V tej vadnici bodo razloženi načini opozorila Snort, ki bodo Snortu napotili, naj poroča o incidentih na 5 različnih načinov (ignoriranje načina brez opozorila), hitro, polno, konzola, cmg in odpenjanje.
Če niste prebrali zgoraj omenjenih člankov in nimate predhodnih izkušenj s smrčanjem, začnite z vadnico o namestitvi in uporabi Snorta in pred nadaljevanjem tega predavanja nadaljujte s člankom o pravilih. Ta vadnica predpostavlja, da že imate Snort.
Če želimo, da navedemo, ima Snort 6 opozorilnih načinov:
Hitro: v tem načinu bo Snort poročal o časovnem žigu, opozorilnem sporočilu, izvornem naslovu IP ter naslovu IP in namembnem naslovu in vratih. (-Hitro)
Poln: poleg opozorila v hitrem načinu celoten način vključuje: TTL, dolžino paketa IP in glave IP, storitev, vrsto ICMP in zaporedno številko. (-Polno)
Konzola: v konzoli natisne hitra opozorila. (-Konzola)
Cmg: To obliko je razvil Snort za namene testiranja, na konzolo natisne celotno opozorilo, ne da bi shranil poročila v dnevnike. (-A cmg)
Odpni: izvoz poročila v druge programe prek Unix Socket. (-Odpenjanje)
Brez: Snort ne bo generiral opozoril. (-Brez)
Pred vsemi opozorilnimi načini stoji a -A kar je parameter za opozorila. Opozorila se shranijo v dnevnik / var / log / snort / alert. Privzeta pravila za smrčanje lahko zaznajo nepravilne dejavnosti, kot je skeniranje vrat. Preizkusimo vsak opozorilni način:
Hiter opozorilni test:
snort -c / etc / snort / snort.conf -q -Hitro
Kje:
smrčanje= pokliče program
-c= pot do konfiguracijske datoteke, v tem primeru privzete (/ etc / snort / snort.conf)
-q= preprečuje smrčanje, da prikaže začetne informacije
-A= določa način opozarjanja, v tem primeru hitro.
Medtem ko sem iz drugega računalnika začel skeniranje nmap za 1000 najboljših vrat, so se opozorila začela prijavljati / var / log / snort / alert.
Preskus popolnega opozorila:
snort -c / etc / snort / snort.conf -q -Polno
Kje:
smrčanje= pokliče program
-c= pot do konfiguracijske datoteke, v tem primeru privzete (/ etc / snort / snort.conf)
-q= preprečuje smrčanje, da prikaže začetne informacije
-A= določa način opozorila, v tem primeru poln.
Kot vidite, poročilo vsebuje dodatne informacije k hitremu.
Preizkus opozoril v konzoli:
S preskusom opozoril v konzoli bomo za to izvedbo dobili natisnjena opozorila v konzoli
snort -c / etc / snort / snort.conf -q -Konzola
Kje:
smrčanje= pokliče program
-c= pot do konfiguracijske datoteke, v tem primeru privzete (/ etc / snort / snort.conf)
-q= preprečuje smrčanje, da prikaže začetne informacije
-A= definira način opozorila, v tem primeru konzola.
Kot vidite, so natisnjene informacije bližje hitremu opozorilu kot popolnemu.
Cmg opozorilni test:
Zdaj poiščimo poročilo v konzoli z informacijami o celotnem poročilu in še več. Ta način je bil razvit za namene testiranja in ne beleži rezultatov.
snort -c / etc / snort / snort.conf -q -A cmg
Kje:
smrčanje= pokliče program
-c= pot do konfiguracijske datoteke, v tem primeru privzete (/ etc / snort / snort.conf)
-q= preprečuje smrčanje, da prikaže začetne informacije
-A= določa način opozarjanja, v tem primeru cmg.
Da bo opozorilo o odpakiranju delovalo, ga morate vključiti v program ali vtičnik tretje osebe.
Snortov privzeti opozorilni način je polni način, če ne potrebujete dodatnih informacij o hitrem, bi hiter način povečal zmogljivost.
Upam, da je ta vadnica pomagala razumeti Snortove opozorilne načine.