Snort 2.9.7 Формирование правил

Рассмотрим добавление правила Snort на примере Icmp.

 

 

• Для начала определим ip адрес и сетевой интерфейс :

# ifconfig

• Выполним запись в конфиге :

# sudo gedit /etc/snort/snort.conf

• Приведем строчку ipvar Home_Net к виду ipvar Home_Net 192.168.0.0/21 (в моем случае)

• Нажимаем Save и закрываем файл.

• Проверим наличие тревог :

# sudo snort -A console -q -c /etc/snort/snort.conf -i ens160

и убедимся в их отсутствии.

• Выполняем добавления правила:

# sudo gedit /etc/snort/rules/local.rules

Прописываем в файле : alert icmp any any -> $HOME_NET any (msg:”Pinguy ne pinguy”; sid:1000001; rev:1; classtype:icmp-event;)

<действие_правила> <протокол>  <порт> <оператор_направления>

 <порт> ([мета_данные] [даные_о_содержимом_пакета]

[данные_в_заголовке] [действие_после_обнаружения])

 

Действия правил делятся на следующие категории:

  1. alert — Создать предупреждение, используя выбранный метод, и передать информацию системе журналирования.
  2. log — Использовать систему журналирования для записи информации о пакете.
  3. pass — Игнорировать пакет.
  4. activate — Использовать другое динамическое правило.
  5. dynamic — После того, как выполнится активное правило, задействуется правило с процедурой журналирования.
  6. drop — Отбросить пакет, используя программный брандмэуер, и передать информацию системе журналирования
  7. sdrop — Отбросить пакет при помощи программного брандмэуера и не использовать систему журналирования.
  8. reject — Используя брандмэуер, отбросить пакет в том случае, если протокол TCP, или же записать в файл журнала сообщение: ICMP порт недоступен, если пакет приходит по протоколу UDP

• Далее пингуем сами себя:

ping 192.168.0.152

• Останавливаем обмен пакетами [ Ctrl + c ]

• Теперь запустим Снорт в IDS моде и укажем показать тревоги:

sudo snort -A console -q -c /etc/snort/snort.conf -i eht160

Увидим наше сообщение, записанное в local.rules

cryptoparty

Cryptography is typically bypassed, not penetrated.

Snort 2.9.7 Формирование правил: 1 комментарий

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40