Để cho phép mode NIDS (do đó không ghi tất cả cá gói tin xuống đƣờng dây), thử dòng sau:
./snort –dvr -1./log –h 192.168.1.0/24-c Snort.conf
trong đó Snort.conf là tên file luật. Snort sẽ áp dụng tập luật trong file Snort.conf tới tất cả các gói tin để quyết định hành động. Nếu không quy định một thƣ mục đầu ra cho chƣơng trình, nó sẽ mặc định lên màn hình.
Vì lý do tốc độ, tuỳ chọn – v nên đƣợc bỏ khỏi dòng lệnh vì các gói tin có thể bị bỏ qua trong khi dữ liệu màn hình.
Trong hầu hết các ứng dụng thì không cần thiết ghi phần mào đầu lớp liên kết dữ liệu, do đó không cần có tuỳ chọn –e.
./snort –d –h 192.168.1.0/24 ./log -c Snort.conf
3.4.3.1 Các tùy chọn đầu ra mode NIDS
Có một số cấu hình đầu ra của Snort trong mode NIDS. Cơ chế cảnh báo và log là để log theo định dạng ASCII và dùng các cảnh báo đầy đủ. Cơ chế cảnh báo đầy đủ in ra thông điệp cảnh báo ngoài phần mào đầu đầy đủ của gói tin. Có một số đầu ra cảnh báo khác sẵn sàng tại dòng lệnh.
Các mode cảnh báo phức tạp hơn. Có 6 mode cảnh báo sẵn có tại dòng lệnh, full, fast, socket, syslog, smb (WinPopup), và none. Bốn trong số những mode này dùng tuỳ chọn –A. Bốn tuỳ chọn là:
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
[-A fast] mode cảnh báo nhanh, ghi cảnh báo dƣới dạng đơn giản với một nhãn thời gian, cảnh báo các cổng, các địa chỉ IP nguồn và đích.
Đây cũng là mode cảnh báo mặc định nếu không quy định gì thì nó sẽ tự động đƣợc sử dụng.
[-A fullsock] gửi các cảnh báo đến một UNIX socket mà chƣơng trình khác có thể lắng nghe.
[-A none] tắt cảnh báo
Các gói tin có thể đƣợc log đến dạng ASCII hoặc file nhị phân qua tuỳ chọn dòng lệnh –b. Nếu muốn không cho phép việc log gói tin cùng nhau, dùng tuỳ chọn dòng lệnh – N.
Để gửi các cảnh báo tới syslog, dùng tuỳ chọn “-s”. Các điều kiện mặc định cho cơ chế cảnh báo syslog là LOG_AUTHPRIV và LOG_ALERT. Nếu muốn cấu hình các điều kiện khác cho các đầu ra syslog, dùng các chỉ dẫn plug-in đầu ra trong các file luật.
Có một cơ chế cảnh báo SMB cho phép Snort gọi đến smb client cùng Samba và gửi các thông điệp cảnh báo WinPopup đến các máy Windows. Để dùng mode cảnh báo này, phải cấu hình Snort để dùng nó tại thời điểm cấu hình với tuỳ chọn –enable-smbalerts
Sau đây là một số ví dụ đầu ra:
Log đến chỗ mặc định và gửi cảnh báo tới syslog: ./snort -c snort.conf –l ./log –h 192.168.1.0/24 -s
Log đến chỗ mặc định trong /var/log/snort và gửi các cảnh báo tới một file cảnh báo nhanh:
./snort -c snort.conf –A fast –h 192.168.1.0/24
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
./snort -c snort.conf –b –M WORSTATIONS
3.4.3.2 Cấu hình hiệu năng cao
Nếu muốn Snort chạy nhanh, dùng tuỳ chọn –b và -A fast hoặc –s (syslog). Việc này sẽ log các gói tin trong dạng tepdump và đƣa ra các cảnh báo một cách tối thiểu. Ví dụ:
./snort -b –Afast -c snort. cont
Trong cấu hình này, Snort có thể log đồng thời nhiều cuộc tấn công và thăm dò trên mạng LAN 100 Mbps chạy tại mức bão hoà xấp xỉ 80 Mbps. Trong cấu hình này, các log có thể đƣợc viết theo dạng nhị phân đến file snort.log đƣợc định dạng nhị phân. Để đọc file này lại và chia nhỏ dữ liệu theo dạng Snort quen thuộc, chỉ cần chạy lại Snort trong file dữ liệu với tuỳ chọn –r và những tuỳ chọn khác thƣờng đƣợc dùng. Ví dụ:
./snort -d -c snort.conf –1.log –h 192.168.1.0/24 –r snort.log
Khi dòng lệnh này chạy, tất cả dữ liệu sẽ đƣợc đặt trong thƣ mục log theo dạng thƣờng đƣợc mã hoá.
3.4.3.3 Thay đổi trật tự cảnh báo
Theo mặc định, thì các luật Alert đƣợc áp dụng đầu tiên, sau đó là các luật Pass, và cuối cùng là các luật Log, trật tự này có đôi chút phản trực giác nhƣng đây là phƣơng pháp dễ dùng hơn nhiều so với việc ngƣời viết hàng trăm luật alert và sau đó lại không cho phép chúng bằng một luật pass không chuẩn.
Đối với những ngƣời biết họ đang làm gì, tuỳ chọn –o đƣợc đƣa ra để thay đổi cách áp dụng luật mặc định trở thành các luật Pass, Alert và cuối cùng là Log.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn