Февраль

ХАКЕР.PRO >> I-TSnort в режиме захвата пакетовДержись, хакер!информации в базу данных. Кроме именифайла, необходимо перечислить параметры,которые в него заносятся;8. unified — выводит данные в специальномформате, оптимизированном для обработкивнешними утилитами, которые затем будутзаниматься регистрацией события;9. alert_prelude — доступен при конфигурированиис опцией '-– enable-prelude', в этом случаеSnort используется как датчик гибридной IDSPrelude (www.prelude-ids.org);10. log_null — в этом случае Snort способенреагировать на указанные предупреждения безрегистрации пакетов.И, наконец, в конце файла ты найдешь шестуюсекцию «Customize your rule set», в которой необходимоубрать комментарии, указывающиена файлы с правилами:include $RULE_PATH / local.rulesinclude $RULE_PATH / bad-traffic.rules…# include $RULE_PATH / multimedia.rules# include $RULE_PATH / p2p.rulesinclude $RULE_PATH / experimental.rulesНазвания правил говорят сами за себя. Оставьто, что тебе действительно нужно (хотя еслисомневаешься, лучше включи все). По умолчаниюфайл local.rules пуст, в него заносит своиправила сам пользователь.Запуск SnortПосле того как все будет готово, можнозапускать Snort. Для работы в режимеснифера Snort запускается с флагом '– v'.При этом на экран выводятся заголовкипакетов. Если же есть желание просмотретьи передаваемую информацию, используйследующую команду:# snort -vdЕсли в системе один интерфейс, то программасама разберется, с чем ей работать. В противномслучае его требуется указать c помощью '– i':# snort -vd -i eth0Можно указать на конкретную информацию,которую требуется захватить. Например,устанавливаем в качестве домашней сети192.168.1.0 и захватываем пакеты с узла192.168.1.1:# snort -h 192.168.1.0 / 24 ‐d -vhost 192.168.1.1Для регистрации пакетов в общем случаеуказываем каталог, куда следует записыватьинформацию:# snort -l . / logЕсли на выходе требуется файл в форматеtcpdump, то добавляем параметр '– b'.И, наконец, работа в режиме системы обнаруженияатак. Так как файл snort.conf уже создан,то поступаем просто:# snort -c / etc / snort / snort.confДля тестирования набираем «ping -s 65507ip_адрес». После чего, если выбран соответствующийрежим ведения журнала, в каталоге/ var / log / snort появится файл с предупреждениемо потенциально опасном пакете:[**] [1:499:3] ICMP Large ICMPPacket [**][Classification: Potentially BadTraffic] [Priority: 2]15 / 11‐18:21:2.1131991802 192.168.0.1 -> 192.168.0.20ICMP TTL:255 TOS:0x0 ID:18479IpLen:20 DgmLen:63028Type:0 Code:0 ID:512 Seq:19456 ECHOREPLY[Xref => arachnids 246]При всестороннем тестировании работы Snortследует использовать специальные утилитывроде IDSwakeup (www.hsc.fr / ressources /outils / idswakeup / download).Для автоматического запуска Snort при загрузкесистемы необходимо использовать скриптsnortd, который лежит в подкаталоге rpmдистрибутива. Копируем его в / etc / rc. d / init.d и даем команду:# chkconfig snortd onАнализаторы файлов и веб-мордыSnort создан для того, чтобы выполнять однузадачу — определение атак, и выполняет онее хорошо. Анализ файлов журналов отдан наоткуп сторонних разработчиков. Некоторыеутилиты, предназначенные для этих целей, тынайдешь на сайте проекта. Например, c помощьюPerl‐скрипта SnortALog (jeremy.chartier.free.fr / snortalog) можно отобрать необходимуюинформацию и вывести ее в удобном длячтения виде. Вот так можно вывести топ атак,сгруппированных по времени, и отослать егопо почте:# cat / var / log / snort / snort.log.1164559498 | ./ snortalog.pl-hour_attack | / usr / sbin / sendmail-f admin@domain.comТакже имеется несколько веб-интерфейсов, позволяющихпроанализировать собранную информацию:ACID (Analysis Console for IntrusionDatabases, acidlab.sf.net), BASE (Basic Analysisand Security Engine, base.secureideas.net),SnortCon (snortcon.sf.net). zxàêåð 02 /98/ 07/153