Sinyal mendengkur

Tutorial ini menjelaskan cara mengelola mode alarm Snort Intrusion Detection System di Linux.

Di masa lalu di LinuxHint kami telah menerbitkan artikel yang menunjukkan cara memulai dengan Snort dan cara membuat aturan Snort.

Dokumen ini menjelaskan mode alarm Snort dan cara mengelolanya.

Semua contoh praktis dalam tutorial ini menyertakan tangkapan layar sehingga pengguna dapat dengan mudah memahaminya.”

Pengantar Mode Peringatan Snort

Pemberitahuan mendengkur melaporkan lalu lintas jaringan yang tidak normal dan koneksi yang mencurigakan. Secara default, peringatan disimpan di bawah /var/log/mendengus: direktori.

Ada 7 mode alarm yang tersedia yang dapat Anda tentukan saat menjalankan Snort, tercantum di bawah ini:

  • Cepat. Dalam mode cepat, peringatan Snort melaporkan stempel waktu, mengirim pesan peringatan, menampilkan alamat dan port IP sumber, serta alamat dan port IP tujuan. Rutin ini diinstruksikan menggunakan – Puasa bendera.
  • Lee. Selain informasi yang dicetak dalam mode cepat, mode penuh menampilkan TTL, header paket dan panjang datagram, layanan, tipe ICMP, ukuran jendela, ACK, dan nomor urut. Mode penuh diatur – Penuh flag, tetapi ini adalah mode peringatan default.
  • Dengan panel. mencetak pemberitahuan cepat ke konsol. Rutinitas ini sedang berlangsung – Dengan panel bendera.
  • cmg Mode alarm ini dikembangkan oleh Snort untuk tujuan pengujian. itu mencetak pemberitahuan lengkap ke konsol tanpa menyimpan log. Modus sedang berlangsung – cm bendera.
  • Lepaskan kaus kaki. Ini berguna untuk mengekspor laporan notifikasi ke program lain melalui soket Unix. Mode unsock diimplementasikan menggunakan -A lepaskan bendera kaus kaki.
  • Log sistem: Dalam mode Syslog (System Logging Protocol), Snort mengirimkan log alarm dari jarak jauh; mode ini diimplementasikan dengan menambahkan -S bendera.
  • Bukan siapa-siapa: Dalam mode ini, Snort tidak menghasilkan peringatan.

Artikel ini berfokus pada cepat, penuh, konsol Dan: cmg mode termasuk analisis output.

Mendengkur Alarm Mode Cepat

Perintah berikut mengeksekusi Snort dengan peringatan cepat di mana: bergumam memanggil program; itu -C: tandai menunjuk ke file snort.conf, Q: memberikan laporan diam (tanpa mencetak bendera dan informasi latar belakang) dan -A menentukan jenis peringatan, dalam hal ini cepat.

sudo bergumam -C: /dll./bergumam/serak.conf: Q: -A dengan cepat

CATATAN: Untuk tutorial ini, saya akan menjalankan pemindaian sidik jari yang agresif menggunakan teknik Xmas dari komputer lain untuk mendemonstrasikan bagaimana Snort merespons dan melaporkan. Perintah pemindaian Xmas ditunjukkan di bawah ini.

sudo nmap: -v: -st: – Oh 192.168.0.103

Alarm disimpan di bawah /var/log/mendengus:. File log yang benar untuk pemberitahuan cepat /var/log/snort/snort.alert.fast.

Oleh karena itu, untuk membaca peringatan tersebut, jalankan perintah berikut:

ekor /var:/catatan/bergumam/serak.waspada.cepat

Seperti yang Anda lihat pada tangkapan layar di bawah, keluar cepat cukup sederhana. Pertama, mendeteksi paket ICMP mencurigakan yang digunakan oleh Nmap untuk menemukan target. Kemudian mendeteksi lalu lintas masuk ke protokol SSH dan SNMP yang digunakan oleh Nmap untuk mendeteksi port yang terbuka.

Informasi yang dilaporkan mencakup waktu dan jenis insiden, alamat IP sumber dan tujuan, protokol, layanan yang terlibat, dan prioritas.

Catatan: Karena keluaran Snort terlalu panjang, saya membaginya menjadi dua tangkapan layar.

Setelah mengumpulkan informasi awal tentang karakteristik pemindaian, Snort akhirnya menyadari bahwa itu adalah pemindaian Natal.

Seperti yang ditunjukkan di atas, pemindaian cepat mengembalikan hasil yang paling mudah digunakan dengan tetap menjaga kesederhanaan.

Mendengus Peringatan Mode Penuh

Jelas, sinyal mode bilangan bulat akan mengembalikan hasil bilangan bulat. Penting untuk mengklarifikasi bahwa mode penuh adalah mode default dan file log /var/log/snort/alert. Oleh karena itu, jalankan perintah less untuk membaca notifikasi lengkap /var/log/snort/alert.

Untuk contoh ini, saya akan menjalankan Snort dengan peringatan penuh, lalu pemindaian Natal yang sama menunjukkan apa yang dijelaskan di bagian sebelumnya dari tutorial ini.

Semua flag yang digunakan sama seperti pada contoh sebelumnya; satu-satunya perbedaan adalah mode penuh yang ditetapkan.

sudo bergumam -C: /dll./bergumam/serak.conf: Q: -A penuh

Seperti yang Anda lihat pada gambar berikut, output sinyal penuh selama fase deteksi paket ICMP juga mengembalikan TTL, panjang header paket (IpLen), dan panjang datagram (DgmLen), termasuk informasi yang dicetak dalam pemindaian cepat.

Catatan: Karena keluaran Snort terlalu panjang, saya membaginya menjadi tiga tangkapan layar di bagian ini.

Pada tangkapan layar di bawah, Anda dapat melihat bahwa laporan protokol TCP juga menunjukkan nomor urut, pengakuan (Ack), ukuran segmen maksimum (MSS), stempel waktu (TS), dan ukuran jendela.

Akhirnya, Snort menyadari bahwa lalu lintas itu milik pemindaian Natal.

Seperti pemindaian cepat, Snort akan melaporkan setiap kejadian dan menyelesaikan kemajuan lalu lintas.

Peringatan Mode Konsol Snort

Mode panel notifikasi menampilkan output di panel tempat Snort berjalan. Sintaksnya selalu sama. satu-satunya perubahan adalah itu kenyamanan klarifikasi nanti -A bendera.

sudo bergumam -C: /dll./bergumam/serak.conf: Q: -A kenyamanan

Seperti yang Anda lihat pada tangkapan layar di bawah, hasilnya ditampilkan di panel. Anda tidak perlu membaca log saat menggunakan mode ini.

Pada gambar di atas, Anda dapat melihat bahwa mode konsol memberikan keluaran yang sederhana.

Mode peringatan Snort Cmg

Notifikasi snort cmg hanya untuk tujuan pengujian. Output cmg tidak disimpan dalam file log. Informasi ditampilkan di panel seperti saat menggunakan mode panel, tetapi mengembalikan informasi yang sama dengan yang ditampilkan saat menggunakan mode penuh.

Untuk menjalankan Snort dalam mode peringatan cmg, jalankan perintah di bawah ini.

Catatan: Karena keluaran Snort terlalu panjang, saya membaginya menjadi tiga tangkapan layar di bagian ini.

sudo bergumam -C: /dll./bergumam/serak.conf: Q: -A kenyamanan

Seperti yang akan Anda lihat pada tangkapan layar di bawah, proses peringatannya sama dengan mod sebelumnya.

Terakhir, pemindaian Natal dilaporkan, termasuk semua informasi yang dikembalikan dalam mode penuh.

Ini semua tentang rutinitas peringatan Snort dasar. Setelah membaca tutorial ini dan tutorial sebelumnya yang menjelaskan cara mengonfigurasi dan membuat aturan Snort yang disebutkan dalam pengantar artikel ini, Anda akan siap untuk mengimplementasikan Snort. Di LinuxHint, kami akan terus membagikan lebih banyak pengetahuan tentang Snort.

Kesimpulan

Sistem deteksi intrusi (IDS) seperti Snort adalah sumber yang bagus untuk mengamankan jaringan dan sistem. Seperti yang Anda lihat, Snort sangat fleksibel dan dapat disesuaikan dengan kebutuhan pengguna hanya dengan mengubah benderanya. Fleksibilitasnya juga ditunjukkan dalam artikel kami sebelumnya tentang membuat dan mengelola aturan khusus. Pasar menawarkan banyak alternatif IDS seperti OSSEC, tetapi Snort tetap menjadi salah satu yang paling populer di kalangan administrator sistem. Untuk pengguna yang mengetahui cara kerja protokol, mempelajari dan mengimplementasikan Snort adalah tugas yang cukup mudah dan proses yang menyenangkan untuk menggabungkan pengetahuan keamanan jaringan yang penting. Perlu dicatat bahwa berurusan dengan Snort adalah wajib bagi setiap administrator sistem. Karena IDS menganalisis lalu lintas jaringan, ini dapat diimplementasikan pada jaringan yang tidak bergantung pada sistem operasi komputer.

Terima kasih telah membaca dokumen ini, yang menjelaskan cara menjalankan Snort dengan berbagai mode alarm dan cara memahami keluarannya. Ikuti terus untuk tutorial profesional Linux dan Snort lainnya.

Source link