2. Cài đặt Snort
3.2.Cấu hình Snort decoder và Detection engine
Snort theo dõi các gói tin giao tiếp qua Card mạng. Nếu một gói tin có kích thước lạ, có option được thiết lập không bình thường, hay có thiết lập bất thường, Snort sẽ sinh ra cảnh báo. Nếu ta không quan tâm đến một loại cảnh báo nào đó hay cảm thấy chúng sinh ra nhiều cảnh báo sai lệch ta có thể disable các cảnh báo đó bằng cách bỏ dấu “#” trước dòng cấu hình cảnh báo đó. Các tùy chọn cấu hình Snort decoder bao gồm:
# config disable_decode_alerts # config disable_tcpopt_experimental_alerts # config disable_tcpopt_obsolete_alerts # config disable_tcpopt_ttcp_alerts # config disable_tcpopt_alerts # config disable_ipopt_alerts
Mặc định Snort sẽ sinh ra các cảnh báo dựa trên các gói tin có các TCP option được thiết lập một cách bất thường
Bảng 2.1 : Cấu hình các tùy chọn trong file Snort.conf
Tùy chọn Mô tả
config order: [pass, alert, log,
activation, or dynamic] Thay đổi thứ tự các luật được đánh giá config alertfile: alerts Thiết lập file xuất các cảnh báo
config decode_arp Bật giải mã arp (snort -a). config dump_chars_only Bật kết xuất kí tự (snort -C).
Tùy chọn Mô tả
config dump_payload Kết xuất thông tin lớp ứng dụng(snort -d).
config decode_data_link Giải mã header layer 2 (snort -e). config bpf_file: filters.bpf Chỉ ra bộ lọc BPF (snort -F).
config set_gid: 30 (snort -g).Chuyển thành GID to specified GID config daemon Chạy Snort ở chế độ daemon (snort
-D). config interface: <interface
name> Thiết lập giao diện network (snort -i).
config
alert_with_interface_name (snort -I).Thêm tên giao diện vào cảnh báo config logdir: /var/log/snort Thiết lập thư mục log (snort -l).
config umask: <umask> -m). Thiết lập umask khi đang chạy (snort config pkt_count: N Thoát sau N packets (snort -n).
config nolog diễn ra (snort -N).Disable logging. Chú ý: cảnh báo vẫn config obfuscate Làm tối địa chỉ IP (snort -O).
config no_promisc Disable chế độ hỗn tạp (snort -p). config quiet (snort -q).Disable banner và báo cáo trạng thái config chroot: /home/snort Chroot to specified directory (snort -t). config checksum_mode : all Values: none, noip, notcp, noicmp, noudp, or Các loại gói tin để tính checksums.
Tùy chọn Mô tả
config set_uid: <id> Thiết lập UID to <id> (snort -u).
config utc timestamps (snort -U).Dùng UTC thay vì giờ địa phương cho config verbose Dùng Verbose logging to stdout (snort
-v.)
config dump_payload_verbose (snort -X ).Kết xuất gói thô bắt đầu tại lớp link config show_year -y). Hiển thị năm trong timestamps (snort