Detekce narušení s výukovým programem Snort

Obecně se předpokládá, že pokud brána firewall chrání něčí síť, je síť považována za bezpečnou. To však není tak úplně pravda. Brány firewall jsou základní součástí sítě, ale nemohou plně chránit síť před vynucenými vstupy nebo nepřátelským záměrem. Systémy detekce narušení se používají k vyhodnocení agresivních nebo neočekávaných paketů a generování výstrahy dříve, než tyto programy mohou poškodit síť. Hostitelský systém detekce narušení běží na všech zařízeních v síti nebo se připojuje k interní síti organizace. Síťový systém detekce narušení je místo toho nasazen v určitém bodě nebo skupině bodů, ze kterých lze monitorovat veškerý příchozí i odchozí provoz. Výhodou systému detekce narušení založeného na hostiteli je, že také dokáže detekovat anomálie nebo škodlivý provoz generovaný ze samotného hostitele, tj.E., pokud je hostitel napaden malwarem atd. Systémy detekce narušení (IDS) práce monitorováním a analýzou síťového provozu a jeho porovnáním se zavedenou sadou pravidel a určováním toho, co by se mělo pro síť brát jako normální (i.E., pro porty, šířku pásma atd.) a na co se blíže podívat.

Systém detekce narušení lze nasadit v závislosti na velikosti sítě. Existují desítky kvalitních komerčních IDS, ale mnoho společností a malých podniků si je nemůže dovolit. Šňupat je flexibilní, lehký a populární systém detekce narušení, který lze nasadit podle potřeb sítě, od malých po velké sítě, a poskytuje všechny funkce placeného IDS. Šňupat nic to nestojí, ale to neznamená, že nemůže poskytovat stejné funkce jako elitní komerční IDS. Šňupat je považován za pasivní IDS, což znamená, že čichá síťové pakety, porovnává se se sadou pravidel a v případě detekce škodlivého protokolu nebo záznamu (i.E., detekce vniknutí), vygeneruje výstrahu nebo umístí záznam do souboru protokolu. Šňupat se používá k monitorování provozu a činnosti směrovačů, bran firewall a serverů. Snort poskytuje uživatelsky přívětivé rozhraní obsahující řetězec pravidel, který může být velmi užitečný pro osobu, která nezná IDS. Snort generuje poplach v případě vniknutí (útoky přetečení vyrovnávací paměti, otrava DNS, otisky prstů OS, skenování portů a mnoho dalšího), což organizaci poskytuje lepší viditelnost síťového provozu a usnadňuje plnění bezpečnostních předpisů.

Instalace Snort

Než nainstalujete Snort, existuje několik open-source softwarů nebo balíčků, které byste si měli nejprve nainstalovat, abyste z tohoto programu získali maximum.

Libpcap: Paketový sniffer jako Wireshark, který se používá k zachycení, sledování a analýze síťového provozu. Instalovat libpcap, použijte následující příkazy ke stažení paketu z oficiálního webu, rozbalte balíček a poté jej nainstalujte:

[chráněno e-mailem]: ~ $ wget http: // www.tcpdump.org / release / libpcap-1.9.1.dehet.gz
[chráněno e-mailem]: ~ $ tar -xzvf libpcap-
[chráněno e-mailem]: ~ $ cd libpcap-
[chráněno e-mailem]: ~ $ ./ konfigurovat
[chráněno e-mailem]: ~ $ sudo make
[chráněno e-mailem]: ~ $ provést instalaci

OpenSSH: Nástroj bezpečného připojení, který poskytuje zabezpečený kanál, a to i přes nezabezpečenou síť, ke vzdálenému přihlášení pomocí ssh protokol. OpenSSH se používá pro vzdálené připojení k systémům s oprávněními správce. OpenSSH lze nainstalovat pomocí následujících příkazů:

[chráněno e-mailem]: ~ $ wget http: // ftp.openbsd.org / pub / OpenBSD / OpenSSH /
přenosný / openssh-8.3p1.dehet.gz
[chráněno e-mailem]: ~ $ tar xzvf openssh-
[chráněno e-mailem]: ~ $ cd openssh-
[chráněno e-mailem]: ~ $ ./ konfigurovat
[chráněno e-mailem]: ~ $ sudo provést instalaci

MySQL: Nejoblíbenější bezplatný a otevřený zdroj SQL databáze. MySQL se používá k ukládání výstražných dat od Snort. Knihovny SQL používají vzdálené stroje ke komunikaci a přístupu k databázi, kde jsou uloženy položky protokolu Snort. MySQL lze nainstalovat pomocí následujícího příkazu:

[chráněno e-mailem]: ~ $ sudo apt-get install mysql

Webový server Apache: Nejpoužívanější webový server na internetu. Apache se používá k zobrazení konzoly pro analýzu prostřednictvím webového serveru. Lze jej stáhnout z oficiálních webových stránek zde: http: // httpd.apache.org /, nebo pomocí následujícího příkazu:

[chráněno e-mailem]: ~ $ sudo apt-get install apache2

PHP: PHP je skriptovací jazyk používaný při vývoji webu. Ke spuštění konzoly pro analýzu je vyžadován modul pro analýzu PHP. Lze jej stáhnout z oficiálních webových stránek: https: // www.php.síť / stahování.php, nebo pomocí následujících příkazů:

[chráněno e-mailem]: ~ $ wget https: // www.php.net / distribuce / php-7.4.9.dehet.bz2
[chráněno e-mailem]: ~ $ tar -xvf php-.dehet
[chráněno e-mailem]: ~ $ cd php-
[chráněno e-mailem]: ~ $ sudo make
[chráněno e-mailem]: ~ $ sudo provést instalaci

OpenSSL: Slouží k zabezpečení komunikace po síti bez obav z načítání nebo sledování dat odeslaných a přijatých třetími stranami. OpenSSL poskytuje kryptografické funkce webovému serveru. Lze jej stáhnout z oficiálních webových stránek: https: // www.openssl.org /.
Stunnel: Program používaný k šifrování libovolného síťového provozu nebo připojení uvnitř SSL a který funguje společně OpenSSL. Stunnel lze stáhnout z jeho oficiálních webových stránek: https: // www.stunnel.org /, nebo jej lze nainstalovat pomocí následujících příkazů:

[chráněno e-mailem]: ~ $ wget https: // www.stunnel.org / downloads / stunnel-5.56-android.zip
[chráněno e-mailem]: ~ $ tar xzvf stunnel-
[chráněno e-mailem]: ~ $ cd stunnel-
[chráněno e-mailem]: ~ $ ./ konfigurovat
[chráněno e-mailem]: ~ $ sudo provést instalaci

KYSELINA: Zkratka pro Kontrola analýzy pro detekci narušení. ACID je vyhledávací rozhraní podporované dotazem, které slouží k vyhledání odpovídajících IP adres, zadaných vzorů, konkrétního příkazu, užitečného zatížení, podpisů, konkrétních portů atd., ze všech zaznamenaných upozornění. Poskytuje podrobné funkce analýzy paketů, což umožňuje identifikaci toho, čeho přesně se útočník pokoušel dosáhnout, a typu užitečného zatížení použitého při útoku. KYSELINA lze stáhnout z jeho oficiálních webových stránek: https: // www.sei.cmu.edu / about / divitions / cert / index.cfm.

Nyní, když jsou nainstalovány všechny požadované základní balíčky, Šňupat lze stáhnout z oficiálních webových stránek, šňupat.org, a lze je nainstalovat pomocí následujících příkazů:

[chráněno e-mailem]: ~ $ wget https: // www.šňupat.org / downloads / snort / snort-2.9.16.1.dehet.gz
[chráněno e-mailem]: ~ $ tar xvzf odfrknout-
[chráněno e-mailem]: ~ $ cd odfrknutí-
[chráněno e-mailem]: ~ $ ./ konfigurovat
[chráněno e-mailem]: ~ $ sudo make && --enable-source-fire
[chráněno e-mailem]: ~ $ sudo provést instalaci

Dále spusťte následující příkaz a zkontrolujte, zda je Snort nainstalován a verzi Snort, kterou používáte:

[chráněno e-mailem]: ~ $ snort --
,,_ - *> Odfrknout! <*-
o ") ~ číslo verze"
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Používání libpcap verze 1.8.1
Používání verze PCRE: 8.39 2016-06-14
Používání verze ZLIB: 1.2.11

Po úspěšné instalaci by měly být v systému vytvořeny následující soubory:

/ usr / bin / snort: Toto je Snortův binární spustitelný soubor.

/ usr / share / doc / snort: Obsahuje Snort dokumentaci a stránky.

/ etc / snort: Obsahuje všechny sady pravidel z Šňupat a je to také jeho konfigurační soubor.

Používání Snort

Chcete-li použít Snort, musíte nejprve nakonfigurovat Home_Net hodnotu a přidělte jí hodnotu IP adresy sítě, kterou chráníte. IP adresu sítě lze zjistit pomocí následujícího příkazu:

[chráněno e-mailem]: ~ $ ifconfig

Z výsledků zkopírujte hodnotu souboru inet adresa požadované sítě. Nyní otevřete konfigurační soubor Snort / etc / snort / snort.konf pomocí následujícího příkazu:

[chráněno e-mailem]: ~ $ sudo vim / etc / snort / snort.konf

Uvidíte výstup jako tento:

Najděte linku „Ipvar HOME_NET.“ Před ipvar HOME_NET, zapište dříve zkopírovanou adresu IP a soubor uložte. Před spuštěním Šňupat, další věc, kterou musíte udělat, je spustit síť v promiskuitním režimu. Můžete to udělat pomocí následujícího příkazu:

[chráněno e-mailem]: ~ $ / sbin / ifconfig - -promisc

Nyní jste připraveni běžet Šňupat. Chcete-li zkontrolovat jeho stav a otestovat konfigurační soubor, použijte následující příkaz:

[chráněno e-mailem]: ~ $ sudo snort -T -i -c / etc / snort / snort.konf
Přečtena pravidla 4150 Snort
3476 detekčních pravidel
0 pravidel dekodéru
0 preprocesorových pravidel
3476 volitelných řetězců spojených do 290 hlaviček řetězců
0 Dynamická pravidla
+++++++++++++++++++++++++++++++++++++++++++++++++++
+-------------------[Počty pravidelných portů]---------------------------------------
| tcp udp icmp ip
| src 151 18 0 0
| dst 3306 126 0 0
| jakékoli 383 48 145 22
| nc 27 8 94 20
| s + d 12 5 0 0
+----------------------------------------------------------------------------
+-----------------------[detekce-filtr-konfigurace]------------------------------
| limit paměti: 1048576 bajtů
+-----------------------[detekční-filtr-pravidla]-------------------------------
| žádný
-------------------------------------------------------------------------------
+-----------------------[rate-filter-config]-----------------------------------
| limit paměti: 1048576 bajtů
+-----------------------[rate-filter-rules]------------------------------------
| žádný
-------------------------------------------------------------------------------
+-----------------------[event-filter-config]----------------------------------
| limit paměti: 1048576 bajtů
+-----------------------[event-filter-global]----------------------------------
| žádný
+-----------------------[event-filter-local]-----------------------------------
| gen-id = 1 sig-id = 3273 typ = Sledování prahové hodnoty = počet src = 5 sekund = 2
| gen-id = 1 sig-id = 2494 typ = Oba sledování = dst count = 20 sekund = 60
| gen-id = 1 sig-id = 3152 typ = Sledování prahové hodnoty = počet src = 5 sekund = 2
| gen-id = 1 sig-id = 2923 typ = Sledování prahové hodnoty = počet DST = 10 sekund = 60
| gen-id = 1 sig-id = 2496 typ = Oba sledování = dst count = 20 sekund = 60
| gen-id = 1 sig-id = 2275 typ = Sledování prahové hodnoty = počet DST = 5 sekund = 60
| gen-id = 1 sig-id = 2495 typ = Oba sledování = počet let = 20 sekund = 60
| gen-id = 1 sig-id = 2523 typ = Oba sledování = počet let = 10 sekund = 10
| gen-id = 1 sig-id = 2924 typ = Sledování prahové hodnoty = počet DST = 10 sekund = 60
| gen-id = 1 sig-id = 1991 typ = Sledování limitu = počet src = 1 sekund = 60
+-----------------------[potlačení]------------------------------------------
| žádný
-------------------------------------------------------------------------------
Pravidlo pořadí aplikací: aktivace-> dynamický-> průchod-> drop-> sdrop-> odmítnout-> výstraha-> protokol
Ověření konfigurací předprocesoru!
[Paměť odpovídající vzorům založeným na portech]
+- [Shrnutí Aho-Corasick] -------------------------------------
| Formát úložiště: Full-Q
| Konečný automat: DFA
| Velikost abecedy: 256 znaků
| Sizeof State: Variabilní (1,2,4 bajtů)
| Instance: 215
| Stavy 1 bajtu: 204
| 2 bajtové stavy: 11
| 4 bajtové stavy: 0
| Postavy: 64982
| Státy: 32135
| Přechody: 872051
| Hustota stavu: 10.6%
| Vzory: 5055
| Stavy zápasů: 3855
| Paměť (MB): 17.00
| Vzory: 0.51
| Seznamy zápasů: 1.02
| DFA
| Stavy 1 bajtu: 1.02
| 2 bajtové stavy: 14.05
| 4 bajtové stavy: 0.00
+----------------------------------------------------------------
[Počet vzorů zkrácených na 20 bajtů: 1039]
pcap DAQ nakonfigurován na pasivní.
Získávání síťového provozu z „wlxcc79cfd6acfc“.
--== Inicializace dokončena ==--
,,_ - *> Odfrknout! <*-
o ") ~ Číslo verze
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Používání libpcap verze 1.8.1
Používání verze PCRE: 8.39 2016-06-14
Používání verze ZLIB: 1.2.11
Pravidla Engine: SF_SNORT_DETECTION_ENGINE Verze 2.4
Objekt předprocesoru: SF_IMAP verze 1.0
Objekt předzpracování: SF_FTPTELNET verze 1.2
Objekt preprocesoru: SF_REPUTATION verze 1.1
Objekt preprocesoru: SF_SDF verze 1.1
Objekt preprocesoru: SF_SIP verze 1.1
Objekt předprocesoru: SF_SSH verze 1.1
Objekt předprocesoru: SF_GTP verze 1.1
Objekt předprocesoru: SF_SSLPP verze 1.1
Objekt předprocesoru: SF_DCERPC2 verze 1.0
Objekt preprocesoru: SF_SMTP verze 1.1
Objekt předprocesoru: SF_POP verze 1.0
Objekt předprocesoru: SF_DNS verze 1.1
Objekt předprocesoru: SF_DNP3 verze 1.1
Objekt předprocesoru: SF_MODBUS verze 1.1
Snort úspěšně ověřil konfiguraci!
Odfrknout

Soupravy pravidel

Největší síla Šňupat spočívá v jeho sadách pravidel. Snort má schopnost zaměstnávat velké množství pravidel k monitorování síťového provozu. V jeho nejnovější verzi, Šňupat přichází s 73 různé typy a více 4150 pravidla pro detekci anomálií obsažená ve složce „/ Etc / snort / rules.“

Na typy pravidel v Snortu se můžete podívat pomocí následujícího příkazu:

[chráněno e-mailem]: ~ $ ls / etc / snort / rles
útok-reakce.pravidla komunita-smtp.pravidla icmp.pravidla shell kód.pravidla
zadní dveře.pravidla community-sql-injection.pravidla imap.pravidla smtp.pravidla
špatný provoz.pravidla komunitního viru.informace o pravidlech.pravidla snmp.pravidla
povídat si.pravidla útoků komunita-web.pravidla místní.pravidla sql.pravidla
komunitní robot.pravidla community-web-cgi.pravidla různá.pravidla telnet.pravidla
komunita smazána.pravidla komunita-web-klient.pravidla multimédia.pravidla tftp.pravidla
komunita.pravidla community-web-dos.pravidla mysql.virus virů.pravidla
využívat komunitu.pravidla community-web-iis.pravidla netbios.pravidla webových útoků.pravidla
komunita-ftp.pravidla komunita-web-různé.pravidla nntp.pravidla web-cgi.pravidla
komunitní hra.pravidla community-web-php.pravidla věštec.pravidla webový klient.pravidla
komunitní icmp.pravidla ddos.pravidla other-ids.pravidla web-coldfusion.pravidla
komunitní obrázek.pravidla odstraněna.pravidla p2p.pravidla webová úvodní stránka.pravidla
nevhodné pro komunitu.pravidla dns.pravidla pravidel.pravidla web-iis.pravidla
komunitní poštovní klient.pravidla dos.pravidla pop2.pravidla web-různé.pravidla
komunita - různé.pravidla experimentální.pravidla pop3.pravidla web-php.pravidla
komunita-nntp.pravidla zneužít.pravidla porno.pravidla x11.pravidla
komunitní věštce.pravidla prst.pravidla rpc.pravidla
komunitní politika.pravidla ftp.pravidla služby.pravidla
komunita.pravidla icmp-info.skenování pravidel.pravidla

Ve výchozím nastavení při spuštění Šňupat v režimu systému detekce narušení se všechna tato pravidla nasazují automaticky. Pojďme nyní otestovat ICMP sada pravidel.

Nejprve použijte následující příkaz ke spuštění Šňupat v IDS režim:

[chráněno e-mailem]: ~ $ sudo snort -A console -i
-c / etc / snort / snort.konf

Na obrazovce uvidíte několik výstupů, nechte to tak.

Nyní provedete ping na IP tohoto stroje z jiného počítače pomocí následujícího příkazu:

[chráněno e-mailem]: ~ $ ping

Ping to pětkrát až šestkrát, a pak se vraťte do svého počítače a zjistěte, zda to Snort IDS detekuje nebo ne.

08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Potřebný a byl nastaven bit DF [**] [Klasifikace: Různé aktivity] [Priorita: 3]
ICMP ->
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Potřebný a byl nastaven bit DF [**] [Klasifikace: Různé aktivity] [Priorita: 3]
ICMP ->
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Potřebný a byl nastaven bit DF [**] [Klasifikace: Různá aktivita] [Priorita: 3]
ICMP -> adresa>
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Potřebný a byl nastaven bit DF [**] [Klasifikace: Různá aktivita] [Priorita: 3]
ICMP -> IP adresa>
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Potřebný a byl nastaven bit DF [**] [Klasifikace: Různé aktivity] [Priorita: 3]
ICMP -> adresa>
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Potřebný a byl nastaven bit DF [**] [Klasifikace: Různé aktivity] [Priorita: 3]
ICMP -> adresa>

Zde jsme obdrželi upozornění, že někdo provádí skenování pomocí příkazu ping. Poskytlo to dokonce IP adresa útočníkova stroje.

Nyní půjdeme do IP adresu tohoto zařízení v prohlížeči. V tomto případě neuvidíme žádné upozornění. Zkuste se připojit k ftp server tohoto počítače používající jako útočníka jiný počítač:

[chráněno e-mailem]: ~ $ ftp

Stále neuvidíme žádné upozornění, protože tyto sady pravidel nejsou přidány do výchozích pravidel, a v těchto případech by se žádné upozornění nevygenerovalo. To je, když musíte vytvořit svůj vlastní sady pravidel. Můžete si vytvořit pravidla podle svých vlastních potřeb a přidat je do „/ Etc / snort / rules / local.pravidla “ soubor a poté šňupat automaticky použije tato pravidla při zjišťování anomálií.

Vytvoření pravidla

Nyní vytvoříme pravidlo pro detekci podezřelého paketu odeslaného na port 80 když k tomu dojde, vygeneruje se výstraha protokolu:

# alert tcp any any -> $ HOME_NET 80 (msg: "HTTP Packet found"; sid: 10000001; rev: 1;)

Psaní pravidla má dvě hlavní části, tj.E., Záhlaví a možnosti pravidla. Následuje rozpis pravidla, které jsme právě napsali:

Záhlaví
Upozornění: Akce určená k provedení při zjišťování paketu, který odpovídá popisu pravidla. Místo výstrahy lze podle potřeby uživatele zadat několik dalších akcí, tj.E., přihlásit, odmítnout, aktivovat, zrušit, předat, atd.
Tcp: Zde musíme specifikovat protokol. Existuje několik typů protokolů, které lze specifikovat, tj.E., tcp, udp, icmp, atd., podle potřeb uživatele.
Žádný: Zde lze určit zdrojové síťové rozhraní. Li žádný je zadáno, Snort zkontroluje všechny zdrojové sítě.
->: Směr; v tomto případě je nastaveno od zdroje k cíli.
$ HOME_NET: Místo, kde je cíl IP adresa je specifikováno. V tomto případě používáme ten nakonfigurovaný v / etc / snort / snort.konf soubor na začátku.
80: Cílový port, na kterém čekáme na síťový paket.
Možnosti:
Zpráva: Výstraha, která má být vygenerována, nebo zpráva, která se má zobrazit v případě zachycení paketu. V tomto případě je nastavena na "Byl nalezen paket HTTP.".“
sid: Používá se k jedinečné a systematické identifikaci pravidel Snort. První 10 000 000 čísla jsou rezervována, takže můžete začít s 1000001.
Rev: Používá se pro snadnou údržbu pravidel.

Toto pravidlo přidáme do „/ Etc / snort / rules / local.pravidla “ soubor a zjistěte, zda dokáže detekovat požadavky HTTP na portu 80.

[chráněno e-mailem]: ~ $ echo “upozornění tcp libovolné -> $ HOME_NET 80 (zpráva:„ HTTP paket
nalezeno "; sid: 10000001; rev: 1;)" >> / etc / snort / rules / local.pravidla

Všichni jsme připraveni. Nyní můžete otevřít Šňupat v IDS režim pomocí následujícího příkazu:

[chráněno e-mailem]: ~ $ sudo snort -A console -i wlxcc79cfd6acfc
-c / etc / snort / snort.konf

Přejděte na IP adresa tohoto stroje z prohlížeče.

Šňupat nyní dokáže detekovat jakýkoli paket odeslaný na port 80 a zobrazí upozornění „Nalezen paket HTTP “ pokud k tomu dojde.

08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Nalezen paket HTTP [**]
[Priorita: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Nalezen paket HTTP [**]
[Priorita: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Nalezen paket HTTP [**]
[Priorita: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Nalezen paket HTTP [**]
[Priorita: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Nalezen paket HTTP [**]
[Priorita: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Nalezen paket HTTP [**]
[Priorita: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Nalezen paket HTTP [**]
[Priorita: 0] TCP: 52008 -> 35.222.85.5:80

Vytvoříme také pravidlo pro detekci ftp pokusy o přihlášení:

# alert tcp any any -> any 21 (msg: "FTP packet found"; sid: 10000002;)

Přidejte toto pravidlo do "místní.pravidla “ soubor pomocí následujícího příkazu:

[chráněno e-mailem]: ~ $ echo “upozornění tcp jakékoli jakékoli -> upozornění tcp jakékoli jakékoli -> jakékoli 21
(msg: "FTP packet found"; sid: 10000002; rev: 1;) ”>> / etc / snort / rules / local.pravidla

Nyní se pokuste přihlásit z jiného počítače a podívejte se na výsledky programu Snort.

08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Byl nalezen paket FTP [**] [Priorita: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Byl nalezen paket FTP [**] [Priorita: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Nalezen paket FTP [**] [Priorita: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Byl nalezen paket FTP [**] [Priorita: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Byl nalezen paket FTP [**] [Priorita: 0]
TCP: 52008 -> 35.222.85.5:21

Jak je vidět výše, obdrželi jsme upozornění, což znamená, že jsme úspěšně vytvořili tato pravidla pro detekci anomálií na portu 21 a port 80.

Závěr

Systémy detekce narušení jako Šňupat slouží k monitorování síťového provozu k detekci, kdy útok provádí uživatel se zlými úmysly, než může poškodit nebo ovlivnit síť. Pokud útočník provádí skenování portů v síti, může být útok detekován, spolu s počtem provedených pokusů, IP adresa a další podrobnosti. Šňupat se používá k detekci všech typů anomálií a přichází s velkým počtem již nakonfigurovaných pravidel, spolu s možností, aby si uživatel mohl napsat svá vlastní pravidla podle svých potřeb. V závislosti na velikosti sítě, Šňupat lze snadno nastavit a používat, aniž byste utratili cokoli, ve srovnání s jinými placenými reklamami Systémy detekce narušení. Zachycené pakety lze dále analyzovat pomocí sledovače paketů, jako je Wireshark, k analýze a rozložení toho, co se útočníkovi během útoku dostalo do mysli, a typů prověřování nebo prováděných příkazů. Šňupat je bezplatný nástroj s otevřeným zdrojovým kódem a snadno konfigurovatelný a může být skvělou volbou k ochraně jakékoli střední sítě před útokem.