Alertas de bufar

Carl Hintz DDS
Alertas de bufar
“Este tutorial explica como gerenciar modos de alerta do sistema de detecção de intrusões no Linux.

Anteriormente no Linuxhint, publicamos artigos mostrando como começar com o Snort e como criar regras do Snort.

Este documento descreve os modos de alerta do Snort e como gerenciá -los.

Todos os exemplos práticos deste tutorial incluem capturas de tela para os usuários entendê -los facilmente.”

Introdução aos modos de alerta do Snort

Alertas de bufo são tráfego de rede anômala e relatórios de conexões suspeitas. Por padrão, os alertas são armazenados sob o /var/log/snort diretório.

Existem 7 modos de alerta disponíveis que você pode especificar ao executar o Snort, que está listado abaixo:

  • Rápido: Quando estiver no modo rápido, os alertas do SNORT relatam o registro de data e hora, envie uma mensagem de alerta, mostre o endereço IP e a porta de origem e o endereço IP de destino e a porta. Este modo é instruído usando o -Um rápido bandeira.
  • Completo: Além das informações impressas no modo Fast, o modo completo mostra o TTL, cabeçalhos de pacotes e comprimento do datagrama, serviço, tipo ICMP, tamanho da janela, ACK e número de sequência. O modo completo é definido com o -Um cheio bandeira, mas este é o modo de alertas padrão.
  • Console: Imprime alertas rápidos no console. Este modo é implementado com o -Um console bandeira.
  • Cmg: Este modo de alertas foi desenvolvido pela Snort para fins de teste; Ele imprime um alerta completo no console sem salvar toras. O modo é implementado com o -A CMG bandeira.
  • Unsking: Isso é útil para exportar relatórios de alertas para outros programas através de soquetes Unix. O modo Unsking é implementado usando o -A bandeira unsking.
  • Syslog: No modo syslog (protocolo de log do sistema), o snort envia logs de alerta remotamente; Este modo é implementado adicionando o -s bandeira.
  • Nenhum: Com este modo, o Snort não gera alertas.

Este artigo se concentra em Rápido, cheio, console e cmg modos, incluindo análise de saída.

Alertas de modo rápido

O comando a seguir executa bufo com alertas rápidos, onde bufo chama o programa; o -c Bandeira indica o bufo.arquivo conf, -q instrui um relatório silencioso (sem imprimir banner e informações iniciais) e -A determina o tipo de alerta, neste caso, rápido.

sudo jort -c/etc/snort/snort.conf -q -um rápido

OBSERVAÇÃO: Para este tutorial, lançarei uma digitalização agressiva de impressão digital usando a técnica de Natal de um computador diferente para mostrar como o Snort reage e relata. O comando de varredura de Natal é mostrado abaixo.

sudo nmap -v -st -o 192.168.0.103

Alertas são armazenados em /var/log/snort. No caso de alertas rápidos, o arquivo de log correto é /var/log/snort/snort.alerta.rápido.

Portanto, para ler o alerta, execute o seguinte comando.

cauda/var/log/snort/snort.alerta.rápido

Como você pode ver na captura de tela abaixo, a saída rápida é bem simples. Primeiro, ele detecta um pacote ICMP suspeito usado pelo NMAP para detectar o alvo. Em seguida, detecta o tráfego de entrada para os protocolos SSH e SNMP usados ​​pelo NMAP para descobrir portas abertas.

Informações relatadas incluem o tempo e o tipo de incidente, endereços IP de origem e destino, protocolo, serviços envolvidos e prioridade.

Observação: Como a saída do bufo é muito longa, eu a dividi em duas capturas de tela.

Depois de coletar informações iniciais sobre as características da varredura, o Snort finalmente percebe que é uma varredura de Natal.

Como mostrado acima, a varredura rápida retorna a saída mais amigável, mantendo a simplicidade.

Alertas de modo total do bufante

Evidentemente, os alertas de modo completo retornarão a saída completa. É importante esclarecer que o modo completo é o modo padrão e o arquivo de logs é /var/log/snort/alerta. Portanto, para ler alertas completos, execute o comando menos /var/log/snort/alerta.

Para este exemplo, lançarei o Snort com um alerta completo e, em seguida, a mesma varredura de Natal mostrou o explicado na seção anterior deste tutorial.

Todos os sinalizadores usados ​​são os mesmos do exemplo anterior; A única diferença é o modo completo definido.

sudo jort -c/etc/snort/snort.conf -q -a completo

Como você pode ver na imagem a seguir, na fase de detecção de pacotes ICMP, a saída de alerta completa também retorna TTL, comprimento do cabeçalho do pacote (Iplen) e datagrama (DGMLEN), incluindo as informações impressas na varredura rápida.

Observação: Como a saída do bufo é muito longa, nesta seção, eu a dividi em três capturas de tela.

Na captura de tela abaixo, você pode ver o relatório do protocolo TCP também mostra o número da sequência, o reconhecimento (ACK), o tamanho máximo do segmento (MSS), o timestamp (TS) e o tamanho da janela.

Finalmente, Snort percebe que o tráfego pertence a uma varredura de Natal.

Como a varredura rápida, o Snort relatará todos os incidentes e o progresso total do tráfego.

Alertas do modo de console de bufo

O modo de console de alertas exibe a saída no console onde o bufga é executado. A sintaxe é sempre a mesma; A única mudança é o console Especificação após o -A bandeira.

sudo jort -c/etc/snort/snort.conf -q -a console

Como você pode ver na captura de tela abaixo, a saída é mostrada no console; Você não precisa ler logs ao usar este modo.

Na imagem acima, você pode ver o modo de console retorna uma saída simples.

Modo de alerta cmg bufante

Os alertas do Snort CMG são apenas para fins de teste. As saídas CMG não são salvas nos arquivos de log. As informações são mostradas no console, como o uso do modo de console, mas retorna as mesmas informações retornadas ao usar o modo completo.

Para executar o bufante no modo de alerta CMG, execute o comando abaixo.

Observação: Como a saída do bufo é muito longa, nesta seção, eu a dividi em três capturas de tela.

sudo jort -c/etc/snort/snort.conf -q -a console

Como você verá nas capturas de tela abaixo, o processo de alerta é o mesmo que nos modos anteriores.

Finalmente, a varredura de Natal é relatada, incluindo todas as informações retornadas no modo completo.

Isso é tudo sobre os principais modos de alerta do bufo. Depois de ler este e o tutorial anterior, explicando como configurar e criar regras do Snort mencionadas na introdução deste artigo, você estará pronto para implementar o Snort. Na Linuxhint, continuaremos compartilhando mais conhecimento sobre bufo.

Conclusão

Sistemas de detecção de intrusões (IDs) como o Snort é um excelente recurso para proteger redes e sistemas. Como você pode ver, o Snort é muito flexível e pode ser adaptado às necessidades do usuário apenas substituindo uma bandeira. Sua flexibilidade também foi comprovada em nosso artigo anterior sobre criação e gerenciamento de regras personalizadas. O mercado oferece muitas alternativas de IDs como o Assec, mas o Snort continua sendo um dos mais populares entre os administradores do sistema. Para os usuários que sabem como os protocolos funcionam, aprender e implementar o Snort é uma tarefa muito fácil e um processo agradável para incorporar um conhecimento importante sobre a segurança da rede. Vale a pena mencionar que lidar com o Snort é obrigatório para cada administrador de sistemas. Como o IDS analisa o tráfego de rede, isso pode ser implementado em redes independentemente dos sistemas operacionais de computadores.

Obrigado por ler este documento explicando como executar o bufo com diferentes modos de alerta e como entender seus resultados. Continue nos seguindo para mais tutoriais profissionais do Linux e Snort.

Programação Bash
Como consertar - comando bash pip não encontrado
O...
Benny Hilll DDS
Debian
Como configurar o servidor da web do Apache no Debian
Para configurar o Apache Web Server no Debian, instalar e configurar o servidor Apache e configurar ...
Rickey Greenholt
C nítido
Qual é o modificador de substituição em C#
O modificador de substituição é usado em C# para fornecer uma nova implementação para um método ou p...
Benny Hilll DDS
Sqlite
Como usar o aplicativo da Web do Viewer SQLite
Carl Hintz DDS
JavaScript
Como usar a propriedade Mouseevent Screenx em JavaScript
Benny Hilll DDS
AWS
Como usar o ciclo de vida da instância na AWS?
Evan Mueller
Banco de dados Oracle
Qual é o objetivo do Oracle Cerner?
Benny Hilll DDS
JavaScript
Como o TypeScript é diferente de JavaScript?
Marlon Bernhard
Docker
Como fazer login no Docker via prompt de comando?
Evan Mueller
C Programação
Como imprimir um endereço de uma variável na programação C?
Shaun Bogan
C Programação
O que são cordas na programação C?
Orlando Green
C nítido
Qual é a diferença entre classe e objeto em C#
Mr. Warren Cummerata
C ++
O que é endereço de memória em C ++ e como encontrá -lo?
Bryant Rowe Sr.