Snort
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Snort as PDF for free.
More details
- Words: 1,024
- Pages: 22
PHÁT HIỆN VÀ CHỐNG XÂM NHẬP TRÁI PHÉP SỬ DỤNG SNORT Người trình bày: Võ Đỗ Thắng Giám đốc Athena
Nội dung
Giới thiệu Snort
Sniffer mode Packet Logger mode Network Instrution Detection System (NIDS) Inline mode
Cài đặt, cấu hình Snort Preprocessor Output modules
Cấu trúc luật của Snort Rule header Rule option
ATHENA
Giới thiệu
Snort là một phần mềm mã nguồn mở có khả năng phát hiện, chống sự xâm nhập trái phép.
Snort hoạt động như một phần mềm đứng giữa sự giao tiếp của hai máy tính. Các packet trước khi được gửi đến máy tính đích sẽ được snort kiểm tra, thẩm định.
Snort có thể phát hiện nhiều loại xâm nhập như: buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts…
ATHENA
Giới thiệu (tt) Internet
DMZ network
Extranet
Router
Router IDS
Firewall
Firewall
IDS
IDS IDS Internet
ATHENA
Internet
Giới thiệu (tt)
ATHENA
Giới thiệu (tt)
Mode hoạt động của Snort Sniffer mode: hiển thị thông tin về các packet đang di chuyển trong mạng trên màn hình console. Packet Logger mode: log lại tình trạng các packet vào đĩa cứng. Network Instrution Detection System (NIDS): mode hoạt động đầy đủ và phức tạp nhất. Inline mode: can thiệp vào packet từ khi packet mới được chuyển vào iptables, cho phép hủy bỏ packet từ trong iptables.
ATHENA
Sniffer Mode
Hiển thị thông tin header của packet: snort -v
Hiển thị thông tin ứng dụng đang phát sinh packet: snort –v -d
Header của tầng datalink: snort –vde snort –v –d -e
ATHENA
Packet Logger Mode
Lưu thông tin xuống file: snort –dev –l [filename]
Lưu thông tin ở dạng binary: snort –l [filename] -b
Đọc ngược thông tin từ file binary: snort –dv –r [filename] snort –dv –r [filename] icmp
ATHENA
Network Instrution Detection System
Mode hoạt động phức tạp nhất, nhiều option nhất.
Bắt buộc phải chỉ ra file luật dùng để hoạt động (option -c) snort –u snort –g snort –d –D –c /etc/snort
ATHENA
Mặc định của mode này là cảnh báo full alert và log lại packet theo dạng ASCII.
Inline Mode
Biên dịch hỗ trợ inline mode: ./configure –enable-inline
Có 3 loại luật được sử dụng ở mode inline: drop: iptables sẽ bỏ qua packet và log lại sự kiện này. reject: iptables sẽ bỏ qua packet, log lại sự kiện, và thông báo đến máy tính rằng packet này sẽ không đến nơi. sdrop: iptables sẽ bỏ qua packet, không thông báo đến máy đích và cũng không log lại sự kiện.
ATHENA
snort_inline –QDc ../etc/drop.conf –l /var/log/snort
Cài đặt
./configure
make
make install
Để hoạt động ở mode NIDS cần có tập luật: snortrules.tar.gz.
tar –xzvf snortrules.tar.gz -C /etc/snort
Sửa file /etc/snort/snort.conf
ATHENA
Cấu hình Snort
preprocessor: kiểm tra packet ngay sau khi packet được giải mã. Preprocessor được thực hiện trước tất cả các luật tìm kiếm, phát hiện khác. preprocessor:
Nội dung
Giới thiệu Snort
Sniffer mode Packet Logger mode Network Instrution Detection System (NIDS) Inline mode
Cài đặt, cấu hình Snort Preprocessor Output modules
Cấu trúc luật của Snort Rule header Rule option
ATHENA
Giới thiệu
Snort là một phần mềm mã nguồn mở có khả năng phát hiện, chống sự xâm nhập trái phép.
Snort hoạt động như một phần mềm đứng giữa sự giao tiếp của hai máy tính. Các packet trước khi được gửi đến máy tính đích sẽ được snort kiểm tra, thẩm định.
Snort có thể phát hiện nhiều loại xâm nhập như: buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts…
ATHENA
Giới thiệu (tt) Internet
DMZ network
Extranet
Router
Router IDS
Firewall
Firewall
IDS
IDS IDS Internet
ATHENA
Internet
Giới thiệu (tt)
ATHENA
Giới thiệu (tt)
Mode hoạt động của Snort Sniffer mode: hiển thị thông tin về các packet đang di chuyển trong mạng trên màn hình console. Packet Logger mode: log lại tình trạng các packet vào đĩa cứng. Network Instrution Detection System (NIDS): mode hoạt động đầy đủ và phức tạp nhất. Inline mode: can thiệp vào packet từ khi packet mới được chuyển vào iptables, cho phép hủy bỏ packet từ trong iptables.
ATHENA
Sniffer Mode
Hiển thị thông tin header của packet: snort -v
Hiển thị thông tin ứng dụng đang phát sinh packet: snort –v -d
Header của tầng datalink: snort –vde snort –v –d -e
ATHENA
Packet Logger Mode
Lưu thông tin xuống file: snort –dev –l [filename]
Lưu thông tin ở dạng binary: snort –l [filename] -b
Đọc ngược thông tin từ file binary: snort –dv –r [filename] snort –dv –r [filename] icmp
ATHENA
Network Instrution Detection System
Mode hoạt động phức tạp nhất, nhiều option nhất.
Bắt buộc phải chỉ ra file luật dùng để hoạt động (option -c) snort –u snort –g snort –d –D –c /etc/snort
ATHENA
Mặc định của mode này là cảnh báo full alert và log lại packet theo dạng ASCII.
Inline Mode
Biên dịch hỗ trợ inline mode: ./configure –enable-inline
Có 3 loại luật được sử dụng ở mode inline: drop: iptables sẽ bỏ qua packet và log lại sự kiện này. reject: iptables sẽ bỏ qua packet, log lại sự kiện, và thông báo đến máy tính rằng packet này sẽ không đến nơi. sdrop: iptables sẽ bỏ qua packet, không thông báo đến máy đích và cũng không log lại sự kiện.
ATHENA
snort_inline –QDc ../etc/drop.conf –l /var/log/snort
Cài đặt
./configure
make
make install
Để hoạt động ở mode NIDS cần có tập luật: snortrules.tar.gz.
tar –xzvf snortrules.tar.gz -C /etc/snort
Sửa file /etc/snort/snort.conf
ATHENA
Cấu hình Snort
preprocessor: kiểm tra packet ngay sau khi packet được giải mã. Preprocessor được thực hiện trước tất cả các luật tìm kiếm, phát hiện khác. preprocessor
Related Documents
Snort
November 2019 37
Snort
November 2019 46
Snort
November 2019 40
Snort Project
December 2019 44
Snort Conisli
November 2019 46
Leabook Reseau Snort
May 2020 28More Documents from "mvondo"
An Ninh Mang
November 2019 13