Tiền xử lý phục vụ cho nhiều mục đích. Nó “bình thường hoá” traffic cho các services, để chắc chắn rằng dữ liệu trong các packet Snort đang theo dõi sẽ có cơ hội tốt
nhất để so sánh với các tín hiệu nhận dạng (signatures ) mà Snort đuợc trang bị.
Ví dụ :
- preprocessor arpspoof
- preprocessor arpspoof_detect_host: 192.168.1.1 00:19:cb:4b:52:9b - preprocessor arpspoof_detect_host: 192.168.1.1 00:19:cb:4b:52:9b
- Ta cho Snort biết địa chỉ MAC của máy trong LAN, khi bị tấn công giả mạo địa chỉ MAC, Snort sẽ so sánh giá trị này và cảnh báo cho người quản trị.
Flow
Flow preprocessor có một module là flow-portscan. Flow theo dõi tất cả traffic
và giữ các track kết nối giữa hệ thống và port lạ, khi có 1 flow lạ mới thông tin sẽ
chuyển qua hash (làm cho các track nhỏ hơn , nhanh hơn trong tracking các địa chỉ IP và PORTS) được lưu trữ trong bảng bộ nhớ dành sẵn. Các option cho flow
preprocessor
Frag
Khi một packet đi từ mạng này qua mạng khác, nó thường cần phân mảnh
thành các packet nhỏ hơn, bởi vì mạng thứ 2 sẽ giới hạn kích thuớc của packet và
tất nhiên nhỏ hơn mạng đầu tiên. Và tất cả các packet nhỏ sẽ đuợc sắp xếp lại khi đến nơi. Một trong những phương pháp của attacker là dùng các packet nhỏ để lừa
firewall hoặc IDS.
Stream4
Stream4 được thiết kế để bảo vệ Snort từ 1 dạng tấn công mới của attacker tới
như trong rules để kích các báo động, cũng có khá nhiều tools dùng cho việc này
nhưng Snort của có cách chống lại. Stream4 có 2 nhiệm vụ chính: sateful
inspection ( kiểm tra tính nguyên vẹn ), awareness and session reassembly ( nhận
biết và sắp xếp các session )
Tiền xử lý các http inspect
Có nhiều cách thông tin có thể định dạng sang các http session và cũng có
nhiều loại khác nhau biểu diễn các thông tin như là các http session như
multimedia, .xml, .HTML, .asp, .php, .java,….và kết quả Snort phải gửi lại nội
dung của các HTTP conversation để định dạng lại data phục vụ cho quá trình phát
hiện tốt nhất.
Arpspoof
Arpspoof được thiết kế cho preprocessor dể detech các hoạt động spoof arp bất
hợp pháp trên local network. Các hacker dùng các tools man-in-the-middle attacks
như ettercap hoặc arpspoof để nghe trộm giữa các máy trong mạng nội bộ. để cấu
hình administrator phải biết địa chỉ MAC của card mạng, điều này thì quá dễ dàng:
Ví dụ:
preprocessor arpspoof
preprocessor arpspoof_detect_host: 192.168.1.1 F0:AB:GH:10:12:53
File Inclusion
Trong file Snort.conf, câu lệnh include chỉ cho Snort đọc các file sau từ include
được lưu trong filesystem của Snort sensor, giống như trong lập trình vậy
Ví dụ :
include $RULE_PATH/exploit.rules include $RULE_PATH/scan.rules
Các rules trên ta có thể download trên internet, khi down về ta muốn phân
nhóm hoặc chỉnh sửa,độ ưu tiên các rules ta có thể cấu hình trong file
classification.config, file reference.config gồm các links tới web site với các thông
tin cho tất cả các alerts, include nó rất hữu tích , nhanh gọn
Ví dụ:
# include classification & priority settings # include classification.config
# include reference systems include reference.config
Cài đặt tập rule cho SNORT
tar -xzvf snortrules-snapshot-2.8.tar.gz cd rules
cp * /etc/snort/rules