U ovom vodiču objasnit će se načini upozorenja Snort kako bi se uputilo Snort-u da izvještava o incidentima na 5 različitih načina (zanemarujući način rada "bez upozorenja"), brzo, puno, konzola, cmg i otpakirano.
Ako niste pročitali gore spomenute članke i nemate prethodno iskustvo sa hrkanjem, započnite s uputstvom o instalaciji i upotrebi Snorta i prije nastavka ovog predavanja nastavite s člankom o pravilima. Ovaj vodič pretpostavlja da je Snort već pokrenut.
Da bismo izjavili da Snort ima 6 načina upozorenja:
Brzo: u ovom načinu rada Snort će izvijestiti o vremenskoj oznaci, poruci upozorenja, IP izvornoj adresi i IP adresi i odredišnom odredištu. (-Brzo)
Puna: uz upozorenje za brzi način rada, puni način rada uključuje: TTL, duljinu IP paketa i IP zaglavlja, uslugu, ICMP vrstu i redni broj. (-Puno)
Konzola: ispisuje brza upozorenja u konzoli. (-Konzola)
Cmg: Ovaj format razvio je Snort za potrebe testiranja, ispisuje potpuno upozorenje na konzoli bez spremanja izvještaja u zapisnike. (-Cmg)
Otkažite: izvoz izvješća u druge programe putem Unix Socket-a. (-Otpakirano)
Nijedno: Snort neće generirati upozorenja. (-Nijedan)
Svim načinima upozorenja prethodi a -A što je parametar za upozorenja. Upozorenja se spremaju u zapisnik / var / log / snort / alert. Zadana pravila za hrkanje mogu otkriti nepravilne aktivnosti poput skeniranja priključaka. Isprobajmo svaki način upozorenja:
Test brzog upozorenja:
hrkanje -c / itd / hrkanje / hrkanje.conf -q -brz
Gdje:
frknuti= poziva program
-c= put do konfiguracijske datoteke, u ovom slučaju zadane (/ etc / snort / snort.conf)
-q= sprječava hrkanje da prikazuje početne informacije
-A= definira način upozorenja, u ovom slučaju brz.
Dok sam s drugog računala započeo nmap skeniranje prema 1000 najboljih portova, upozorenja su se počela prijavljivati / var / log / snort / alert.
Potpuni test upozorenja:
hrkanje -c / itd / hrkanje / hrkanje.conf -q -A puna
Gdje:
frknuti= poziva program
-c= put do konfiguracijske datoteke, u ovom slučaju zadane (/ etc / snort / snort.conf)
-q= sprječava hrkanje da prikazuje početne informacije
-A= definira način upozorenja, u ovom slučaju pun.
Kao što vidite, izvješće daje dodatne informacije brzom.
Test upozorenja konzole:
S testom upozorenja na konzoli dobit ćemo ispisana upozorenja na konzoli za ovo pokretanje
hrkanje -c / itd / hrkanje / hrkanje.conf -q -Konzola
Gdje:
frknuti= poziva program
-c= put do konfiguracijske datoteke, u ovom slučaju zadane (/ etc / snort / snort.conf)
-q= sprječava hrkanje da prikazuje početne informacije
-A= definira način upozorenja, u ovom slučaju konzola.
Kao što vidite, tiskani podaci bliži su brzom upozorenju nego potpunom.
Cmg test upozorenja:
Sada uzmimo izvješće u konzoli s informacijama o cjelovitom izvješću i još mnogo toga. Ovaj način rada razvijen je u svrhu testiranja i ne bilježi rezultate.
hrkanje -c / itd / hrkanje / hrkanje.conf -q -A cmg
Gdje:
frknuti= poziva program
-c= put do konfiguracijske datoteke, u ovom slučaju zadane (/ etc / snort / snort.conf)
-q= sprječava hrkanje da prikazuje početne informacije
-A= definira način upozorenja, u ovom slučaju cmg.
Da bi upozorenje za otključavanje funkcioniralo, morat ćete ga integrirati u program ili dodatak treće strane.
Snortov zadani način upozorenja je puni način rada, ako vam nisu potrebne dodatne informacije o brzom, tada bi brzi način povećao performanse.
Nadam se da je ovaj vodič pomogao razumjeti Snort-ove načine upozorenja.