2. 9 Phòng ngừa và ngăn chặn spoofing
3.2.2 Các chức năng chính của Snort
Snort có ba chức năng chính sau : Sniffer (snort -v)
Ghi log các gói tin (snort -l)
Phát hiện xâm nhập và đưa ra cảnh báo (snort -A or snort -c <path_to_conf_file>)
Sniffer:
Đây là chức năng giống với tcpdump và ethereal những không mạnh mẽ bằng. Tuy nhiên nó tiện lợi cho việc sử dụng nhanh, cách thức tạo đầu ra đơn giản.
Các tham số cho chức năng này.
-v Chuẩn cho chức năng Sniffer. Thường kết hợp với các tham số khác -vd or - ve.
-d Hiển thi cả dữ liệu payload. -a Hiện thị cả các gói tin ARP.
-e Hiện thị dữ liệu ở tầng link layer data. Ví dụ với lệnh :
# snort –dve –c /etc/snort/snort.conf
Và kết quả là :
Ghi lại các gói tin :
Chức năng này cho phép Snort ghi nhật ký lại tất cả các gói tin mà nó bắt được tới tệp tin nhị phân:
Các lựa chọn:
-l: định hướng ghi dữ liệu tới file nào -b: ghi tất cả ra một file nhị phân -r: đọc file log. Ví dụ bằng các l # snort -l /usr/local/log/snort -d # snort -b -l /usr/local/log/snort/temp.log # snort -r /usr/local/log/snort/temp.log Demo
Phát hiện xâm nhập và cảnh báo :
Việc phát hiện xâm nhập thực chất là việc Snort thực hiện chức năng phân tích và so khớp với cơ sở dữ liệu dấu hiệu rồi kết luận có phải dâu hiệu tấn công không. Nếu đúng là dâu hiệu tấn công nó sẽ ghi nhật ký cảnh báo với các thông tin về cuộc tấn công trên.
Trong tệp tin snort.conf, nơi cấu hình để hướng tới các tệp tin luật là
var RULE_PATH ../rules … include $RULE_PATH/local.rules include $RULE_PATH/bad-traffic.rules include $RULE_PATH/exploit.rules include $RULE_PATH/scan.rules include $RULE_PATH/finger.rules include $RULE_PATH/ftp.rules include $RULE_PATH/telnet.rules include $RULE_PATH/rpc.rules include $RULE_PATH/rservices.rules include $RULE_PATH/web-frontpage.rules include $RULE_PATH/web-misc.rules include $RULE_PATH/web-client.rules include $RULE_PATH/web-php.rules …
Tham số sử dụng là –A [full|fast]
Tệp tin cảnh báo mặc định của Snort là alert được đặt mặc định trong thư mục /var/log/snort.
Ví dụ về một cảnh báo được snort bắt sau khi thực hiện với dòng lệnh sau :
# snort –A full –dv –c /etc/snort/snort.conf
Ta sẽ mô tả qua về định dạng của một cảnh báo :
[**] [1:499:5] ICMP Large ICMP Packet [**] : Tên của dấu hiệu tấn công [Classification…] :
[Priority: 2]: Mức độ nguy hiểm của cuộc tấn công. Từ 1 đến 3. Các dòng tiếp theo : Mô tả nơi gây ra nguy hiểm trong gói tin. [Xref => …] : Nơi, đơn vị phát hiện và mô tả lỗi này.