Schnupfenbenachrichtigungen

Zuvor in LinuxHint haben wir Artikel veröffentlicht, die gezeigt haben, wie man mit Snort beginnt und wie man Snort -Regeln erstellt.

Dieses Dokument beschreibt Snort -Warnmodi und wie man sie verwaltet.

Alle praktischen Beispiele in diesem Tutorial enthalten Screenshots, damit Benutzer sie leicht verstehen können.”

Einführung in Snort -Alarmmodi

Snort -Warnungen sind anomaler Netzwerkverkehr und verdächtige Verbindungsberichterstattung. Standardmäßig werden Warnungen unter dem gespeichert /var/log/snort Verzeichnis.

Es gibt 7 verfügbare Warnmodi, die Sie bei der Ausführung von Schnauben angeben können, die unten aufgeführt sind:

• Schnell: Senden Sie im schnellen Modus im schnellen Modus den Zeitstempel, senden Sie eine Warnmeldung, zeigen. Dieser Modus wird unter Verwendung der unterrichtet -Ein schneller Flagge.
• Voll: Zusätzlich zu den im schnellen Modus gedruckten Informationen zeigt der vollständige Modus die TTL, die Paketheader und die Datagrammlänge, den Service, den ICMP -Typ, die Fenstergröße, die ACK und die Sequenznummer an. Der volle Modus ist mit dem definiert -Ein voller Flag, aber dies ist der Standard -Warnmodus.
• Konsole: druckt schnelle Warnungen in der Konsole. Dieser Modus wird mit dem implementiert -Eine Konsole Flagge.
• CMG: Dieser Warnmodus wurde durch Snort zu Testzwecken entwickelt. Es druckt eine vollständige Warnung auf der Konsole, ohne Protokolle zu speichern. Der Modus wird mit dem implementiert -Ein CMG Flagge.
• Unock: Dies ist nützlich, um Warnberichte über Unix -Sockets in andere Programme zu exportieren. Der Unsock -Modus wird mit dem implementiert -A FLAGE UNSOCK.
• Syslog: Im Syslog -Modus (Systemprotokollprotokoll) sendet Snort Alert -Protokolle remote. Dieser Modus wird implementiert, indem das Hinzufügen der -S Flagge.
• Keiner: In diesem Modus erzeugt Snort keine Warnungen.

Dieser Artikel konzentriert sich auf schnell, voll, Konsole Und CMG Modi einschließlich Ausgangsanalyse.

Schnupfen Sie den schnellen Modus -Warnungen

Der folgende Befehl führt Schnauben mit schnellen Warnungen aus, wo Schnauben ruft das Programm an; Die -C Die Flagge zeigt das Schnauben an.Conf -Datei, -Q weist eine ruhige Berichterstattung an (ohne Banner und erste Informationen zu drucken) und -A bestimmt den Alarmtyp in diesem Fall schnell.

sudo sinkt -c/etc/schnitzt/schnaubend.conf -q -a schnell

NOTIZ: Für dieses Tutorial werde ich einen aggressiven Fingerabdruckscan mit der Weihnachtstechnik von einem anderen Computer starten, um zu zeigen, wie Schnauben reagiert und Berichte reagiert. Der Befehl zum Weihnachts -Scan ist unten angezeigt.

sudo nmap -v -st -o 192.168.0.103

Warnungen werden unter gespeichert /var/log/snort. Bei schnellen Warnungen lautet die korrekte Protokolldatei /var/log/snort/snort.Alarm.schnell.

Um die Warnung zu lesen, führen Sie den folgenden Befehl aus.

Schwanz/var/log/schnaub/schnaubend.Alarm.schnell

Wie Sie im Screenshot unten sehen können, ist die schnelle Ausgabe ziemlich einfach. Zunächst erkennt es ein verdächtiges ICMP -Paket, das von NMAP verwendet wird, um das Ziel zu erkennen. Dann erkennt es eingehende Verkehr an SSH- und SNMP -Protokollen, die von NMAP verwendet werden, um offene Ports zu entdecken.

Die gemeldeten Informationen umfassen die Vorfallzeit und die Typ-, Quell- und Ziel -IP -Adressen, das Protokoll, die beteiligten Dienste und die Priorität.

Notiz: Da der Schnitzerausgang zu lang ist, habe ich es in zwei Screenshots unterteilt.

Nachdem Snort die ersten Informationen zu den Scan -Eigenschaften gesammelt hat, erkennt er schließlich, dass es sich um einen Weihnachts -Scan handelt.

Wie oben gezeigt, gibt der Fast-Scan die benutzerfreundlichste Ausgabe zurück, wobei die Einfachheit beibehalten wird.

Schnupfen Sie die vollständigen Modus -Warnungen

Offensichtlich gibt die vollständige Modus -Warnungen die vollständige Ausgabe zurück. Es ist wichtig zu klären, dass der volle Modus der Standardmodus ist und die Protokolldatei ist /var/log/snort/alarm. Um die vollständigen Warnungen zu lesen, führen Sie den Befehl weniger aus /var/log/snort/alarm.

Für dieses Beispiel werde ich Schnauzen mit einer vollständigen Alarmbereitschaft starten, und dann hat der gleiche Weihnachts -Scan den im vorherigen Abschnitt dieses Tutorial erläuterten Scans gezeigt.

Alle verwendeten Flags sind die gleichen wie im vorherigen Beispiel. Der einzige Unterschied ist der definierte Vollmodus.

sudo sinkt -c/etc/schnitzt/schnaubend.conf -q -a voll

Wie Sie im folgenden Bild sehen können, wird in der Erkennungsphase der ICMP -Pakete die vollständige Alarmausgabe auch TTL, Paketkopflänge (IPLEN) und Datagrammlänge (DGMlen) zurückgegeben, einschließlich der im schnellen Scan gedruckten Informationen.

Notiz: Da die Schnitzerausgabe in diesem Abschnitt zu lang ist, habe ich es in drei Screenshots unterteilt.

Im folgenden Screenshot sehen Sie den Bericht des TCP -Protokolls auch die Sequenznummer, die Bestätigung (ACK), die maximale Segmentgröße (MSS), den Zeitstempel (TS) und die Fenstergröße.

Schließlich erkennt Snort, dass der Verkehr zu einem Weihnachts -Scan gehört.

Wie der schnelle Scan meldet Snort jeden Vorfall und den vollen Verkehrsfortschritt.

Snort -Konsolenmodus -Warnungen

Der Alarm -Konsolenmodus zeigt die Ausgabe in der Konsole an, an der Schnaub ausgeführt wird. Die Syntax ist immer dieselbe; Die einzige Änderung ist die Konsole Spezifikation nach dem -A Flagge.

sudo sinkt -c/etc/schnitzt/schnaubend.conf -q -a -Konsole

Wie Sie im folgenden Screenshot sehen können, wird die Ausgabe in der Konsole angezeigt. Sie müssen keine Protokolle lesen, wenn Sie diesen Modus verwenden.

Im Bild oben sehen Sie den Konsolenmodus zurück, die eine einfache Ausgabe zurückgibt.

Schnupfen Sie den CMG -Alarmmodus

Snort CMG -Warnungen dienen nur zu Testzwecken. CMG -Ausgänge werden in Protokolldateien nicht gespeichert. Die Informationen werden in der Konsole wie bei der Verwendung des Konsolenmodus angezeigt. Bei Verwendung des vollen Modus werden jedoch dieselben Informationen zurückgegeben.

Führen Sie den folgenden Befehl den Befehl unten aus, um Snort im CMG -Alarm -Modus auszuführen.

Notiz: Da die Schnitzerausgabe in diesem Abschnitt zu lang ist, habe ich es in drei Screenshots unterteilt.

sudo sinkt -c/etc/schnitzt/schnaubend.conf -q -a -Konsole

Wie Sie in den folgenden Screenshots sehen werden, ist der Alarmierungsprozess mit früheren Modi der gleiche.

Schließlich wird der Weihnachts -Scan gemeldet, einschließlich aller im vollen Modus zurückgegebenen Informationen.

Hier geht es um die Hauptspannungsmodi. Nachdem Sie dieses und das vorherige Tutorial gelesen haben, um zu erläutern, wie Sie Snort -Regeln konfigurieren und erstellen, die in der Einführung dieses Artikels erwähnt werden, sind Sie bereit, Snort zu implementieren. Bei LinuxHint werden wir weiterhin mehr Wissen über Snort teilen.

Abschluss

Intrusion Detection Systems (IDS) wie Snort ist eine hervorragende Ressource zum Schutz von Netzwerken und Systemen. Wie Sie sehen, ist Snort sehr flexibel und kann an die Benutzerbedürfnisse angepasst werden, indem Sie einfach ein Flag ersetzen. Seine Flexibilität wurde auch in unserem vorherigen Artikel über die Erstellung und das Management der benutzerdefinierten Regeln nachgewiesen. Der Markt bietet viele IDS. Für Benutzer, die wissen, wie Protokolle funktionieren, ist es eine ziemlich leichte Aufgabe und ein guter Prozess, um wichtige Kenntnisse in die Netzwerksicherheit zu integrieren. Es ist erwähnenswert, dass der Umgang mit Snort für jeden Systemadministrator obligatorisch ist. Da IDS den Netzwerkverkehr analysiert, kann dies in Netzwerken unabhängig von Computerbetriebssystemen implementiert werden.

Vielen Dank für das Lesen dieses Dokument. Folgen Sie uns weiter, um weitere Linux- und Schnitzerprofi -Tutorials zu erhalten.