This document was uploaded by user and they confirmed that they have the permission to share
it. If you are author or own the copyright of this book, please report to us by using this DMCA
report form. Report DMCA
Snort là một phần mềm mã nguồn mở có khả năng phát hiện, chống sự xâm nhập trái phép.
Snort hoạt động như một phần mềm đứng giữa sự giao tiếp của hai máy tính. Các packet trước khi được gửi đến máy tính đích sẽ được snort kiểm tra, thẩm định.
Snort có thể phát hiện nhiều loại xâm nhập như: buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts…
ATHENA
Giới thiệu (tt) Internet
DMZ network
Extranet
Router
Router IDS
Firewall
Firewall
IDS
IDS IDS Internet
ATHENA
Internet
Giới thiệu (tt)
ATHENA
Giới thiệu (tt)
Mode hoạt động của Snort Sniffer mode: hiển thị thông tin về các packet đang di chuyển trong mạng trên màn hình console. Packet Logger mode: log lại tình trạng các packet vào đĩa cứng. Network Instrution Detection System (NIDS): mode hoạt động đầy đủ và phức tạp nhất. Inline mode: can thiệp vào packet từ khi packet mới được chuyển vào iptables, cho phép hủy bỏ packet từ trong iptables.
ATHENA
Sniffer Mode
Hiển thị thông tin header của packet: snort -v
Hiển thị thông tin ứng dụng đang phát sinh packet: snort –v -d
Lưu thông tin xuống file: snort –dev –l [filename]
Lưu thông tin ở dạng binary: snort –l [filename] -b
Đọc ngược thông tin từ file binary: snort –dv –r [filename] snort –dv –r [filename] icmp
ATHENA
Network Instrution Detection System
Mode hoạt động phức tạp nhất, nhiều option nhất.
Bắt buộc phải chỉ ra file luật dùng để hoạt động (option -c) snort –u snort –g snort –d –D –c /etc/snort
ATHENA
Mặc định của mode này là cảnh báo full alert và log lại packet theo dạng ASCII.
Inline Mode
Biên dịch hỗ trợ inline mode: ./configure –enable-inline
Có 3 loại luật được sử dụng ở mode inline: drop: iptables sẽ bỏ qua packet và log lại sự kiện này. reject: iptables sẽ bỏ qua packet, log lại sự kiện, và thông báo đến máy tính rằng packet này sẽ không đến nơi. sdrop: iptables sẽ bỏ qua packet, không thông báo đến máy đích và cũng không log lại sự kiện.
Để hoạt động ở mode NIDS cần có tập luật: snortrules.tar.gz.
tar –xzvf snortrules.tar.gz -C /etc/snort
Sửa file /etc/snort/snort.conf
ATHENA
Cấu hình Snort
preprocessor: kiểm tra packet ngay sau khi packet được giải mã. Preprocessor được thực hiện trước tất cả các luật tìm kiếm, phát hiện khác. preprocessor :