001;)

alert tcp ipAddr any -> any 53 (msg:"DNS request attempt"; sid:1000010;)
alert icmp any any -> ipAddr any (msd: "ICMP detect"; sid:0000001;)

執行

sudo snort -T -c /etc/snort/snort.conf
啟動snort載入local.rules
sudo snort -T -c /etc/snort/snort.conf
啟動後結果





sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
監聽網卡eth0將符合rules訊息打印在console上







利用ping產生帶有ICMP的封包





snort偵測到ICMP封包產生alert

亦可將alert輸出進log檔案中做紀錄
sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0 -l /var/log/snort
會在/var/log/snort產生log檔案
再利用
sudo snort -dvr snort.org檔案
即可看到log中的內容









也可以在後方加入過濾字眼
sudo snort -dvr snort.org檔案 icmp

Share this:

CONVERSATION

0 意見:

張貼留言