Phenquestions
In deze tutorial worden de waarschuwingsmodi van Snort uitgelegd om Snort te instrueren om op 5 verschillende manieren over incidenten te rapporteren (de "geen waarschuwing" modus negerend), snel, vol, console, cmg en unsock.
Als je de bovengenoemde artikelen niet hebt gelezen en geen eerdere ervaring hebt met snort, ga dan aan de slag met de tutorial over Snort-installatie en -gebruik en ga verder met het artikel over regels voordat je verder gaat met deze lezing. Deze tutorial gaat ervan uit dat Snort al actief is.
Laten we zeggen dat Snort 6 waarschuwingsmodi heeft:
Snel: in deze modus rapporteert Snort het tijdstempel, waarschuwingsbericht, IP-bronadres en poort en bestemmings-IP-adres en poort. (-Een snelle)
vol: naast de snelle moduswaarschuwing omvat de volledige modus: TTL, IP-pakket en IP-headerlengte, service, ICMP-type en volgnummer. (-Een volle)
Troosten: drukt snelle waarschuwingen af in de console. (-een console)
Cmg: Dit formaat is ontwikkeld door Snort voor testdoeleinden, het drukt een volledige waarschuwing af op de console zonder rapporten op logs op te slaan. (-een cmg)
Uitkleden: rapport exporteren naar andere programma's via Unix Socket. (-een unsock)
Geen: Snort genereert geen waarschuwingen. (-een geen)
Alle waarschuwingsmodi worden voorafgegaan door a -EEN wat is de parameter voor waarschuwingen. Waarschuwingen worden opgeslagen in het logboek /var/log/snort/waarschuwing. De standaardregels van Snort kunnen onregelmatige activiteiten detecteren, zoals het scannen van poorten. Laten we elke waarschuwingsmodus testen:
Snelle waarschuwingstest:
snort -c /etc/snort/snort.conf -q -A snel
Waar:
snuiven= roept het programma op
-c= pad naar configuratiebestand, in dit geval de standaard (/etc/snort/snort.conf)
-q= voorkomt dat snort de eerste informatie weergeeft
-EEN= definieert de waarschuwingsmodus, in dit geval snel.
Terwijl ik vanaf een andere computer een nmap-scan begon tegen de top 1000 poorten, begon ik te loggen op /var/log/snort/waarschuwing.
Volledige waarschuwingstest:
snuiven -c /etc/snort/snort.conf -q -A vol
Waar:
snuiven= roept het programma op
-c= pad naar configuratiebestand, in dit geval de standaard (/etc/snort/snort.conf)
-q= voorkomt dat snort de eerste informatie weergeeft
-EEN= definieert de waarschuwingsmodus, in dit geval vol.
Zoals u ziet, geeft het rapport aanvullende informatie aan het snelle rapport.
Console-waarschuwingstest:
Met de console-waarschuwingstest krijgen we waarschuwingen afgedrukt in de console, voor deze run
snuiven -c /etc/snort/snort.conf -q -A console
Waar:
snuiven= roept het programma op
-c= pad naar configuratiebestand, in dit geval de standaard (/etc/snort/snort.conf)
-q= voorkomt dat snort de eerste informatie weergeeft
-EEN= definieert de waarschuwingsmodus, in dit geval console.
Zoals u ziet, lijkt de afgedrukte informatie meer op een snelle waarschuwing dan op een volledige.
Cmg-waarschuwingstest:
Laten we nu een rapport in de console krijgen met de informatie van een volledig rapport en meer. Deze modus is ontwikkeld voor testdoeleinden en registreert geen resultaten.
snuiven -c /etc/snort/snort.conf -q -A cmg
Waar:
snuiven= roept het programma op
-c= pad naar configuratiebestand, in dit geval de standaard (/etc/snort/snort.conf)
-q= voorkomt dat snort de eerste informatie weergeeft
-EEN= definieert de waarschuwingsmodus, in dit geval cmg.
Om de unsock-waarschuwing te laten werken, moet u deze integreren in een programma of plug-in van een derde partij.
De standaard waarschuwingsmodus van Snort is de volledige modus, als u de aanvullende informatie van een snelle niet nodig heeft, zou een snelle modus de prestaties verbeteren.
Ik hoop dat deze tutorial heeft geholpen om de waarschuwingsmodi van Snort te begrijpen.
