В този урок ще бъдат обяснени режимите за предупреждение на Snort, за да инструктират Snort да докладва за инциденти по 5 различни начина (игнорирайки режима „без предупреждение“), бързо, пълно, конзола, cmg и освобождаване.
Ако не сте прочели статиите, споменати по-горе и нямате предишен опит със snort, моля, започнете с урока за инсталиране и използване на Snort и продължете със статията за правила, преди да продължите с тази лекция. Този урок предполага, че Snort вече работи.
За да бъдем нека заявим, че Snort има 6 режима за предупреждение:
Бърз: в този режим Snort ще отчете клеймото, предупредителното съобщение, IP адреса на източника и IP адреса и адреса на дестинацията и порта. (-Бързо)
Пълна: в допълнение към предупреждението за бърз режим, пълният режим включва: TTL, IP пакет и дължина на заглавката на IP, услуга, ICMP тип и пореден номер. (-Пълен)
Конзола: отпечатва бързи сигнали в конзолата. (-Конзола)
Cmg: Този формат е разработен от Snort за целите на тестването, той отпечатва пълен сигнал на конзолата, без да записва отчети в регистрационните файлове. (-A cmg)
Отпишете: експортирайте отчет в други програми чрез Unix Socket. (-Разкопчайте)
Нито един: Snort няма да генерира сигнали. (-Никой)
Всички режими на предупреждение се предшестват от a -A което е параметърът за сигнали. Сигналите се записват в дневника / var / log / snort / alert. Правилата по подразбиране на Snort могат да откриват нередовна дейност, като сканиране на портове. Нека тестваме всеки режим на предупреждение:
Тест за бързо предупреждение:
snort -c / etc / snort / snort.conf -q -Бързо
Където:
изсумтя= извиква програмата
-° С= път към конфигурационния файл, в този случай този по подразбиране (/ etc / snort / snort.conf)
-q= пречи на snort да показва първоначална информация
-A= определя режима на предупреждение, в този случай бърз.
Докато от различен компютър стартирах nmap сканиране срещу най-добрите 1000 портове, предупрежденията започнаха да се регистрират / var / log / snort / alert.
Пълен тест за предупреждение:
snort -c / etc / snort / snort.conf -q -Пълен
Където:
изсумтя= извиква програмата
-° С= път към конфигурационния файл, в този случай този по подразбиране (/ etc / snort / snort.conf)
-q= пречи на snort да показва първоначална информация
-A= дефинира режима на предупреждение, в този случай пълен.
Както виждате, докладът дава допълнителна информация към бързия.
Тест за предупреждение на конзолата:
С теста за предупреждение на конзолата ще получим сигнали, отпечатани в конзолата, за това изпълнение
snort -c / etc / snort / snort.conf -q -Конзола
Където:
изсумтя= извиква програмата
-° С= път към конфигурационния файл, в този случай този по подразбиране (/ etc / snort / snort.conf)
-q= пречи на snort да показва първоначална информация
-A= дефинира режима на предупреждение, в този случай конзола.
Както виждате, отпечатаната информация е по-близо до бързо предупреждение, отколкото до пълно.
Тест за предупреждение Cmg:
Сега нека вземем отчет в конзолата с информация за пълен отчет и много други. Този режим е разработен с цел тестване и не регистрира резултатите.
snort -c / etc / snort / snort.conf -q -A cmg
Където:
изсумтя= извиква програмата
-° С= път към конфигурационния файл, в този случай този по подразбиране (/ etc / snort / snort.conf)
-q= пречи на snort да показва първоначална информация
-A= определя режима на предупреждение, в този случай cmg.
За да работи предупреждението за отключване, ще трябва да го интегрирате в програма или приставка на трета страна.
Режимът на предупреждение по подразбиране на Snort е пълен режим, ако не се нуждаете от допълнителна информация за бърз, тогава бързият режим ще увеличи производителността.
Надявам се, че този урок е помогнал да се разберат режимите за предупреждение на Snort.