V tomto tutoriálu budou vysvětleny režimy výstrahy Snort, které instruují Snorta, aby hlásil incidenty 5 různými způsoby (ignorování režimu „bez výstrahy“), rychlý, plný, konzolový, cmg a odemčený.
Pokud jste si nepřečetli výše uvedené články a nemáte předchozí zkušenosti se snortem, začněte s výukou instalace a používání Snort a pokračujte v článku o pravidlech, než budete pokračovat v této přednášce. Tento kurz předpokládá, že již máte Snort spuštěný.
Abychom řekli, Snort má 6 výstražných režimů:
Rychle: v tomto režimu Snort ohlásí časové razítko, výstražnou zprávu, adresu IP zdroje a port a cílovou adresu IP a port. (-Rychlý)
Úplný: kromě upozornění na rychlý režim zahrnuje plný režim: TTL, délku IP paketu a IP hlavičky, službu, typ ICMP a pořadové číslo. (-Plný)
Řídicí panel: tiskne rychlá upozornění v konzole. (-Konzole)
Cmg: Tento formát byl vyvinut společností Snort pro účely testování, tiskne úplné upozornění na konzoli bez ukládání zpráv o protokolech. (-Cmg)
Odepnout: export zprávy do jiných programů prostřednictvím Unix Socket. (-Unsock)
Žádný: Snort nebude generovat upozornění. (-Ano Ne)
Všechny výstražné režimy předchází a -A což je parametr pro výstrahy. Výstrahy se ukládají do protokolu / var / log / snort / alert. Výchozí pravidla Snort jsou schopna detekovat nepravidelnou aktivitu, jako je skenování portů. Otestujme každý výstražný režim:
Test rychlého varování:
snort -c / etc / snort / snort.conf -q -A rychle
Kde:
šňupat= volá program
-C= cesta ke konfiguračnímu souboru, v tomto případě výchozí (/ etc / snort / snort).conf)
-q= brání odfrknutí v zobrazení počátečních informací
-A= definuje výstražný režim, v tomto případě rychlý.
Zatímco z jiného počítače jsem spustil skenování nmap proti nejvýznamnějším portům 1000 portů, začalo se přihlašovat / var / log / snort / alert.
Úplný výstražný test:
snort -c / etc / snort / snort.conf -q -A plný
Kde:
šňupat= volá program
-C= cesta ke konfiguračnímu souboru, v tomto případě výchozí (/ etc / snort / snort).conf)
-q= brání odfrknutí v zobrazení počátečních informací
-A= definuje výstražný režim, v tomto případě plný.
Jak vidíte, přehled poskytuje další informace k rychlému.
Test výstrahy konzoly:
S testem výstrahy konzoly dostaneme výstrahy vytištěné v konzole pro tento běh
snort -c / etc / snort / snort.conf -q -A konzole
Kde:
šňupat= volá program
-C= cesta ke konfiguračnímu souboru, v tomto případě výchozí (/ etc / snort / snort).conf)
-q= brání odfrknutí v zobrazení počátečních informací
-A= definuje režim výstrahy, v tomto případě konzole.
Jak vidíte, tištěné informace jsou blíže rychlému upozornění než úplné.
Cmg výstražný test:
Teď pojďme na konzolu získat zprávu s informacemi o úplné zprávě a další. Tento režim byl vyvinut pro účely testování a nezaznamenává výsledky.
snort -c / etc / snort / snort.conf -q -A cmg
Kde:
šňupat= volá program
-C= cesta ke konfiguračnímu souboru, v tomto případě výchozí (/ etc / snort / snort).conf)
-q= brání odfrknutí v zobrazení počátečních informací
-A= definuje režim výstrahy, v tomto případě cmg.
Aby výstraha odemknutí fungovala, budete ji muset integrovat do programu nebo pluginu třetí strany.
Výchozí režim výstrahy Snort je plný režim, pokud nepotřebujete další informace o rychlém, pak by rychlý režim zvýšil výkon.
Doufám, že tento výukový program pomohl pochopit Snortovy výstražné režimy.