In diesem Tutorial werden die Snort-Warnmodi erklärt, um Snort anzuweisen, Vorfälle auf 5 verschiedene Arten zu melden (ohne den Modus "Keine Warnung" zu ignorieren): Schnell, Voll, Konsole, CMG und Unsock.
Wenn Sie die oben genannten Artikel nicht gelesen haben und keine Erfahrung mit Snort haben, beginnen Sie bitte mit dem Tutorial zur Installation und Verwendung von Snort und fahren Sie mit dem Artikel zu den Regeln fort, bevor Sie mit dieser Vorlesung fortfahren. In diesem Tutorial wird davon ausgegangen, dass Snort bereits ausgeführt wird.
Um den Zustand zu erreichen, hat Snort 6 Warnmodi:
Schnell: In diesem Modus meldet Snort den Zeitstempel, die Warnmeldung, die IP-Quelladresse und den Port sowie die Ziel-IP-Adresse und den Port. (-Ein schneller)
Voll: Zusätzlich zum Fast-Mode-Alarm beinhaltet der Full-Mode: TTL, IP-Paket- und IP-Header-Länge, Service, ICMP-Typ und Sequenznummer. (-Ein voller)
Konsole: druckt schnelle Warnungen in der Konsole. (-Eine Konsole)
cmg: Dieses Format wurde von Snort zu Testzwecken entwickelt, es druckt eine vollständige Warnung auf der Konsole, ohne Berichte in Protokollen zu speichern. (-Ein cmg)
Aussocken: Bericht über Unix Socket in andere Programme exportieren. (-Ein Ausziehen)
Keiner: Snort generiert keine Warnungen. (-Ein Nichts)
Allen Warnmodi ist ein a . vorangestellt -EIN das ist der Parameter für Warnungen. Warnungen werden im Protokoll gespeichert /var/log/snort/alert. Snort-Standardregeln sind in der Lage, unregelmäßige Aktivitäten wie Port-Scanning zu erkennen. Lassen Sie uns jeden Warnmodus testen:
Schneller Alarmtest:
schnauben -c /etc/schnauben/schnauben.conf -q -A schnell
Wo:
Schnauben= ruft das Programm auf
-c= Pfad zur Konfigurationsdatei, in diesem Fall die Standarddatei (/etc/snort/snort.conf)
-q= verhindert, dass Schnauben erste Informationen anzeigt
-EIN= definiert den Alarmmodus, in diesem Fall schnell.
Während ich von einem anderen Computer aus einen nmap-Scan gegen die Top-1000-Ports startete, wurden Warnungen protokolliert /var/log/snort/alert.
Vollständiger Alarmtest:
schnauben -c /etc/schnauben/schnauben.conf -q -A voll
Wo:
Schnauben= ruft das Programm auf
-c= Pfad zur Konfigurationsdatei, in diesem Fall die Standarddatei (/etc/snort/snort.conf)
-q= verhindert, dass Schnauben erste Informationen anzeigt
-EIN= definiert den Alarmmodus, in diesem Fall voll.
Wie Sie sehen, gibt der Bericht dem schnellen Bericht zusätzliche Informationen.
Konsolenwarnungstest:
Mit dem Konsolenwarnungstest erhalten wir Warnungen für diesen Lauf in der Konsole gedruckt
schnauben -c /etc/schnauben/schnauben.conf -q -Eine Konsole
Wo:
Schnauben= ruft das Programm auf
-c= Pfad zur Konfigurationsdatei, in diesem Fall die Standarddatei (/etc/snort/snort.conf)
-q= verhindert, dass Schnauben erste Informationen anzeigt
-EIN= definiert den Alarmmodus, in diesem Fall Konsole.
Wie Sie sehen, sind die gedruckten Informationen eher einer schnellen Warnung als einer vollständigen.
Cmg-Alarmtest:
Jetzt erhalten wir einen Bericht in der Konsole mit den Informationen eines vollständigen Berichts und mehr. Dieser Modus wurde zu Testzwecken entwickelt und protokolliert keine Ergebnisse.
schnauben -c /etc/schnauben/schnauben.conf -q -A cmg
Wo:
Schnauben= ruft das Programm auf
-c= Pfad zur Konfigurationsdatei, in diesem Fall die Standarddatei (/etc/snort/snort.conf)
-q= verhindert, dass Schnauben erste Informationen anzeigt
-EIN= definiert den Alarmmodus, in diesem Fall cmg.
Damit die Unsock-Benachrichtigung funktioniert, müssen Sie sie in ein Programm oder Plugin eines Drittanbieters integrieren.
Der Standard-Alarmmodus von Snort ist der Vollmodus. Wenn Sie die zusätzlichen Informationen eines Fast-Modus nicht benötigen, würde ein Fast-Modus die Leistung erhöhen.
Ich hoffe, dieses Tutorial hat dazu beigetragen, die Warnmodi von Snort zu verstehen.