V tomto tutoriáli bude vysvetlené režimy výstrahy Snort, ktoré Snortu dajú pokyn, aby hlásil incidenty 5 rôznymi spôsobmi (ignorovanie režimu „bez výstrahy“), rýchlym, úplným, konzolovým, cmg a odblokovaním.
Ak ste si nečítali vyššie uvedené články a nemáte predchádzajúce skúsenosti s funkciou snort, začnite s návodom na inštaláciu a použitie aplikácie Snort a pred pokračovaním v tejto prednáške pokračujte článkom o pravidlách. Tento výukový program predpokladá, že už máte Snort spustený.
Povedzme, že Snort má 6 výstražných režimov:
Rýchlo: v tomto režime Snort nahlási časovú pečiatku, výstražnú správu, zdrojovú adresu IP a port a cieľovú adresu IP a port. (-Pôst)
Plná: navyše k upozorneniu na rýchly režim, úplný režim obsahuje: TTL, dĺžku IP paketu a hlavičky IP, službu, typ ICMP a poradové číslo. (-Plný)
Konzola: vypíše rýchle upozornenia v konzole. (-Konzola)
Cmg: Tento formát vyvinul Snort na testovacie účely, na konzolu vytlačí úplné upozornenie bez ukladania správ do protokolov. (-Cmg)
Odopnúť: exportovať správu do iných programov cez Unix Socket. (-Unsock)
Žiadne: Snort nebude generovať výstrahy. (-A žiadny)
Všetkým režimom výstrahy predchádza a -A čo je parameter pre varovania. Výstrahy sa ukladajú do denníka / var / log / snort / alert. Predvolené pravidlá odňatia sú schopné detekovať nepravidelnú aktivitu, ako je napríklad skenovanie portov. Vyskúšajme každý režim upozornenia:
Test rýchleho varovania:
odfrknúť -c / etc / odfrknúť / odfrknúť.conf -q -A rýchlo
Kde:
odfrknúť= zavolá program
-c= cesta ku konfiguračnému súboru, v tomto prípade predvolenému (/ etc / snort / snort).conf)
-q= zabráni odfrknutiu v zobrazení počiatočných informácií
-A= definuje výstražný režim, v tomto prípade rýchly.
Zatiaľ čo z iného počítača som začal skenovať nmap proti najdôležitejším portom 1 000, začali sa prihlasovať výstrahy / var / log / snort / alert.
Úplný výstražný test:
odfrknúť -c / etc / odfrknúť / odfrknúť.conf -q -A plný
Kde:
odfrknúť= zavolá program
-c= cesta ku konfiguračnému súboru, v tomto prípade predvolenému (/ etc / snort / snort).conf)
-q= zabráni odfrknutiu v zobrazení počiatočných informácií
-A= definuje výstražný režim, v tomto prípade plný.
Ako vidíte, prehľad poskytuje ďalšie informácie k rýchlemu.
Test výstrahy konzoly:
Pomocou testu výstrahy konzoly dostaneme pre tento beh výstrahy vytlačené v konzole
odfrknúť -c / etc / odfrknúť / odfrknúť.conf -q -A konzola
Kde:
odfrknúť= zavolá program
-c= cesta ku konfiguračnému súboru, v tomto prípade predvolenému (/ etc / snort / snort).conf)
-q= zabráni odfrknutiu v zobrazení počiatočných informácií
-A= definuje výstražný režim, v tomto prípade konzola.
Ako vidíte, tlačené informácie sú bližšie k rýchlemu varovaniu ako k úplnému.
Cmg výstražný test:
Teraz poďme získať správu v konzole s informáciami o úplnej správe a ďalšími informáciami. Tento režim bol vyvinutý na testovacie účely a výsledky nezaznamenáva.
odfrknúť -c / etc / odfrknúť / odfrknúť.conf -q -A cmg
Kde:
odfrknúť= zavolá program
-c= cesta ku konfiguračnému súboru, v tomto prípade predvolenému (/ etc / snort / snort).conf)
-q= zabráni odfrknutiu v zobrazení počiatočných informácií
-A= definuje výstražný režim, v tomto prípade cmg.
Aby výstražné upozornenie fungovalo, musíte ho integrovať do programu alebo doplnku tretej strany.
Predvolený výstražný režim Snorta je plný režim, ak nepotrebujete ďalšie informácie o rýchlej jazde, rýchly režim by zvýšil výkon.
Dúfam, že tento návod pomohol pochopiť Snortove režimy výstrahy.