Intrusion Detection mit Snort Tutorial

Der allgemeine Gedanke ist, dass das Netzwerk als sicher gilt, wenn eine Firewall das eigene Netzwerk schützt. Das stimmt jedoch nicht ganz. Firewalls sind eine grundlegende Komponente eines Netzwerks, aber sie können das Netzwerk nicht vollständig vor erzwungenem Eindringen oder feindlichen Absichten schützen. Einbrucherkennungssystem werden verwendet, um aggressive oder unerwartete Pakete auszuwerten und eine Warnung zu generieren, bevor diese Programme das Netzwerk beschädigen können. Ein hostbasiertes Intrusion Detection System läuft auf allen Geräten in einem Netzwerk oder verbindet sich mit dem internen Netzwerk einer Organisation. Stattdessen wird an einem bestimmten Punkt oder einer Gruppe von Punkten ein netzwerkbasiertes Intrusion Detection System eingesetzt, von dem aus der gesamte ein- und ausgehende Datenverkehr überwacht werden kann. Ein Vorteil eines hostbasierten Intrusion Detection Systems besteht darin, dass es auch Anomalien oder bösartigen Datenverkehr erkennen kann, der vom Host selbst generiert wird, d.h.e., wenn der Host von Malware betroffen ist usw. Intrusion Detection-Systeme (IDS) arbeiten, indem sie den Netzwerkverkehr überwachen und analysieren und ihn mit einem etablierten Regelwerk vergleichen, um zu bestimmen, was für das Netzwerk als normal angesehen werden sollte (i.e., für Ports, Bandbreiten, etc.) und was man genauer anschauen sollte.

Je nach Größe des Netzwerks kann ein Intrusion Detection System eingesetzt werden. Es gibt Dutzende von hochwertigen kommerziellen IDS, aber viele Unternehmen und kleine Unternehmen können sie sich nicht leisten. Schnauben ist ein flexibles, leichtes und beliebtes Intrusion Detection System, das entsprechend den Anforderungen des Netzwerks von kleinen bis zu großen Netzwerken eingesetzt werden kann und alle Funktionen eines kostenpflichtigen IDS bietet provides. Schnauben kostet nichts, aber das bedeutet nicht, dass es nicht die gleichen Funktionalitäten bieten kann wie ein kommerzielles Elite-IDS. Schnauben gilt als passives IDS, d. h. es schnüffelt Netzwerkpakete, vergleicht mit dem Regelsatz und, falls ein bösartiges Protokoll oder Eintrag entdeckt wird (i.e., einen Einbruch erkennen), eine Warnung generieren oder einen Eintrag in eine Protokolldatei schreiben. Schnauben wird zur Überwachung des Betriebs und der Aktivitäten von Routern, Firewalls und Servern verwendet. Snort bietet eine benutzerfreundliche Oberfläche, die eine Reihe von Regelsätzen enthält, die für eine Person, die mit IDSs nicht vertraut ist, sehr hilfreich sein kann. Snort erzeugt im Falle eines Eindringens einen Alarm (Pufferüberlaufangriffe, DNS-Poisoning, OS-Fingerprinting, Port-Scans und vieles mehr), wodurch eine Organisation den Netzwerkverkehr besser einsehen kann und die Einhaltung von Sicherheitsvorschriften erheblich erleichtert wird.

Installation von Snort

Bevor Sie Snort installieren, gibt es einige Open-Source-Software oder -Pakete, die Sie zuerst installieren sollten, um das Beste aus diesem Programm herauszuholen.

Libpcap: Ein Paket-Sniffer wie Wireshark, der zum Erfassen, Überwachen und Analysieren des Netzwerkverkehrs verwendet wird. Installieren libpcap, Verwenden Sie die folgenden Befehle, um das Paket von der offiziellen Website herunterzuladen, das Paket zu entpacken und dann zu installieren:

[email protected]:~$ wget http://www.tcpdump.org/release/libpcap-1.9.1.Teer.gz
[email protected]:~$ tar -xzvf libpcap-
[email protected]:~$ cd libpcap-
[email protected]:~$ ./konfigurieren
[email protected]:~$ sudo make
[email protected]:~$ make install

OpenSSH: Ein sicheres Konnektivitätstool, das auch über ein unsicheres Netzwerk einen sicheren Kanal für die Remote-Anmeldung über . bereitstellt ssh Protokoll. OpenSSH wird verwendet, um eine Remote-Verbindung zu Systemen mit Administratorrechten herzustellen. OpenSSH kann mit den folgenden Befehlen installiert werden:

[email protected]:~$ wget http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/
tragbar/openssh-8.3p1.Teer.gz
[email protected]:~$ tar xzvf openssh-
[email protected]:~$ cd openssh-
[email protected]:~$ ./konfigurieren
[email protected]:~$ sudo make install

MySQL: Das beliebteste kostenlose und Open Source SQL Datenbank. MySQL wird verwendet, um alarmierte Daten von Snort zu speichern. SQL-Bibliotheken werden von Remote-Computern verwendet, um zu kommunizieren und auf die Datenbank zuzugreifen, in der Snort-Protokolleinträge gespeichert sind. MySQL kann mit dem folgenden Befehl installiert werden:

[email protected]:~$ sudo apt-get install mysql

Apache-Webserver: Der meistgenutzte Webserver im Internet. Apache wird verwendet, um die Analysekonsole über den Webserver anzuzeigen. Es kann hier von der offiziellen Website heruntergeladen werden: http://httpd.Apache.Organisation/, oder mit dem folgenden Befehl:

[email protected]:~$ sudo apt-get install apache2

PHP: PHP ist eine Skriptsprache, die in der Webentwicklung verwendet wird. Zum Ausführen der Analysis-Konsole ist eine PHP-Parsing-Engine erforderlich. Es kann von der offiziellen Website heruntergeladen werden: https://www.php.Netz/Downloads.php, oder mit den folgenden Befehlen:

[email protected]:~$ wget https://www.php.net/distributionen/php-7.4.9.Teer.bz2
[email protected]:~$ tar -xvf php-.Teer
[email protected]:~$ cd php-
[email protected]:~$ sudo make
[email protected]:~$ sudo make install

OpenSSL: Wird verwendet, um die Kommunikation über das Netzwerk zu sichern, ohne sich Sorgen machen zu müssen, dass Dritte die gesendeten und empfangenen Daten abrufen oder überwachen. OpenSSL stellt dem Webserver kryptografische Funktionen zur Verfügung. Es kann von der offiziellen Website heruntergeladen werden: https://www.öffnetsl.Organisation/.
Stunnel: Ein Programm, das verwendet wird, um den willkürlichen Netzwerkverkehr oder Verbindungen innerhalb des SSL zu verschlüsseln und das gleichzeitig funktioniert OpenSSL. Stunnel kann von der offiziellen Website heruntergeladen werden: https://www.stunnel.Organisation/, oder es kann mit den folgenden Befehlen installiert werden:

[email protected]:~$ wget https://www.stunnel.org/downloads/stunnel-5.56-Android.Postleitzahl
[email protected]:~$ tar xzvf stunnel-
[email protected]:~$ CD-Stunnel-
[email protected]:~$ ./konfigurieren
[email protected]:~$ sudo make install

ACID: Eine Abkürzung für Analysesteuerung für Intrusion Detection. ACID ist eine abfragegestützte Suchschnittstelle, die verwendet wird, um übereinstimmende IP-Adressen, vorgegebene Muster, einen bestimmten Befehl, eine Nutzlast, Signaturen, bestimmte Ports usw. zu finden., aus allen protokollierten Warnungen. Es bietet umfassende Funktionen zur Paketanalyse und ermöglicht die Identifizierung dessen, was genau der Angreifer zu erreichen versucht und welche Art von Nutzlast bei dem Angriff verwendet wird. ACID kann von der offiziellen Website heruntergeladen werden: https://www.sei.cmu.edu/about/divisions/cert/index.cfm.

Jetzt sind alle benötigten Basispakete installiert, Schnauben kann von der offiziellen Website heruntergeladen werden, Schnauben.org, und kann mit den folgenden Befehlen installiert werden:

[email protected]:~$ wget https://www.Schnauben.org/downloads/snort/snort-2.9.16.1.Teer.gz
[email protected]:~$ tar xvzf schnauben-
[email protected]:~$ cd schnauben-
[email protected]:~$ ./konfigurieren
[email protected]:~$ sudo make && --enable-source-fire
[email protected]:~$ sudo make install

Führen Sie als Nächstes den folgenden Befehl aus, um zu überprüfen, ob Snort installiert ist und welche Version von Snort Sie verwenden:

[email protected]:~$ schnauben --
,,_ -*> Schnauben! <*-
o" )~ Versionsnummer"
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Verwenden von libpcap-Version 1.8.1
Verwenden der PCRE-Version: 8.39 2016-06-14
Verwenden der ZLIB-Version: 1.2.11

Nach erfolgreicher Installation sollten folgende Dateien auf dem System erstellt worden sein:

/usr/bin/schnauben: Dies ist die ausführbare Binärdatei von Snort.

/usr/share/doc/snort: Enthält die Snort-Dokumentation und -Manpages.

/etc/schnauben: Enthält alle Regelsätze von Schnauben und es ist auch seine Konfigurationsdatei.

Verwenden von Snort

Um Snort zu verwenden, müssen Sie zuerst die Home_Net Wert und geben Sie ihm den Wert der IP-Adresse des Netzwerks an, das Sie schützen. Die IP-Adresse des Netzwerks kann mit dem folgenden Befehl abgerufen werden:

[email protected]:~$ ifconfig

Kopieren Sie aus den Ergebnissen den Wert von inet-Adresse des gewünschten Netzwerks. Öffnen Sie nun die Snort-Konfigurationsdatei /etc/schnauben/schnauben.conf mit dem folgenden Befehl:

[email protected]:~$ sudo vim /etc/snort/snort.conf

Sie sehen eine Ausgabe wie diese:

Finde die Linie „ipvar HOME_NET“.” Vor dem ipvar HOME_NET, schreibe die vorher kopierte IP-Adresse und speichere die Datei. Vor dem Laufen Schnauben, Eine andere Sache, die Sie tun müssen, ist, das Netzwerk im Promiscuous-Modus zu betreiben. Sie können dies tun, indem Sie den folgenden Befehl verwenden:

[email protected]:~$ /sbin/ifconfig - -promisc

Jetzt bist du bereit zu laufen Schnauben. Um ihren Status zu überprüfen und die Konfigurationsdatei zu testen, verwenden Sie den folgenden Befehl:

[email protected]:~$ sudo schnaubt -T -i -c /etc/schnauben/schnauben.conf
4150 Snort-Regeln gelesen
3476 Erkennungsregeln
0 Decoderregeln
0 Präprozessorregeln
3476 Optionsketten verbunden mit 290 Kettenköpfen
0 Dynamische Regeln
+++++++++++++++++++++++++++++++++++++++++++++++++++
+-------------------[Anzahl der Regel-Ports]---------------------------------------
| tcp udp icmp ip
| src 151 18 0 0
| dst 3306 126 0 0
| beliebig 383 48 145 22
| Öffner 27 8 94 20
| s+d 12 5 0 0
+----------------------------------------------------------------------------
+-----------------------[Erkennungsfilter-Konfiguration]------------------------------
| Speicherkapazität: 1048576 Byte
+-----------------------[Erkennungsfilter-Regeln]-------------------------------
| keiner
-------------------------------------------------------------------------------
+-----------------------[Rate-Filter-Konfiguration]-----------------------------------
| Speicherkapazität: 1048576 Bytes
+-----------------------[Rate-Filter-Regeln]------------------------------------
| keiner
-------------------------------------------------------------------------------
+-----------------------[event-filter-config]----------------------------------
| Speicherkapazität: 1048576 Byte
+-----------------------[event-filter-global]----------------------------------
| keiner
+-----------------------[Ereignisfilter-lokal]-----------------------------------
| gen-id=1 sig-id=3273 type=Threshold tracking=src count=5 Sekunden=2
| gen-id=1 sig-id=2494 type=Beide Tracking=dst count=20 Sekunden=60
| gen-id=1 sig-id=3152 type=Threshold tracking=src count=5 Sekunden=2
| gen-id=1 sig-id=2923 type=Threshold tracking=dst count=10 Sekunden=60
| gen-id=1 sig-id=2496 type=Beide Tracking=dst count=20 Sekunden=60
| gen-id=1 sig-id=2275 type=Threshold tracking=dst count=5 Sekunden=60
| gen-id=1 sig-id=2495 type=Beide Tracking=dst count=20 Sekunden=60
| gen-id=1 sig-id=2523 type=Beide Tracking=dst count=10 Sekunden=10
| gen-id=1 sig-id=2924 type=Threshold tracking=dst count=10 Sekunden=60
| gen-id=1 sig-id=1991 type=Limit tracking=src count=1 Sekunden=60
+-----------------------[Unterdrückung]------------------------------------------
| keiner
-------------------------------------------------------------------------------
Reihenfolge der Regelanwendung: Aktivierung->dynamisch->pass->drop->sdrop->reject->alert->log
Überprüfen der Präprozessorkonfigurationen!
[ Port-basierter Pattern-Matching-Speicher ]
+- [ Aho-Corasick-Zusammenfassung ] -------------------------------------
| Speicherformat: Full-Q
| Endlicher Automat: DFA
| Alphabet-Größe: 256 Zeichen
| Zustandsgröße: Variable (1,2,4 Byte)
| Instanzen: 215
| 1 Byte-Zustände: 204
| 2 Byte-Zustände: 11
| 4 Byte-Zustände: 0
| Zeichen : 64982
| Staaten : 32135
| Übergänge: 872051
| Zustandsdichte: 10.6%
| Muster: 5055
| Spielstatus: 3855
| Speicher (MB): 17.00
| Muster: 0.51
| Match-Listen: 1.02
| DFA
| 1 Byte-Zustände: 1.02
| 2 Byte-Zustände: 14.05
| 4 Byte-Zustände: 0.00
+----------------------------------------------------------------
[ Anzahl der auf 20 Byte abgeschnittenen Muster: 1039 ]
pcap DAQ auf passiv konfiguriert.
Erfassen von Netzwerkverkehr von "wlxcc79cfd6acfc".
--== Initialisierung abgeschlossen ==--
,,_ -*> Schnauben! <*-
o" )~ Versionsnummer
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Verwenden von libpcap-Version 1.8.1
Verwenden der PCRE-Version: 8.39 2016-06-14
Verwenden der ZLIB-Version: 1.2.11
Regel-Engine: SF_SNORT_DETECTION_ENGINE Version 2.4
Präprozessorobjekt: SF_IMAP Version 1.0
Präprozessorobjekt: SF_FTPTELNET Version 1.2
Präprozessorobjekt: SF_REPUTATION Version 1.1
Präprozessorobjekt: SF_SDF Version 1.1
Präprozessorobjekt: SF_SIP Version 1.1
Präprozessorobjekt: SF_SSH Version 1.1
Präprozessorobjekt: SF_GTP Version 1.1
Präprozessorobjekt: SF_SSLPP Version 1.1
Präprozessorobjekt: SF_DCERPC2 Version 1.0
Präprozessorobjekt: SF_SMTP Version 1.1
Präprozessorobjekt: SF_POP Version 1.0
Präprozessorobjekt: SF_DNS Version 1.1
Präprozessorobjekt: SF_DNP3 Version 1.1
Präprozessorobjekt: SF_MODBUS Version 1.1
Snort hat die Konfiguration erfolgreich validiert!
Aussteigen schnauben

Schnauben-Regelsätze

Die größte Macht von Schnauben liegt in seinen Regelwerken. Snort kann eine große Anzahl von Regelsätzen verwenden, um den Netzwerkverkehr zu überwachen. In seiner neuesten Version, Schnauben kommt mit 73 verschiedene Arten und mehr 4150 Regeln zur Erkennung von Anomalien, die im Ordner enthalten sind „/etc/snort/rules.”

Sie können sich die Arten von Regelsätzen in Snort mit dem folgenden Befehl ansehen:

[email protected]:~$ ls /etc/snort/rles
Angriffsreaktionen.Regeln Community-smtp.Regeln.Regeln Shellcode.Regeln
Hintertür.Regeln Community-SQL-Injection.Regeln imap.regeln smtp.Regeln
viel Verkehr.Regeln Community-Virus.Regeln Info.Regeln.Regeln
Plaudern.Regeln Community-Web-Angriffe.lokale Regeln.regeln sql.Regeln
Community-Bot.regeln community-web-cgi.Regeln.regeln telnet.Regeln
Community-gelöscht.Regeln Community-Web-Client.Regeln Multimedia.Regeln tftp.Regeln
Community-Dos.Regeln Community-Web-Dos.Regeln mysql.Regeln Virus.Regeln
Community-Exploit.regeln community-web-iis.regeln netbios.Regeln Web-Angriffe.Regeln
Community-FTP.Regeln community-web-misc.Regeln nntp.regeln web-cgi.Regeln
Community-Spiel.regeln community-web-php.Regeln Orakel.Regeln Web-Client.Regeln
community-icmp.Regeln.regeln andere-ids.Regeln Web-Coldfusion.Regeln
Community-Imap.Regeln gelöscht.Regeln p2p.Regeln Web-Frontpage.Regeln
gemeinschaftsunangemessen.Regeln DNS.Regelpolitik.Regeln web-iis.Regeln
Community-Mail-Client.Regeln.Regeln pop2.Regeln web-misc.Regeln
Community-Verschiedenes.Regeln experimentell.Regeln pop3.regeln web-php.Regeln
Community-nntp.Regeln ausnutzen.Regeln porno.Regeln x11.Regeln
Community-Orakel.Regeln Finger.Regeln.Regeln
Community-Politik.Regeln ftp.Regeln rservices.Regeln
Community-Schluck.Regeln icmp-info.Regeln scannen.Regeln

Standardmäßig, wenn Sie ausführen Schnauben im Intrusion Detection System-Modus werden all diese Regeln automatisch bereitgestellt deployed. Lassen Sie uns jetzt die testen ICMP Regelsatz.

Verwenden Sie zuerst den folgenden Befehl zum Ausführen Schnauben im IDS Modus:

[email protected]:~$ sudo schnauben -A Konsole -i
-c /etc/schnauben/schnauben.conf

Sie werden mehrere Ausgaben auf dem Bildschirm sehen, bleiben Sie dabei.

Jetzt pingen Sie die IP dieses Computers von einem anderen Computer mit dem folgenden Befehl:

[email protected]:~$ ping

Pingen Sie es fünf- bis sechsmal und kehren Sie dann zu Ihrem Gerät zurück, um zu sehen, ob das Snort IDS es erkennt oder nicht.

24.08.-01:21:55.178653 [**] [1:396:6] ICMP-Ziel nicht erreichbare Fragmentierung
Benötigt und DF-Bit wurde gesetzt [**] [Klassifizierung: Sonstige Aktivität] [Priorität: 3]
ICMP ->
24.08.-01:21:55.178653 [**] [1:396:6] ICMP-Ziel nicht erreichbare Fragmentierung
Benötigt und DF-Bit wurde gesetzt [**] [Klassifizierung: Sonstige Aktivität] [Priorität: 3]
ICMP ->
24.08.-01:21:55.178653 [**] [1:396:6] ICMP-Ziel nicht erreichbare Fragmentierung
Benötigt und DF-Bit wurde gesetzt [**] [Klassifizierung: Sonstige Aktivität] [Priorität: 3]
ICMP -> Adresse>
24.08.-01:21:55.178653 [**] [1:396:6] ICMP-Ziel nicht erreichbare Fragmentierung
Benötigt und DF-Bit wurde gesetzt [**] [Klassifizierung: Sonstige Aktivität] [Priorität: 3]
ICMP -> IP-Adresse>
24.08.-01:21:55.178653 [**] [1:396:6] ICMP-Ziel nicht erreichbare Fragmentierung
Benötigt und DF-Bit wurde gesetzt [**] [Klassifizierung: Sonstige Aktivität] [Priorität: 3]
ICMP -> Adresse>
24.08.-01:21:55.178653 [**] [1:396:6] ICMP-Ziel nicht erreichbare Fragmentierung
Benötigt und DF-Bit wurde gesetzt [**] [Klassifizierung: Sonstige Aktivität] [Priorität: 3]
ICMP -> Adresse>

Hier haben wir eine Benachrichtigung erhalten, dass jemand einen Ping-Scan durchführt. Es lieferte sogar die IP Adresse der Maschine des Angreifers.

Jetzt gehen wir zum IP Adresse dieses Geräts im Browser. In diesem Fall sehen wir keine Warnung. Versuchen Sie, eine Verbindung zu . herzustellen ftp Server dieser Maschine mit einer anderen Maschine als Angreifer:

[email protected]:~$ftp

Es wird immer noch keine Warnung angezeigt, da diese Regelsätze nicht zu den Standardregeln hinzugefügt werden und in diesen Fällen keine Warnung generiert wird. Dies ist, wenn Sie Ihre eigenen erstellen müssen Regelsätze. Sie können Regeln nach Ihren eigenen Bedürfnissen erstellen und im „/etc/snort/rules/local.Regeln“ Datei, und dann Schnauben verwendet diese Regeln automatisch, wenn Anomalien erkannt werden.

Erstellen einer Regel

Wir erstellen jetzt eine Regel zum Erkennen eines verdächtigen Pakets, das an Port gesendet wird 80 damit in diesem Fall eine Protokollwarnung generiert wird:

# alert tcp any any -> $HOME_NET 80 (msg: "HTTP Packet found"; sid:10000001; rev:1;)

Es gibt zwei Hauptteile beim Schreiben einer Regel, nämlich.e., Regelkopf und Regeloptionen. Das Folgende ist eine Aufschlüsselung der Regel, die wir gerade geschrieben haben:

Header
Aufmerksam: Die Aktion, die ausgeführt werden soll, wenn das Paket gefunden wird, das der Beschreibung der Regel entspricht. Es gibt mehrere andere Aktionen, die je nach Bedarf des Benutzers anstelle der Warnung angegeben werden können, d.e., protokollieren, ablehnen, aktivieren, fallen lassen, bestehen, usw.
TCP: Hier müssen wir das Protokoll angeben. Es gibt verschiedene Protokolltypen, die angegeben werden können, d.e., tcp, udp, icmp, usw., nach den Bedürfnissen des Benutzers.
Irgendein: Hier kann die Quellnetzwerkschnittstelle angegeben werden. Wenn irgendein angegeben ist, sucht Snort nach allen Quellnetzwerken.
->: Die Richtung; in diesem Fall wird von Quelle auf Ziel gesetzt.
$HOME_NET: Der Ort, an dem das Ziel IP Adresse angegeben. In diesem Fall verwenden wir das im . konfigurierte /etc/schnauben/schnauben.conf Datei am Anfang.
80: Der Zielport, an dem wir auf ein Netzwerkpaket warten.
Optionen:
Nachricht: Der zu generierende Alarm oder die anzuzeigende Meldung bei der Erfassung eines Pakets. In diesem Fall ist es auf eingestellt „HTTP-Paket gefunden.”
Seite: Wird verwendet, um Snort-Regeln eindeutig und systematisch zu identifizieren. Der Erste 1000000 Nummern sind reserviert, also kannst du mit anfangen 1000001.
Rev: Wird zur einfachen Regelpflege verwendet.

Wir werden diese Regel in die „/etc/snort/rules/local.Regeln“ Datei und prüfen Sie, ob HTTP-Anfragen auf Port 80 erkannt werden können.

[email protected]:~$ echo “alert tcp any any -> $HOME_NET 80 (msg: "HTTP Packet
gefunden"; sid:10000001; rev:1;)” >> /etc/snort/rules/local.Regeln

Wir sind alle da. Jetzt können Sie öffnen Schnauben im IDS Modus mit folgendem Befehl:

[email protected]:~$ sudo schnauben -Eine Konsole -i wlxcc79cfd6acfc
-c /etc/schnauben/schnauben.conf

Navigieren Sie zum IP Adresse dieser Maschine aus dem Browser.

Schnauben kann jetzt jedes an Port 80 gesendete Paket erkennen und zeigt die Warnung "HTTP-Paket gefunden“ auf dem Bildschirm, wenn dies auftritt.

24.08.03:35:22.979898 [**] [1:10000001:0] HTTP-Paket gefunden [**]
[Priorität: 0] TCP:52008 -> 35.222.85.5:80
24.08.03:35:22.979898 [**] [1:10000001:0] HTTP-Paket gefunden [**]
[Priorität: 0] TCP:52008 -> 35.222.85.5:80
24.08.03:35:22.979898 [**] [1:10000001:0] HTTP-Paket gefunden [**]
[Priorität: 0] TCP:52008 -> 35.222.85.5:80
24.08.03:35:22.979898 [**] [1:10000001:0] HTTP-Paket gefunden [**]
[Priorität: 0] TCP:52008 -> 35.222.85.5:80
24.08.03:35:22.979898 [**] [1:10000001:0] HTTP-Paket gefunden [**]
[Priorität: 0] TCP:52008 -> 35.222.85.5:80
24.08.03:35:22.979898 [**] [1:10000001:0] HTTP-Paket gefunden [**]
[Priorität: 0] TCP:52008 -> 35.222.85.5:80
24.08.03:35:22.979898 [**] [1:10000001:0] HTTP-Paket gefunden [**]
[Priorität: 0] TCP:52008 -> 35.222.85.5:80

Wir werden auch eine Regel zum Erkennen erstellen create ftp Login-Versuche:

# alert tcp any any -> any 21 (msg: "FTP-Paket gefunden"; sid:10000002; )

Füge diese Regel zu den . hinzu "lokal.Regeln“ Datei mit folgendem Befehl:

[email protected]:~$ echo „alert tcp any any -> alert tcp any any -> any 21
(Nachricht: "FTP-Paket gefunden"; sid:10000002; rev:1;)” >> /etc/snort/rules/local.Regeln

Versuchen Sie nun, sich von einem anderen Computer aus anzumelden und sehen Sie sich die Ergebnisse des Snort-Programms an.

24.08.03:35:22.979898 [**] [1:10000002:0) FTP-Paket gefunden [**] [Priorität: 0]
TCP:52008 -> 35.222.85.5:21
24.08.03:35:22.979898 [**] [1:10000002:0) FTP-Paket gefunden [**] [Priorität: 0]
TCP:52008 -> 35.222.85.5:21
24.08.03:35:22.979898 [**] [1:10000002:0) FTP-Paket gefunden [**] [Priorität: 0]
TCP:52008 -> 35.222.85.5:21
24.08.03:35:22.979898 [**] [1:10000002:0) FTP-Paket gefunden [**] [Priorität: 0]
TCP:52008 -> 35.222.85.5:21
24.08.03:35:22.979898 [**] [1:10000002:0) FTP-Paket gefunden [**] [Priorität: 0]
TCP:52008 -> 35.222.85.5:21

Wie oben gesehen, haben wir die Warnung erhalten, was bedeutet, dass wir diese Regeln zur Erkennung von Anomalien am Port erfolgreich erstellt haben 21 und Hafen 80.

Fazit

Einbrucherkennungssystem mögen Schnauben werden zur Überwachung des Netzwerkverkehrs verwendet, um zu erkennen, wenn ein Angriff von einem böswilligen Benutzer ausgeführt wird, bevor er das Netzwerk verletzen oder beeinträchtigen kann affect. Wenn ein Angreifer einen Port-Scan in einem Netzwerk durchführt, kann der Angriff erkannt werden, zusammen mit der Anzahl der Versuche, die des Angreifers IP Adresse und andere Details. Schnauben wird verwendet, um alle Arten von Anomalien zu erkennen, und verfügt über eine Vielzahl bereits konfigurierter Regeln sowie die Möglichkeit, dass der Benutzer seine eigenen Regeln nach seinen Bedürfnissen schreiben kann. Abhängig von der Größe des Netzwerks, Schnauben kann im Vergleich zu anderen bezahlten Werbespots einfach eingerichtet und verwendet werden, ohne etwas auszugeben Einbrucherkennungssystem. Die erfassten Pakete können mit einem Paket-Sniffer wie Wireshark weiter analysiert werden, um zu analysieren und aufzuschlüsseln, was während des Angriffs im Kopf des Angreifers vorgegangen ist und welche Arten von Scans oder Befehlen ausgeführt wurden. Schnauben ist ein kostenloses, quelloffenes und einfach zu konfigurierendes Tool und kann eine gute Wahl sein, um jedes mittelgroße Netzwerk vor Angriffen zu schützen.