Alerte de reniflement

Lena Martinez
Alerte de reniflement
«Ce tutoriel explique comment gérer les modes d'alerte du système de détection d'intrusion de SNORT dans Linux.

Auparavant dans Linuxhint, nous avons publié des articles montrant comment démarrer avec Snort et comment créer des règles de snort.

Ce document décrit les modes d'alerte SNORT et comment les gérer.

Tous les exemples pratiques de ce tutoriel incluent des captures d'écran pour les utilisateurs pour les comprendre facilement."

Introduction aux modes d'alerte SNORT

Les alertes de snort sont un trafic réseau anormal et des connexions suspectes. Par défaut, les alertes sont stockées sous le / var / log / snort annuaire.

Il existe 7 modes d'alerte disponibles que vous pouvez spécifier lors de l'exécution de Snort, qui est répertorié ci-dessous:

  • Rapide: En mode rapide, SNORT Alertes signalent l'horodatage, envoyez un message d'alerte, affichez l'adresse IP source et le port, ainsi que l'adresse IP et le port de destination. Ce mode est instruit en utilisant le -Un jeûne drapeau.
  • Complet: De plus, aux informations imprimées en mode rapide, le mode complet montre le TTL, les en-têtes de paquets et la longueur de datagramme, le service, le type ICMP, la taille de la fenêtre, le numéro de séquence ACK et. Le mode complet est défini avec le -Plein Flag, mais c'est le mode d'alertes par défaut.
  • Console: imprime les alertes rapides dans la console. Ce mode est implémenté avec le -Une console drapeau.
  • CMG: Ce mode d'alertes a été développé par SNORT à des fins de test; Il imprime une alerte complète sur la console sans enregistrer les journaux. Le mode est implémenté avec le -Un CMG drapeau.
  • Unsock: Ceci est utile pour exporter des rapports d'alerte à d'autres programmes via Unix Sockets. Le mode un peu actif est implémenté en utilisant le -UN drapeau sansck.
  • Syslog: En mode Syslog (System Logging Protocol), Snort envoie des journaux d'alerte à distance; Ce mode est implémenté en ajoutant le -s drapeau.
  • Aucun: Avec ce mode, Snort ne génère pas d'alertes.

Cet article se concentre sur Console rapide, plein et CMG Modes, y compris l'analyse de sortie.

Snort Alertes en mode rapide

La commande suivante exécute SNORT avec des alertes rapides, où renifler appelle le programme; le -c Le drapeau indique le snort.fichier de confr, -q instruit un reportage silencieux (sans imprimer la bannière et les informations initiales) et -UN détermine le type d'alerte, dans ce cas, rapidement.

sudo snort -c / etc / snort / snort.conf -q -a rapide

NOTE: Pour ce tutoriel, je lancerai une analyse d'empreintes digitales agressive en utilisant la technique de Noël à partir d'un autre ordinateur pour montrer comment Snort réagit et rapporte. La commande de scan de Noël est illustrée ci-dessous.

sudo nmap -v -st -o 192.168.0.103

Les alertes sont stockées sous / var / log / snort. Dans le cas des alertes rapides, le fichier journal correct est / var / log / snort / snort.alerte.rapide.

Par conséquent, pour lire l'alerte, exécutez la commande suivante.

queue / var / log / snort / snort.alerte.rapide

Comme vous pouvez le voir dans la capture d'écran ci-dessous, la sortie rapide est assez simple. Tout d'abord, il détecte un paquet ICMP suspect utilisé par NMAP pour détecter la cible. Ensuite, il détecte le trafic entrant vers les protocoles SSH et SNMP utilisés par NMAP pour découvrir les ports ouverts.

Les informations rapportées incluent le temps et le type incident, les adresses IP source et de destination, le protocole, les services impliqués et la priorité.

Note: Étant donné que la sortie de Snort est trop longue, je l'ai divisée en deux captures d'écran.

Après avoir collecté des informations initiales sur les caractéristiques de scan, Snort se rend finalement compte que c'est un scan de Noël.

Comme indiqué ci-dessus, le scan rapide renvoie la sortie la plus conviviale, en gardant la simplicité.

Snort Alertes en mode complet

De toute évidence, les alertes en mode complet renverront la sortie complète. Il est important de préciser que le mode complet est le mode par défaut, et le fichier de journaux est / var / log / snort / alerte. Par conséquent, pour lire les alertes complètes, exécutez la commande moins / var / log / snort / alerte.

Pour cet exemple, je lancerai SNORT avec une alerte complète, puis la même numérisation de Noël a montré la section expliqué dans la section précédente de ce tutoriel.

Tous les drapeaux utilisés sont les mêmes que dans l'exemple précédent; La seule différence est le mode complet défini.

sudo snort -c / etc / snort / snort.Conf -Q -a Full

Comme vous pouvez le voir dans l'image suivante, dans la phase de détection des paquets ICMP, la sortie d'alerte complète renvoie également TTL, la longueur d'en-tête des paquets (IPLEN) et la longueur de datagramme (DGMLEN), y compris les informations imprimées dans la numérisation rapide.

Note: Étant donné que la sortie de Snort est trop longue, dans cette section, je l'ai divisée en trois captures d'écran.

Dans la capture d'écran ci-dessous, vous pouvez voir que le rapport du protocole TCP montre également le numéro de séquence, la reconnaissance (ACK), la taille maximale du segment (MSS), l'horodatage (TS) et la taille de la fenêtre.

Enfin, Snort se rend compte que le trafic appartient à un scan de Noël.

Comme le scan rapide, Snort rapportera chaque incident et la progression du trafic complet.

Alertes en mode console de snort

Le mode de console d'alertes affiche la sortie dans la console où SNORT est exécuté. La syntaxe est toujours la même; Le seul changement est le console spécification après le -UN drapeau.

sudo snort -c / etc / snort / snort.Conf -Q -a Console

Comme vous pouvez le voir dans la capture d'écran ci-dessous, la sortie est indiquée dans la console; Vous n'avez pas besoin de lire les journaux lorsque vous utilisez ce mode.

Dans l'image ci-dessus, vous pouvez voir que le mode console renvoie une sortie simple.

Mode d'alerte SNORT CMG

SNORT CMG Les alertes sont destinées à tester uniquement. Les sorties CMG ne sont pas enregistrées dans les fichiers journaux. Les informations sont indiquées dans la console comme lors de l'utilisation du mode console, mais elles renvoient les mêmes informations renvoyées lors de l'utilisation du mode complet.

Pour exécuter SNORT en mode d'alerte CMG, exécutez la commande ci-dessous.

Note: Étant donné que la sortie de Snort est trop longue, dans cette section, je l'ai divisée en trois captures d'écran.

sudo snort -c / etc / snort / snort.Conf -Q -a Console

Comme vous le verrez dans les captures d'écran ci-dessous, le processus d'alerte est le même qu'avec les modes précédents.

Enfin, le scan de Noël est signalé, y compris toutes les informations renvoyées en mode complet.

C'est tout au sujet des principaux modes d'alerte de snort. Après avoir lu ceci et le didacticiel précédent expliquant comment configurer et créer des règles de snort mentionnées dans l'introduction de cet article, vous serez prêt à implémenter Snort. Chez Linuxhint, nous continuerons de partager plus de connaissances sur SNORT.

Conclusion

Les systèmes de détection d'intrusion (IDS) comme Snort sont une excellente ressource pour protéger les réseaux et les systèmes. Comme vous pouvez le voir, Snort est très flexible et peut être adapté aux besoins des utilisateurs en remplaçant simplement un drapeau. Sa flexibilité a également été prouvée dans notre article précédent sur la création et la gestion des règles personnalisées. Le marché propose de nombreuses alternatives IDS comme Ossec, mais Snort reste l'un des plus populaires parmi les administrateurs système. Pour les utilisateurs qui savent comment fonctionnent les protocoles, l'apprentissage et la mise en œuvre de Snort sont une tâche assez facile et un bon processus pour intégrer des connaissances importantes sur la sécurité du réseau. Il convient de mentionner que le traitement de SNORT est obligatoire pour chaque administrateur système. Étant donné que IDS analyse le trafic réseau, cela peut être mis en œuvre dans les réseaux indépendamment des systèmes d'exploitation informatique.

Merci d'avoir lu ce document expliquant comment exécuter SNORT avec différents modes d'alerte et comment comprendre leurs sorties. Continuez à nous suivre pour plus de tutoriels professionnels Linux et Snort.

php
Comment utiliser la fonction php str_split
La fonction php str_split () est un outil utile pour diviser les chaînes en caractères individuels o...
Zoe Martinez
c Sharp
Comment utiliser les mathématiques.Fonction ronde dans C #
Mathématiques.Round () en C # tourne un nombre à l'entier le plus proche ou un nombre spécifique de ...
Julien Dumas
C programmation C
Instruction IF-ELSE dans la programmation C
La déclaration IF-Else est un concept crucial en programmation C qui permet une prise de décision ba...
Mélissa Vincent
Python
Python Count Caractères en chaîne
Gabriel Bernard
Python
Python Count Occurrences in List
Zoe Martinez
Python
TSPLOT DE SEA
Zoe Martinez
golang
Introduction au langage de programmation de Golang
Nathan Blanc
Powershell
Comment utiliser les opérateurs de comparaison dans PowerShell?
Ethan Guillot
Java
Comment convertir une carte en une chaîne en java?
Nathan Blanc
Javascrip
La façon dont la type dactylographie est différente de JavaScript?
Gabriel Bernard
Docker
Comment puis-je installer Docker via le terminal Ubuntu?
Ines Dubois
Powershell
Comment utiliser l'emplet de commande de tri-objet dans PowerShell
Pauline Giraud
php
Comment ajouter à un tableau en php?
Mohamed Benoit