Snort

  • Uploaded by: nguyenFly
  • 0
  • 0
  • November 2019
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View Snort as PDF for free.

More details

  • Words: 1,024
  • Pages: 22
PHÁT HIỆN VÀ CHỐNG XÂM NHẬP TRÁI PHÉP SỬ DỤNG SNORT Người trình bày: Võ Đỗ Thắng Giám đốc Athena

Nội dung 

Giới thiệu Snort    



Sniffer mode Packet Logger mode Network Instrution Detection System (NIDS) Inline mode

Cài đặt, cấu hình Snort  Preprocessor  Output modules



Cấu trúc luật của Snort  Rule header  Rule option

ATHENA

Giới thiệu 

Snort là một phần mềm mã nguồn mở có khả năng phát hiện, chống sự xâm nhập trái phép.



Snort hoạt động như một phần mềm đứng giữa sự giao tiếp của hai máy tính. Các packet trước khi được gửi đến máy tính đích sẽ được snort kiểm tra, thẩm định.



Snort có thể phát hiện nhiều loại xâm nhập như: buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts…

ATHENA

Giới thiệu (tt) Internet

DMZ network

Extranet

Router

Router IDS

Firewall

Firewall

IDS

IDS IDS Internet

ATHENA

Internet

Giới thiệu (tt)

ATHENA

Giới thiệu (tt) 

Mode hoạt động của Snort  Sniffer mode: hiển thị thông tin về các packet đang di chuyển trong mạng trên màn hình console.  Packet Logger mode: log lại tình trạng các packet vào đĩa cứng.  Network Instrution Detection System (NIDS): mode hoạt động đầy đủ và phức tạp nhất.  Inline mode: can thiệp vào packet từ khi packet mới được chuyển vào iptables, cho phép hủy bỏ packet từ trong iptables.

ATHENA

Sniffer Mode 

Hiển thị thông tin header của packet:  snort -v



Hiển thị thông tin ứng dụng đang phát sinh packet:  snort –v -d



Header của tầng datalink:  snort –vde  snort –v –d -e

ATHENA

Packet Logger Mode 

Lưu thông tin xuống file:  snort –dev –l [filename]



Lưu thông tin ở dạng binary:  snort –l [filename] -b



Đọc ngược thông tin từ file binary:  snort –dv –r [filename]  snort –dv –r [filename] icmp

ATHENA

Network Instrution Detection System 

Mode hoạt động phức tạp nhất, nhiều option nhất.



Bắt buộc phải chỉ ra file luật dùng để hoạt động (option -c)  snort –u snort –g snort –d –D –c /etc/snort



ATHENA

Mặc định của mode này là cảnh báo full alert và log lại packet theo dạng ASCII.

Inline Mode 

Biên dịch hỗ trợ inline mode:  ./configure –enable-inline



Có 3 loại luật được sử dụng ở mode inline:  drop: iptables sẽ bỏ qua packet và log lại sự kiện này.  reject: iptables sẽ bỏ qua packet, log lại sự kiện, và thông báo đến máy tính rằng packet này sẽ không đến nơi.  sdrop: iptables sẽ bỏ qua packet, không thông báo đến máy đích và cũng không log lại sự kiện.

 ATHENA

snort_inline –QDc ../etc/drop.conf –l /var/log/snort

Cài đặt 

./configure



make



make install



Để hoạt động ở mode NIDS cần có tập luật: snortrules.tar.gz.



tar –xzvf snortrules.tar.gz -C /etc/snort



Sửa file /etc/snort/snort.conf

ATHENA

Cấu hình Snort 

preprocessor: kiểm tra packet ngay sau khi packet được giải mã. Preprocessor được thực hiện trước tất cả các luật tìm kiếm, phát hiện khác.  preprocessor :

Related Documents

Snort
November 2019 37
Snort
November 2019 46
Snort
November 2019 40
Snort Project
December 2019 44
Snort Conisli
November 2019 46
Leabook Reseau Snort
May 2020 28

More Documents from "mvondo"

An Ninh Mang
November 2019 13
Snort
November 2019 46