Avvisi di snort

Felicia Giuliani
Avvisi di snort
“Questo tutorial spiega come gestire le modalità di allerta del sistema di rilevamento delle intrusioni di Snort in Linux.

In precedenza in Linuxhint, abbiamo pubblicato articoli che mostrano come iniziare con Snort e come creare regole di snort.

Questo documento descrive le modalità di allerta snort e come gestirle.

Tutti gli esempi pratici in questo tutorial includono screenshot per gli utenti per capirli facilmente."

Introduzione alle modalità Snort Alert

Gli avvisi di snort sono traffico di rete anomalo e connessioni sospette. Per impostazione predefinita, gli avvisi sono archiviati sotto il /var/log/snort directory.

Esistono 7 modalità di avviso disponibili che è possibile specificare durante l'esecuzione di Snort, che è elencato di seguito:

  • Veloce: Quando in modalità veloce, Snort Avvisi segnala il timestamp, invia un messaggio di avviso, mostra l'indirizzo IP e la porta di origine e l'indirizzo IP di destinazione e la porta. Questa modalità è indicata usando il -Un digiuno bandiera.
  • Pieno: Inoltre, alle informazioni stampate in modalità veloce, la modalità completa mostra TTL, testate di pacchetti e lunghezza del datagramma, servizio, tipo ICMP, dimensioni della finestra, ACK e numero di sequenza. La modalità completa è definita con il -Un pieno Flag, ma questa è la modalità di avviso predefinita.
  • Console: Stampa avvisi veloci nella console. Questa modalità è implementata con il -Una console bandiera.
  • CMG: Questa modalità di avviso è stata sviluppata da Snort per scopi di test; Stampa un avviso completo sulla console senza salvare i registri. La modalità è implementata con il -Un CMG bandiera.
  • Unock: Ciò è utile per esportare i rapporti di avviso ad altri programmi tramite le prese unix. La modalità Unock è implementata utilizzando il -UN bandiera Unock.
  • Syslog: Nella modalità syslog (System Logging Protocol), Snort invia i registri di avviso da remoto; Questa modalità è implementata aggiungendo il -S bandiera.
  • Nessuno: Con questa modalità, Snort non genera avvisi.

Questo articolo si concentra su veloce, pieno, console E cmg Modalità, inclusa l'analisi dell'output.

Snirt Avvisi in modalità veloce

Il comando seguente esegue sbuffo con avvisi rapidi, dove sbuffo chiama il programma; IL -C La bandiera indica lo snort.Conf File, -Q istruisce un reporting tranquillo (senza stampare banner e informazioni iniziali) e -UN determina il tipo di avviso, in questo caso, veloce.

sudo snort -c/etc/snort/snort.conf -q -a veloce

NOTA: Per questo tutorial, lancerò una scansione aggressiva di impronte digitali usando la tecnica di Natale da un computer diverso per mostrare come lo Snort reagisce e riporta. Il comando di scansione XMAS è mostrato di seguito.

sudo nmap -v -st -o 192.168.0.103

Gli avvisi sono conservati sotto /var/log/snort. Nel caso di avvisi rapidi, il file di registro corretto è /var/log/snort/snort.mettere in guardia.veloce.

Pertanto per leggere l'avviso, eseguire il comando seguente.

coda/var/log/snort/snort.mettere in guardia.veloce

Come puoi vedere nello screenshot qui sotto, l'output veloce è piuttosto semplice. Innanzitutto, rileva un pacchetto ICMP sospetto utilizzato da NMAP per rilevare il target. Quindi rileva il traffico in arrivo ai protocolli SSH e SNMP utilizzati da NMAP per scoprire le porte aperte.

Le informazioni riportate includono il tempo e il tipo di incidenti, gli indirizzi IP di origine e la destinazione, il protocollo, i servizi coinvolti e la priorità.

Nota: Poiché l'output di Snort è troppo lungo, l'ho diviso in due screenshot.

Dopo aver raccolto informazioni iniziali sulle caratteristiche della scansione, Snort finalmente si rende conto che è una scansione di Natale.

Come mostrato sopra, la scansione veloce restituisce l'output più intuitivo, mantenendo la semplicità.

Snirt Avvisi in modalità completa

Evidentemente, gli avvisi in modalità completa restituiranno l'output completo. È importante chiarire che la modalità completa è la modalità predefinita e il file dei registri è /var/log/snort/avviso. Pertanto per leggere gli avvisi completi, eseguire il comando di meno /var/log/snort/avviso.

Per questo esempio, lancerò Snort con un avviso completo, quindi la stessa scansione di Natale ha mostrato il spiegato nella sezione precedente di questo tutorial.

Tutte le flag usate sono le stesse dell'esempio precedente; L'unica differenza è la modalità completa definita.

sudo snort -c/etc/snort/snort.conf -q -a full

Come puoi vedere nella seguente immagine, nella fase di rilevamento dei pacchetti ICMP, l'output di avviso completo restituisce anche TTL, lunghezza dell'intestazione del pacchetto (IPLEN) e lunghezza del datagramma (DGMlen), comprese le informazioni stampate nella scansione veloce.

Nota: Poiché l'output di Snort è troppo lungo, in questa sezione, l'ho divisa in tre screenshot.

Nello screenshot seguente, è possibile visualizzare il rapporto del protocollo TCP mostra anche il numero di sequenza, il riconoscimento (ACK), la dimensione massima del segmento (MSS), il timestamp (TS) e la dimensione della finestra.

Infine, Snort si rende conto che il traffico appartiene a una scansione di Natale.

Come la scansione veloce, Snort riferirà ogni incidente e il pieno progresso del traffico.

Avvisi in modalità console snort

La modalità console di avvisi visualizza l'uscita nella console in cui viene eseguito Snort. La sintassi è sempre la stessa; L'unico cambiamento è il console Specifiche dopo il -UN bandiera.

sudo snort -c/etc/snort/snort.conf -q -a console

Come puoi vedere nello screenshot seguente, l'output è mostrato nella console; Non è necessario leggere i registri quando si utilizza questa modalità.

Nell'immagine sopra, è possibile vedere la modalità console restituisce un semplice output.

Snort CMG Avviso Modalità

Gli avvisi Snort CMG sono solo a scopo di test. Le uscite CMG non vengono salvate nei file di registro. Le informazioni sono mostrate nella console come quando si utilizza la modalità console, ma restituisce le stesse informazioni restituite quando si utilizza la modalità completa.

Per eseguire lo sbuffo in modalità di avviso CMG, eseguire il comando sotto.

Nota: Poiché l'output di Snort è troppo lungo, in questa sezione, l'ho divisa in tre screenshot.

sudo snort -c/etc/snort/snort.conf -q -a console

Come vedrai negli screenshot seguenti, il processo di avviso è lo stesso delle modalità precedenti.

Infine, viene segnalata la scansione del Natale, comprese tutte le informazioni restituite in modalità completa.

Questo è tutto per le principali modalità di avviso Snort. Dopo aver letto questo e il precedente tutorial che spiega come configurare e creare regole di snort menzionate nell'introduzione di questo articolo, sarai pronto a implementare Snort. In Linuxhint continueremo a condividere più conoscenze su Snort.

Conclusione

I sistemi di rilevamento delle intrusioni (ID) come Snort sono una risorsa eccellente per proteggere reti e sistemi. Come puoi vedere, Snort è molto flessibile e può essere adattato alle esigenze dell'utente semplicemente sostituendo un flag. La sua flessibilità è stata anche dimostrata nel nostro precedente articolo sulla creazione e gestione delle regole personalizzate. Il mercato offre molte alternative IDS come OSSEC, ma Snort rimane uno dei più popolari tra gli amministratori di sistema. Per gli utenti che sanno come funzionano i protocolli, l'apprendimento e l'implementazione di Snort è un compito abbastanza semplice e un bel processo per incorporare conoscenze importanti sulla sicurezza della rete. Vale la pena ricordare che trattare con Snort è obbligatorio per ogni amministratore di sistema. Poiché IDS analizza il traffico di rete, questo può essere implementato nelle reti indipendentemente dai sistemi operativi del computer.

Grazie per aver letto questo documento che spiega come eseguire Snort con diverse modalità di avviso e come capire i loro output. Continua a seguirci per altri tutorial professionisti Linux e Snort.

Comandi Linux
Come iniziare un traffico multicast in Iperf
Tutorial su come avviare un traffico multicast in Iperf e i comandi Iperf per inviare e ricevere il ...
Dr. Folco Leone
Debian
Come cambiare il nome utente sulla top 10 di Debian Bullseye
Puoi cambiare il nome utente su Debian da Terminal o GUI. Questo articolo fornisce una guida dettagl...
Dr. Ursula Marini
C ++
Programma C ++ per convertire il decimale in binario
Per convertire un numero decimale in binario in C ++, dividere il numero decimale di 2 fino a quando...
Dr. Ursula Marini
Pitone
Python chiama il metodo statico all'interno della classe
Osea Martini
Pitone
Eccursioni del conteggio dei pitone nell'elenco
Dante Palumbo
C ++
Come usare Chrono in C++?
Artemide Ricci
Golang
Come convertire la stringa in tipo intero in Golang?
Felicia Giuliani
AWS
Cos'è Elastic Beanstalk? È paas o iaas?
Dr. Folco Leone
PHP
Come utilizzare la funzione delle strisce in PHP
Piererminio De luca
Fedora
Come abilitare il repository di fusion RPM su Fedora
Domiziano Conte
PHP
Come utilizzare la funzione GetDate PHP
Dr. Folco Leone
Programmazione C
Cos'è l'indirizzo di memoria nella programmazione C e come trovarlo?
Dr. Folco Leone
Idiota
Come forzare il checkout Git?
Osea Martini