Phenquestions
Selles õpetuses selgitatakse Snorti hoiatusrežiime, et anda Snortile ülesandeks teatada juhtumitest viiel erineval viisil (ignoreerides režiimi „Hoiatus puudub”), kiirelt, täis, konsool, cmg ja lukust lahti.
Kui te ei lugenud ülalnimetatud artikleid ja teil pole varasemat kogemust norskamise kohta, alustage enne selle loengu jätkamist juhendamise teemal "Snort" installimine ja kasutamine. Selles õpetuses eeldatakse, et teie snort juba töötab.
Olgu öeldud, et Snortil on 6 hoiatusrežiimi:
Kiire: selles režiimis teatab Snort ajatemplist, hoiatusteate, IP-allika aadressi ning pordi ja sihtkoha IP-aadressi ja pordi. (-Kiire)
Täis: lisaks kiirrežiimi hoiatusele sisaldab täisrežiim: TTL-i, IP-paketti ja IP-päise pikkust, teenust, ICMP-tüüpi ja järjekorranumbrit. (-Täis)
Konsool: prindib konsoolis kiireid teateid. (-Konsool)
Cmg: Selle vormingu on Snort arendanud testimise eesmärgil, see prindib konsoolile täieliku märguande ilma aruandeid logidesse salvestamata. (-Cm)
Sokk: eksportige aruanne Unix Socket'i kaudu teistesse programmidesse. (-Sokk)
Puudub: Snort ei genereeri hoiatusi. (-Ei ühtegi)
Kõigile häirerežiimidele eelneb a -A mis on hoiatuste parameeter. Hoiatused salvestatakse logisse / var / log / snort / alert. Snort vaikereeglid suudavad tuvastada ebaregulaarset tegevust, näiteks pordi skannimist. Testime igat häirerežiimi:
Kiire hoiatustest:
nurruma -c / etc / nurruma / nurruma.conf -q -A kiiresti
Kus:
nurruma= kutsub programmi
-c= tee konfigureerimisfaili juurde, antud juhul vaikimisi (/ etc / snort / snort.konf)
-q= takistab nurrumisel esialgse teabe kuvamist
-A= määratleb häirerežiimi, antud juhul kiire.
Kui teisest arvutist alustasin nmap-skannimist 1000 populaarseima pordi kohta, hakati logima / var / log / snort / alert.
Täielik hoiatustesti:
nurruma -c / etc / nurruma / nurruma.conf -q -A täis
Kus:
nurruma= kutsub programmi
-c= tee konfigureerimisfaili juurde, antud juhul vaikimisi (/ etc / snort / snort.konf)
-q= takistab nurrumisel esialgse teabe kuvamist
-A= määratleb hoiatusrežiimi, antud juhul täis.
Nagu näete, annab aruanne kiirele lisateavet.
Konsooli hoiatustesti:
Konsooli hoiatustesti abil saadame selle jooksu jaoks konsoolis märguanded
nurruma -c / etc / nurruma / nurruma.conf -q -A konsool
Kus:
nurruma= kutsub programmi
-c= tee konfigureerimisfaili juurde, antud juhul vaikimisi (/ etc / snort / snort.konf)
-q= takistab nurrumisel esialgse teabe kuvamist
-A= määratleb häirerežiimi, antud juhul konsooli.
Nagu näete, on trükitud teave kiirele märguandele lähemal kui täielik.
Cmg alarmi test:
Nüüd saame konsooli aruande koos täieliku aruande ja muuga. See režiim töötati välja testimise eesmärgil ja tulemusi ei logita.
nurruma -c / etc / nurruma / nurruma.conf -q -A cmg
Kus:
nurruma= kutsub programmi
-c= tee konfigureerimisfaili juurde, antud juhul vaikimisi (/ etc / snort / snort.konf)
-q= takistab nurrumisel esialgse teabe kuvamist
-A= määratleb häirerežiimi, antud juhul cmg.
Et sokiteatis töötaks, peate selle integreerima kolmanda osapoole programmi või pistikprogrammiga.
Snorti vaikehoiatusrežiim on täisrežiim, kui te ei vaja kiiret lisateavet, suurendaks kiirrežiim jõudlust.
Loodan, et see õpetus aitas mõista Snorti häirerežiime.
