Introduction
Det er få og rett frem administrasjons guider er tilgjengelig for snøft på nettet. I dag, vil vi prøve å forklare anatomien snøft steg for steg. Snort er en NIDS (Network Intrusion og Detection System) brukes til å oppdage og hindre inntrenging over nettverket. Gjennom protokollen søking, innholdsanalyse og ulike preprocessors, oppdager snøft tusenvis av ormer og sårbarhets forsøk. Snort kommer med en utmerket funksjon inkludert deteksjon av ulike typer angrep, buffer overflow, stealth port scan, CGI Angriper etc.
Configuration fil av Snort konfigurasjon er /etc/snort/snort.conf der informasjon om nettverk under etterforskning er bestemmes.
Sample konfigurasjonsfil
Snort kan konfigureres i tre modi.
A. Sniffer Mode
Produksjonen vil dumpe til terminalen i denne modusen, er det brukt for å vise pakker i kontinuerlig strøm til brukeren i live mode, i direktemodus eller sniffer mode data pakketap er svært høy, så det anbefales å brukes sniffer modus NIDS kun for små nettverk.
B. Packet Logger Mode
Produksjonen vil bli logget til disken, som kan overvåkes senere
snøft l. ≪ Log_Directory > er det alternativet som brukes for logging modus.
C. Network IDS Mode
I IDS modus noen parametere er konfigurert som lar fnyse å matche definerte parametere under skanning nettverket, er parametrene som brukes definert i denne modusen.
Forutsetninger for installasjon
Kontroller at følgende pakkene er allerede installert med systemet du skal konfigurere snort-
CentOS 7.0, Snort senest DAQ (Data Acquisition Package) Tilgjengelig med Snort.
Snort og DAQ nyeste versjonen kan være få fra denne linken.
Last ned og installer DAQ
[root @ localhost ~] # yum install https://www.snort.org/downloads/snort/daq-2.0.6-1.centos7.x86_64.rpm Last Snort Last ned og installer Snort
[root @ localhost ~] # yum install https://www.snort.org/downloads/snort/snort-2.9.7.5-1.centos7.x86_64.rpmImportant: Hvis du installerer snøft første stedet for DAQ det kan være noen anstendighet problem med yum.
Installer Snort regler
å installere Snort regler må du registrere deg på denne linken så vil vi være i stand til å laste ned regler for snøft konfigurasjon.
Last Regler
For å administrere Snort regler pulledpork pakken er tilgjengelig på Git hub, som kan lastes ned med følgende kommando.
[root @ localhost ~] # git clone https://github.com/shirkdog/pulledpork.git
La oss Konfigurer pulledpork
Gå til nedla katalogen
[root @ localhost ~] # cd pulledpork /Kopier pulledpork.pl til /usr /local /bin
[root @ localhost pulledpork] # cp pulledpork.pl /usr /local /binChange tillatelsene til pullerpork.pl
[root @ localhost pulledpork] # chmod + x /usr/local/bin/pulledpork.plCopy innholdet etc katalogen fra pulledpork til systemet standard snøft /etc /snøft[root @ localhost pulledpork] # cp-v etc /* conf /etc /snortOutput:.'etc /disablesid.conf' - > '/etc/snort/disablesid.conf' 'etc /dropsid.conf' - > '/etc/snort/dropsid.conf' 'etc /enablesid.conf' - > '/etc/snort/enablesid.conf' 'etc /modifysid.conf' - > '/etc/snort/modifysid.conf' 'etc /pulledpork.conf' - > '/etc/snort/pulledpork.conf'Create en katalog under /etc /Snort navngitt som iplists, vil denne katalogen brukes av Pulledpork.[root @ localhost Snort] # mkdir /etc /Snort /regler /iplistsGo til denne nyopprettede filen og opprette en fil som heter 'default.blacklists'[root @ localhost iplists] # touch /etc /snort /regler /iplists /default.blacklistTest pulledPork Configuration
[root @ localhost iplists] # /usr/local/bin/pulledpork.pl -V OutputConfigure Dynamiske regler for Snort
Rediger /etc /snøft /snort.conf å aktivere dynamisk regler oppsett, søke og sørge for at følgende tre linje er uncomment i /etc/snort/snort.conf.
# bane til dynamiske preprosessor biblioteker dynamicpreprocessor katalogen /usr/lib64/snort-2.9.7.5_dynamicpreprocessor/# sti til basen preprocessor motor dynamicengine /usr/lib64/snort-2.9.7.5_dynamicengine/libsf_engine.so # bane til dynamiske regler bibliotekene dynamicdetection katalogen /usr /local /lib /snort_dynamicrulesExecute følgende Command
[root @ localhost regler] # echo "inkluderer \\ $ RULE_PATH /so_rules.rules" > > /etc/snort/snort.conf[root@localhost regler] # echo "inkluderer \\ $ RULE_PATH /local.rules" > > /etc/snort/snort.conf[root@localhost regler] # echo "inkluderer \\ $ RULE_PATH /snort.rules" > > /etc/snort/snort.confRestart Snort Tjenesten
[root @ localhost regler] # systemctl starte snortdSome Snort Eksempler
å få TCP /IP header i rapporten, kan du se IP-adressen med dette alternativet, type
# snøft -vSample Output:
For å få søknaden Layer informasjon sammen-med IP relatert info, skriver
# snøft VD
Å kvitte seg med hex i utgang, skriver
# snøft -vdC-C alternativet vil fjerne hex verdsatt fra utgang
Sample Output:
Du kan få informasjon om alle 6 lag av OSI Model Unntatt Layer 1, med :
# snøft -vdeC
Ha en prøve! og la oss få vite hva synes du om Snort
Referanse lenker.
Snort nettside