Δικτύωση

* Γνώση Υπολογιστών >> Δικτύωση >> Ασφάλεια Δικτύων

Πώς να δημιουργήσετε ένα κανόνα Snort Ορισμός

Snort είναι μια δωρεάν εφαρμογή δικτύου ανίχνευσης εισβολής και πρόληψης για το λειτουργικό σύστημα Linux . Snort διαθέτει μια ενσωματωμένη μηχανή που σας επιτρέπει να γράψετε τους δικούς σας κανόνες , χρησιμοποιώντας μια εξειδικευμένη γλώσσα . Οι κανόνες Snort αποτελείται από δύο μέρη : η κεφαλίδα και τις επιλογές . Κανόνες ακολουθούν ένα βασικό μοτίβο : Ένα εισερχόμενο πακέτο δεδομένων εξετάζεται και δοκιμάζεται από τις ιδιαιτερότητες των κανόνων . Αν ικανοποιείται μια συνθήκη - αν το πακέτο είναι από μια συγκεκριμένη διεύθυνση , για παράδειγμα - μια ενέργεια. Μπορείτε να χρησιμοποιήσετε αυτό το βασικό μοτίβο για να δημιουργήσετε τους δικούς σας κανόνες Snort . Οδηγίες
Η 1

Εξοικειωθείτε με τη γενική μορφή ενός κανόνα Snort . Ένας κανόνας μοιάζει με αυτό :

πρωτόκολλο δράσης address0_IP κατεύθυνση address0_port address1_ip address1_port ( επιλογές ) 2

Αποφασίστε ποια "δράση " που θα θέλατε το κράτος να λάβει . Το πεδίο " δράσης " καθορίζει τι επιτυγχάνει πραγματικά ο κανόνας . Η " log" δράση, για παράδειγμα , απλά καταγράφει το συμβάν δικτύου . Το «σήμα» δράση στέλνει ένα μήνυμα που καθορίζεται από το αρχείο ρυθμίσεων του Snort ή στέλνει ένα μήνυμα στη γραμμή εντολών . Ανατρέξτε στην τεκμηρίωση του Snort για τον πλήρη κατάλογο των αποδεκτών ενεργειών .
Εικόνων 3

Αποφασίστε ποιο πρωτόκολλο σας, στην οποία θέλετε να εφαρμοστεί ο κανόνας . Το «πρωτόκολλο» πεδίο αυτό αναφέρεται στο πρωτόκολλο δικτύου που χρησιμοποιείται από το πακέτο δεδομένων , το οποίο μπορεί να είναι IP , ICMP , TCP ή UDP .
Η

4 Καθορίστε την κατεύθυνση του κανόνα . Η « κατεύθυνση » λέει πεδίο Snort που η διεύθυνση είναι η πηγή του πακέτου και το οποίο είναι ο προορισμός . Για παράδειγμα , τοποθετώντας την ακολουθία χαρακτήρων " - > " στο πεδίο προορισμού , " address0_IP " είναι η διεύθυνση IP προέλευσης του πακέτου δεδομένων , ενώ το " address1_IP " είναι ο προορισμός του πακέτου
5

. Γράψτε μια κανόνα Snort που προειδοποιεί το πρόγραμμα όποτε κίνηση από μια συγκεκριμένη διεύθυνση έχει εντοπιστεί. Ας υποθέσουμε ότι αυτή η κίνηση χρησιμοποιεί το πρωτόκολλο TCP και προέρχεται από τη διεύθυνση 192.168.2.99 . Χρησιμοποιώντας τη λέξη « κάθε », μπορείτε να συμπληρώσετε στο λιμάνι και τη διεύθυνση πεδία για τον προορισμό των δεδομένων . Ο ακόλουθος κανόνας Snort δημιουργεί ένα μήνυμα κάθε φορά που ανιχνεύεται κίνηση από αυτή τη διεύθυνση :

tcp συναγερμού 192.168 . 2.99 οποιοδήποτε - > οποιαδήποτε τυχόν ( msg : " . Κυκλοφορίας από 192.168 2,99 " ;)
Η
εικόνων

Συναφής σύστασή

Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα