Šajā apmācībā Snort trauksmes režīmi tiks paskaidroti, lai norādītu Snort ziņot par incidentiem 5 dažādos veidos (ignorējot režīmu “Nav brīdinājuma”), ātri, pilnībā, konsolē, cmg un atbloķēt.
Ja jūs nelasījāt iepriekš minētos rakstus un jums nav iepriekšējas pieredzes ar krākšanu, lūdzu, sāciet ar pamācību par šņākšanas instalēšanu un lietošanu un turpiniet rakstu par noteikumiem pirms šīs lekcijas turpināšanas. Šajā apmācībā tiek pieņemts, ka Snort jau darbojas.
Pieņemsim, ka Snortam ir 6 trauksmes režīmi:
Ātri: šajā režīmā Snort ziņos par laika zīmogu, brīdinājuma ziņojumu, IP avota adresi un portu un galamērķa IP adresi un portu. (-Ātri)
Pilns: papildus ātrā režīma brīdinājumam pilnā režīmā ietilpst: TTL, IP paketes un IP galvenes garums, pakalpojums, ICMP tips un kārtas numurs. (-Pilns)
Konsole: konsolē izdrukā ātrus brīdinājumus. (-Konsole)
Cmg: Šo formātu Snort izstrādāja testēšanas vajadzībām, tas konsolē izdrukā pilnu brīdinājumu, nesaglabājot pārskatus žurnālos. (-Cmg)
Zeķe: eksportēt pārskatu uz citām programmām, izmantojot Unix Socket. (-Zeķe)
Nav: Snort neradīs brīdinājumus. (-Neviens)
Pirms visiem trauksmes režīmiem ir a -A kas ir brīdinājumu parametrs. Brīdinājumi tiek saglabāti žurnālā / var / log / snort / alert. Snort noklusējuma kārtulas var atklāt neregulāras darbības, piemēram, ostu skenēšanu. Pārbaudīsim katru trauksmes režīmu:
Ātrs trauksmes tests:
šņākt -c / etc / šņākt / šņākt.conf -q -Ātri
Kur:
šņākt= izsauc programmu
-c= ceļš uz konfigurācijas failu, šajā gadījumā noklusējuma (/ etc / snort / snort.konf)
-q= neļauj šņākšanai parādīt sākotnējo informāciju
-A= nosaka trauksmes režīmu, šajā gadījumā ātru.
Kamēr no cita datora es sāku nmap skenēšanu pret 1000 lielāko ostu brīdinājumiem, sāka reģistrēties / var / log / snort / alert.
Pilns trauksmes tests:
šņākt -c / etc / šņākt / šņākt.conf -q -A pilns
Kur:
šņākt= izsauc programmu
-c= ceļš uz konfigurācijas failu, šajā gadījumā noklusējuma (/ etc / snort / snort.konf)
-q= neļauj šņākšanai parādīt sākotnējo informāciju
-A= definē trauksmes režīmu, šajā gadījumā pilnu.
Kā redzat, ziņojums sniedz papildinformāciju ātrajam.
Konsoles brīdinājuma tests:
Veicot konsoles brīdinājuma testu, mēs saņemsim brīdinājumus konsolē par šo darbību
šņākt -c / etc / šņākt / šņākt.conf -q -A konsole
Kur:
šņākt= izsauc programmu
-c= ceļš uz konfigurācijas failu, šajā gadījumā noklusējuma (/ etc / snort / snort.konf)
-q= neļauj šņākšanai parādīt sākotnējo informāciju
-A= nosaka trauksmes režīmu, šajā gadījumā konsoli.
Kā redzat, drukātā informācija ir tuvāka ātrai brīdināšanai nekā pilnīgai.
Cmg trauksmes tests:
Tagad saņemsim konsolē ziņojumu ar pilnu pārskatu un citu informāciju. Šis režīms tika izstrādāts testēšanas vajadzībām, un tā nereģistrē rezultātus.
šņākt -c / etc / šņākt / šņākt.konf -q -A cmg
Kur:
šņākt= izsauc programmu
-c= ceļš uz konfigurācijas failu, šajā gadījumā noklusējuma (/ etc / snort / snort.konf)
-q= neļauj šņākšanai parādīt sākotnējo informāciju
-A= nosaka trauksmes režīmu, šajā gadījumā cmg.
Lai atbloķēšanas brīdinājums darbotos, tas jāintegrē trešās puses programmā vai spraudnī.
Snort noklusējuma trauksmes režīms ir pilns režīms, ja jums nav nepieciešama papildu informācija par ātru, tad ātrs režīms palielinātu veiktspēju.
Es ceru, ka šī apmācība palīdzēja saprast Snort trauksmes režīmus.