- hệ thống phỏt hiện xõm nhập mạng (NIDS) theo dừi những gúi tin ở trờn mạng và theo dừi phỏt hiện ra hacker/cracker đang xõm nhập hệ thống (hoặc kiểu tấn cụng từ chối dịch
3.4.6 Cụng cụ snort:
Snort là một hệ thống phỏt hiện xõm nhập mó nguồn mở, phõn tớch đường truyền thời gian thực và ghi những gúi tin trờn mạng IP. Nú cú thể phõn tớch cỏc giao thức trỡnh diễn và nội dung, phỏt hiện rất nhiều cỏch tấn cụng và thăm dũ, vớ dụ như lỗi tràn bộ đệm, dũ trộm cổng, tấn cụng CGI, thăm dũ SMB, phỏ chứng thực của OS, và cũn nhiều nữa. Snort sử dụng cỏc ngụn ngữ luật rất linh hoạt để miờu tả . Snort cú thể cảnh bỏo thời gian
thực cho syslog, hay là file của người dựng, hoặc UNIX socket, hoặc Winpopup messages đến windows client sử dụng Samba (smbclient).
Snort cú 3 phương thức hoạt động chớnh. Nú sử dụng để bắt cỏc gúi tin sniffer giống như tcpdum(1), một packet logger (sử dụng để gỡ rối giao thụng mạng), hoặc là dựng trong hệ thống phỏt hiện xõm nhập.
Hướng dẫn cài đặt snort-2.0.5
1. Phải chắc chắn là đó cài đặt libpcap 2. ./configure
cấu hỡnh package cho hệ thống. Nếu sử dụng ‘csh’ trờn một số hệ thống cũ thỡ phải gừ ‘sh ./configure’ để trỏnh việc ‘csh’ sẽ tự nú thực thi ‘configure’ 3. make
để dịch cỏc gúi. Hoặc ‘make check’ đế chạy cỏc kiểm tra gúi 4. make install
để cài đặt chương trỡnh và cỏc file dữ liệu 5. tạo file rules (kiển tra file snort.conf)
6. snort -?
7. nếu sử dụng phiờn bản trước của snort, thỡ cần phải viết lại file rules
Cỏch sử dụng:
Snort –[option] <filter> [Option]
-A <alert> đặt alert mode là full, fast hoặc là none. Full là cảnh bỏo đến file, fast là chỉ ghi lại cỏc thụng tin sau đến file : nhón thời gian, thụng điệp, IP, cổng. None là tắt cảch bỏo.
-b ghi cỏc gúi theo định dạng tcpdum ỏ trạng thỏi nhị phõn. Chon cỏch này cho phộp nú hoạt động nhanh hơn vỡ khụng tốn thời gian chuyển sang dạng text (nú hoạt động tốt ở mạng 100Mbps)
-c <cf> sử dụng file cấu hỡnh <cf>.
-C chỉ ghi những ký tự ASCII , khụng cú hexdump -d ghi dữ liệu lớp ứng dụng
-D chạy chương trỡnh ở daemon mode. Ngầm định thỡ ghi vào /var/log/snort/alert . -e hiển thị lớp thứ 2 của tiờu đề lớp gúi dữ liệu.
-n <num> thoỏt sau khi xử lý song <num> gúi tin. -q quiet. Khụng hiện thụng bỏo
-s thụng bỏo cảnh bỏo cho syslog ( /var/log/secure, /var/log/messages ) -U Turn on UTC timestamps.
…..
và cũn rất nhiều tham số khỏc (snort -?)
Bộ lọc:
“filters” là những bộ lọc BPF chuẩn như ở tcpdump. Ta cú thể đưa cho nú một host, net hoặc giao thức và một vài cỏc luật logic , đặt cỏc đường truyền riờng biệt mà ta muốn.
vớ dụ : [zeus ~]# ./snort -h 192.168.1.0/24 -d -v host 192.168.1.1 ghi lại thụng tin đến và đi từ host 192.168.1.1
ghi tất cả trờn đường truyền ở 192.168.1.0/24 lớp mạng con C, nhưng khụng phải trờn đường đến và đi của nỳt 192.168.1.1.
Chỳ ý là dũng lệnh chỉ ra sau “-h” cú định dạng khỏc với lệnh của DBF cung cấp ở cuối dũng lệnh
Luật: [rules]
http://www.snort.org/docs/writing_rules/ SnortUsersManual.pdf
[RUN MODES]
Snort cú 3 run-time modes chớnh: sniffer, packet logger và network intrusion detection.
Sniffer Mode:Snort đọc và giải mó cỏc gúi trong mạng và chuyển đến stdout.
Packet Logger Mode: Ghi lại cỏc gúi tin vào đĩa theo định dạng giải mó ASCII. Để ghi lại cỏc gúi tin theo định dạng nhị phõn, ta sử dụng tham số "-b".
Intrusion Detction Mode: Snort chuyển vào IDS mode khi file cấu hỡnh được chỉ ra với tham số "-c". Logger mode khụng được sử dụng khi ở IDS mode, nhưng điều đú vẫn tốt bởi vỡ ta sẽ chỉ ra những gúi tin nào muốn ghi lại khi đang ở chế độ IDS mode.