Взлом и проверка на уязвимости

Установка и настройка Snort в Kali Linux

Что такое Snort?

С сайта www.snort.org : Snort® – это система с открытым исходным кодом для предотвращения и обнаружения вторжений (IDS / IPS), разработанная Sourcefire. Сочетая преимущества проверки на основе сигнатур, протоколов и аномалий, Snort является наиболее широко распространенной технологией IDS / IPS во всем мире. С миллионами загрузок и почти 400 000 зарегистрированных пользователей, Snort стал стандартом де-факто для IPS.

В этой статье мы рассмотрим, как установить snort из исходного кода, написать правила и выполнить базовое тестирование.

Установить Snort

# apt-get update
# apt-get install snort

Проверьте установку Snort

Проверьте установку, как показано ниже.

# snort --version
 ,,_ -*> Snort! <*-
 o" )~ Version 2.9.2.2 IPv6 GRE (Build 121) 
 '''' By Martin Roesch &amp; The Snort Team: http://www.snort.org/snort/snort-team
 Copyright (C) 1998-2012 Sourcefire, Inc., et al.
 Using libpcap version 1.3.0
 Using PCRE version: 8.30 2012-02-04
 Using ZLIB version: 1.2.7

Создайте следующие файлы snort.conf и icmp.rules:

Откройте файл конфигурации snort:

# leafpad /etc/snort/snort.conf

Проверьте файл конфигурации и проверьте, включены ли правила icmp или нет. Если нет, включите строку ниже.

include /etc/snort/rules/icmp.rules

Откройте файл правил icmp и включите правило, указанное ниже:

# leafpad /etc/snort/rules/icmp.rules

Включите указанную ниже строку в файл icmp.rule.

alert icmp any any -> any any (msg: "ICMP Packet"; sid: 477; rev: 3;)

Приведенное выше основное правило предупреждает о наличии ICMP-пакета (ping).

Ниже приводится структура предупреждения:

<Rule Actions> <Protocol> <Source IP Address> <Source Port> <Direction Operator> <Destination IP Address> <Destination > (rule options)

(rule options)

StructureExample
Rule Actionsalert
Protocolicmp
Source IP Addressany
Source Portany
Direction Operator->
Destination IP Addressany
Destination Portany
(rule options)(msg:”ICMP Packet”; sid:477; rev:3;)

Использование Snort

Запустите snort из командной строки, как указано ниже.

# snort -c /etc/snort/snort.conf -l /var/log/snort/

здесь -c указывает на файл с правилами и -l на каталог журнала

Показать журнал оповещения

Попробуйте пропинговать IP с вашего компьютера, чтобы проверить наше правило пинга. Ниже приведен пример предупреждения snort для этого правила ICMP.

root@vishnu:~# head /var/log/snort/alert 
[**] [1:2925:3] INFO web bug 0x0 gif attempt [**]
[Classification: Misc activity] [Priority: 3] 
12/02-12:08:40.479756 107.20.221.156:80 -> 192.168.1.64:55747
TCP TTL:42 TOS:0x0 ID:14611 IpLen:20 DgmLen:265 DF
***AP*** Seq: 0x6C1242F9 Ack: 0x74B1A5FE Win: 0x2E TcpLen: 32
TCP Options (3) => NOP NOP TS: 1050377198 1186998
[**] [1:368:6] ICMP PING BSDtype [**]
[Classification: Misc activity] [Priority: 3] 
12/02-12:09:01.112440 192.168.1.14 -> 192.168.1.64

Оповещение Объяснение

Пара строк добавляется для каждого предупреждения, которое включает в себя следующее:

Сообщение печатается в первой строке. 
              IP- 
              адрес источника IP-адрес назначения 
              Тип пакета и информация заголовка.

Если у вас другой интерфейс для сетевого подключения, используйте опцию -dev -i. В этом примере мой сетевой интерфейс – eth0.

# snort -dev -i eth0 -c /etc/snort/snort.conf -l /var/log/snort/

Выполните фырканье как Демон

Добавьте опцию -D для запуска snort в качестве демона.

# snort -D -c /etc/snort/snort.conf -l /var/log/snort/
Правила по умолчанию можно скачать с: 
https://www.snort.org/downloads/#rule-downloads

Proxy White Advertisement

nelus

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button
Close