Поиск по сайту:
Сомнение — отчаяние мысли; отчаяние — сомнение личности (С. Кьеркегор).

Оповещения в Snort в Linux

06.06.2022
Оповещения в Snort

«В этом руководстве объясняется, как управлять режимами оповещения системы обнаружения вторжений Snort в Linux.

Этот документ описывает режимы предупреждений Snort и способы управления ими.

Все практические примеры в этом руководстве снабжены скриншотами, чтобы пользователи могли их легко понять».

 

Введение в режимы оповещения Snort

Оповещения Snort — это сообщения об аномальном сетевом трафике и подозрительных соединениях. По умолчанию оповещения хранятся в каталоге /var/log/snort .

Существует 7 доступных режимов оповещения, которые вы можете указать при выполнении Snort, которые перечислены ниже:

  • Fast: в быстром режиме оповещения Snort сообщают временную метку, отправляют предупреждающее сообщение, показывают исходный IP-адрес и порт, а также IP-адрес и порт назначения. Этот режим задается с помощью флага -A fast.
  • Full: В дополнение к информации, распечатываемой в быстром режиме, в полном режиме отображаются TTL, заголовки пакетов и длина дейтаграммы, сервис, тип ICMP, размер окна, ACK и порядковый номер. Полный режим определяется флагом -A full, но это режим предупреждений по умолчанию.
  • Console: печатает быстрые оповещения в консоли. Этот режим реализован с флагом-A console.
  • Cmg: этот режим предупреждений был разработан Snort для целей тестирования; он печатает полное предупреждение на консоли без сохранения журналов. Режим реализован с флагом -A cmg.
  • Unsock: это полезно для экспорта отчетов о предупреждениях в другие программы через сокеты Unix. Режим unsock реализуется с помощью флага unsock -A.
  • Syslog: в режиме системного журнала (протокол системного ведения журнала) Snort удаленно отправляет журналы предупреждений; этот режим реализуется добавлением флага -s.
  • None: в этом режиме Snort не генерирует предупреждения.

В этой статье основное внимание уделяется режимам fast, full, console и cmg, включая анализ вывода.

 

Оповещения о быстром режиме Snort

Следующая команда запускает Snort с быстрыми оповещениями, где snort вызывает программу; флаг -c указывает на файл snort.conf, -q указывает тихое сообщение (без печати баннера и исходной информации), а -A определяет тип оповещения, в данном случае быстрое.

sudo snort -c /etc/snort/snort.conf -q -A fast

 

Читать  Устранение проблем с SSH в Linux

ПРИМЕЧАНИЕ. В этом руководстве мы запустим агрессивное сканирование отпечатков пальцев с использованием техники Xmas с другого компьютера, чтобы показать, как Snort реагирует и сообщает. Команда сканирования Xmas показана ниже.

sudo nmap -v -sT -O 192.168.0.103

 

Оповещения хранятся в /var/log/snort. В случае быстрых предупреждений правильный файл журнала — /var/log/snort/snort.alert.fast .

Поэтому, чтобы прочитать предупреждение, выполните следующую команду.

tail /var/log/snort/snort.alert.fast

 

Как вы можете видеть на скриншоте ниже, быстрый вывод довольно прост. Во-первых, он обнаруживает подозрительный ICMP-пакет, используемый Nmap для обнаружения цели. Затем он обнаруживает входящий трафик на протоколы SSH и SNMP, используемые Nmap для обнаружения открытых портов.

Сообщаемая информация включает время и тип инцидента, исходный и конечный IP-адреса, протокол, задействованные службы и приоритет.

Примечание
Поскольку вывод Snort слишком длинный, мы разделили его на два скриншота.

 

Оповещения в Snort в Linux

 

Собрав первоначальную информацию о характеристиках сканирования, Snort наконец понимает, что это сканирование Xmas.

Оповещения в Snort в Linux

 

Как показано выше, быстрое сканирование возвращает наиболее удобный для пользователя результат, сохраняя при этом простоту.

 

Оповещения о полном режиме Snort

Очевидно, что предупреждения полного режима вернут полный вывод. Важно уточнить, что полный режим — это режим по умолчанию, а файл журнала — /var/log/snort/alert. Поэтому, чтобы прочитать полные оповещения, запустите команду less /var/log/snort/alert.

В этом примере я запущу Snort с полным предупреждением, а затем то же сканирование Xmas покажет то, что описано в предыдущем разделе этого руководства.

Читать  Как настроить автоматические обновления ядра в Linux

Все используемые флаги такие же, как и в предыдущем примере; единственное отличие — определенный полный режим.

sudo snort -c /etc/snort/snort.conf -q -A full

 

Как вы можете видеть на следующем изображении, на этапе обнаружения ICMP-пакетов полный вывод оповещения также возвращает TTL, длину заголовка пакета (IpLen) и длину дейтаграммы (DgmLen), включая информацию, напечатанную при быстром сканировании.

Примечание
Поскольку вывод Snort слишком длинный, в этом разделе я разделил его на три скриншота.

 

Оповещения в Snort в Linux

 

На снимке экрана ниже вы можете видеть, что отчет протокола TCP также показывает порядковый номер, подтверждение (Ack), максимальный размер сегмента (MSS), отметку времени (TS) и размер окна.

Оповещения в Snort в Linux

 

Наконец, Snort понимает, что трафик принадлежит сканированию Xmas.

Оповещения в Snort в Linux

 

Как и при быстром сканировании, Snort будет сообщать о каждом инциденте и полном ходе трафика.

 

Предупреждения режима консоли Snort

Режим консоли предупреждений отображает вывод в консоли, где выполняется Snort. Синтаксис всегда одинаков; единственное изменение — спецификация console после флага -A.

sudo snort -c /etc/snort/snort.conf -q -A console

 

Как вы можете видеть на скриншоте ниже, вывод отображается в консоли; вам не нужно читать журналы при использовании этого режима.

Оповещения в Snort в Linux

 

На изображении выше вы можете видеть, что консольный режим возвращает простой вывод.

 

Режим оповещения Snort Cmg

Оповещения Snort cmg предназначены только для целей тестирования. Выходные данные Cmg не сохраняются в файлах журналов. Информация отображается в консоли так же, как при использовании режима консоли, но она возвращает ту же информацию, что и при использовании полного режима.

Чтобы запустить Snort в режиме предупреждения cmg, выполните команду ниже.

Примечание
Поскольку вывод Snort слишком длинный, в этом разделе мы разделили его на два скриншота.

 

sudo snort -c /etc/snort/snort.conf -q -A console

 

Читать  Важность TLS в Linux

Как вы увидите на скриншотах ниже, процесс оповещения такой же, как и в предыдущих режимах.

Оповещения в Snort в Linux

 

Наконец, сообщается о сканировании Xmas, включая всю информацию, возвращенную в полном режиме.

Оповещения в Snort в Linux

 

Это все, что касается основных режимов оповещения Snort. Прочитав это и предыдущее руководство, объясняющее, как настраивать и создавать правила Snort, упомянутые во введении к этой статье, вы будете готовы к реализации Snort. В LinuxHint мы продолжим делиться новыми знаниями о Snort.

 

Вывод

Системы обнаружения вторжений (IDS), такие как Snort, являются отличным ресурсом для защиты сетей и систем. Как видите, Snort очень гибок и может быть адаптирован к потребностям пользователя, просто заменив флаг. Его гибкость также была доказана в нашей предыдущей статье о создании пользовательских правил и управлении ими. Рынок предлагает множество альтернатив IDS, таких как OSSEC, но Snort остается одной из самых популярных среди системных администраторов. Для пользователей, которые знают, как работают протоколы, изучение и внедрение Snort — довольно простая задача и приятный процесс для включения важных знаний о сетевой безопасности. Стоит отметить, что работа со Snort обязательна для каждого системного администратора. Поскольку IDS анализирует сетевой трафик, это может быть реализовано в сетях независимо от операционных систем компьютеров.

Спасибо, что прочитали этот документ, в котором объясняется, как запускать Snort с различными режимами предупреждений и как понимать их выходные данные. Следите за нашими новостями, чтобы получать больше профессиональных руководств по Linux и Snort.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...
Поделиться в соц. сетях:


0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

**ссылки nofollow

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии

Это может быть вам интересно


Рекомендуемое
Чтобы совпасть с Sony State of Play, Capcom анонсировала ремейк…

Спасибо!

Теперь редакторы в курсе.