Описание и изучение IDS приложения Snort
Курсовой проект - Компьютеры, программирование
Другие курсовые по предмету Компьютеры, программирование
ии других ключей. В таблице указаны возможные ключи режима анализа пакетов.
Таблица.1.1. Опции режима анализа пакетов
ОпцияОписание-vВыдает на экран заголовки пакетов TCP/IP в сети Ethernet-dАналогично предыдущей опции, но отображаются также данные прикладного уровня-eАналогично предыдущей опции, но выдаются также заголовки канального уровня
Рассмотрим пример использования этого режима на практике и введем команду:
"Snort -vde -i3", где -i3 -номер интерфейса с которого следует считывать пакеты. Snort начинает быстро передавать на командную строку множество пакетов, что бы отключить режим нажмите "ctrl+x".
Рис. 1.3. Режим анализа пакетов
На рисунке изображена достаточно подробная информация заложенная в пакете, а именно информация канального и прикладного уровня.
.3 Режим протоколирования пакетов
Режим подобный анализатору. Единственная отличительная черта, это занесения информации на свободное место жесткого диска.Snort протоколирует информацию о пакетах, которые были перехвачены и обработаны согласно требованиям введенных ключей администратора. Чтобы запустить Snort в режиме протоколирования, следует ввести аналогичные ключи, такие как в режиме анализа(-v ,d, e ), и дополнительный ключ -l, задающего маршрутное имя каталога логов, в которые Snort будет записывать пакеты.
snort -vde -l /snort/log/
Эта команда создаст файлы журналов в каталоге /snort/log/. Убедитесь, что указанный каталог существует, иначе программа не будет загружаться правильно. Так как приложение фиксирует абсолютно все перехваченные пакеты со всех возможных IP адресов, такое может происходить в сети большой организации, можно сузить диапазон. Это делается с помощью команды -h HOME_NET, где HOME_NET - диапазон IP -адресов локальной сети в нотации с косой чертой, за которой следует префикс сети. В этом случае Snort будет помещать пакеты в каталоги на основе нелокального IP-адреса в пакете, что позволяет легко распознавать "не местный" трафик. Если оба хоста, целевой и исходный, являются локальными, Snort помещает пакет в каталог, соответствующий стороне с большим номером порта, как бы отдавая предпочтение подключающемуся хосту перед серверным. В случае равенства номеров портов Snort по умолчанию использует исходный адрес в качестве каталога для размещения данных пакета. Сейчас это может показаться несущественным, но если протоколировать сигналы о вторжении, важно быстро определить, откуда исходит подозрительный трафик.
Учитывая приведенные соображения, командной строке для режима протоколирования пакетов целесообразно придать следующий вид:
snort -vde -l /snort/log/ -h 192.168.1.0/24
Тем самым внутренняя сеть задается диапазоном 192.168.1.1-254.
Можно также применить опцию -b для протоколирования всех данных в одном бинарном файле, пригодном для последующего чтения с помощью анализатора пакетов. При протоколировании с опцией -b нет необходимости определять домашнюю сеть, так как данные будут записываться последовательно в один большой файл. Этот метод намного быстрее для протоколирования работы активно используемых сетей или на медленных машинах. Он также облегчает анализ с помощью более развитых средств, которые приходится применять при просмотре больших объемов перехваченных сетевых данных.
1.4 Режим обнаружения вторжений
Данный режим используется для фиксирования подозрительных и вредных пакетов, с последующим занесением в лог Snortа. Отличительная особенность данного режима заключается в добавлении ключа -с , который определяет путь до конфигурационного файла Snort. В этом файле содержится самая важная и нужная информация, которая используется для редактирования работы приложения. Там указываются адреса сети, которую следует протоколировать и искать вторжения, подключаемые порты, разрешенные файлы правил пути к базам данных куда можно будет заносить данные работы Snort. Так же многочисленные тонкие настройки конфигурации.
snort -de -l /snort/log -h 192.168.1.0/24 -c /snort/etc/snort.conf
мы запустим Snort в режиме обнаружения вторжений с использованием подразумеваемого конфигурационного файла snort.conf.
1.5 Режимы сигнализации Snort
При протоколировании пакетов, вызывающих сигналы тревоги, необходимо выбрать подходящий уровень детализации и формат "тревожных" данных. В табл. 2 перечислены опции, которые можно задавать в командной строке после ключа -A.
Таблица 1.2. Опции режима сигнализации Snort
ОпцияОписание-A fullПолная информация о сигнале, включая прикладные данные. Это подразумеваемый режим сигнализации. Он будет использоваться при отсутствии спецификаций-A fastБыстрый режим. Протоколируются только заголовки пакетов и тип сигналов. Это полезно в очень быстрых сетях, но если требуется дополнительная судебная информация, необходимо использовать опцию full-A unsockПосылает сигнал в UNIX-сокет с указанным номером, на котором может слушать другая программа-A noneОтключает сигналы тревоги
Эти опции следует конфигурировать во время компиляции при помощи ключей инструкции configure. К примеру, попробуем прописать создание файла в который будут заноситься враждебные пакеты или подозрительные. В файле конфигурации создадим строку в месте где прописывается "Step 6 : Output", и дописываем строчку "output alert_fast : alert.ids", сохраняем и запускаем в режиме обнаружения или сигнализации, в папке \snort\log\alert.ids теперь будут записываться данные о подозрительных пакетах. Можно также вписат