180
Ushbu bo'limda SNORT tushunchalari va buyruqlarini
batafsil muhokama
qilinadi. Ushbu vazifa dasturning barcha kalitlarini aks ettiradigan oddiy buyruq
bilan boshlanadi:
root@lord snort -?
Buyruq quyidagilarni beradi:
-*> Snort! <*-
Version 1.7
By Martin Roesch (roesch@clark.net, www.snort.org)
USAGE: snort [-options]
Options:
-A Set alert mode: fast, full, or none (alert file alerts only)
'unsock' enables UNIX socket logging (experimental).
-a Display ARP packets
-b Log packets in tcpdump format (much faster!)
-c Use Rules File
-C Print out payloads with character data only (no hex)
-d Dump the Application Layer
-D Run Snort in background (daemon) mode
-e Display the second layer header info
-F Read BPF filters from file
-g Run snort gid as 'gname' user or uid after initialization
-h Home network =
-i Listen on interface
-l Log to directory
-n Exit after receiving packets
-N Turn off logging (alerts still work)
-o Change the rule testing order to Pass|Alert|Log
-O Obfuscate the logged IP addresses
-p Disable promiscuous mode sniffing
-P set explicit snaplen [sp? -ed.] of packet (default: 1514)
-q Quiet. Don't show banner and status report
-r Read and process tcpdump file
-s Log alert messages to syslog
Yuqorida aytib o'tilganidek, SNORT uch xil rejimda ishlaydi:
1.
Paketli sniffer rejimi:
Snort ushbu rejimda ishlayotgan bo'lsa, u barcha
tarmoq paketlarini o'qiydi va deshifrlaydi va stdout (ekraningiz)
ga dump hosil
qiladi. Snortni sniffer rejimiga o'tkazish uchun quyidagi kalitdan foydalaniladi:
–v: root @lord]# ./snort –v
181
Shuni esda tutish kerakki, ushbu rejimda faqat paket sarlavhalari ko'rsatiladi.
To'plamning sarlavhasini va mazmunini ko'rish uchun quyidagi buyruq kiritiladi:
root @lord]# ./snort -X
2.
Paketni ro'yxatdan o'tkazish rejimi:
Ushbu rejim paketlarni diskka yozib
oladi va ularni ASCII formatida kodlaydi.
root @lord]# Snort -l < directory to log packets to >
3.
Ruxsatsiz kirishni aniqlash rejimi:
Signal ma'lumotlari aniqlash
mexanizmi tomonidan ro'yxatga olinadi (standart jurnal katalogida "alert" deb
nomlangan fayl, lekin syslog, Winpop xabarlari va boshqalar ham bo’lishi
mumkin).
Standart jurnal katalogi
-/var/log/snort
ko’rinishida bo’ladi, lekin "- l"
kaliti yordamida o'zgartirilishi mumkin. Endi paketni tahlil qilish uchun odatiy
Snort buyrug'i ko'rib chiqiladi:
root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24
Bu yerda C sinfi qismtarmog’ining 192.168.3.0-192.168.3.255 (qismtarmoq
maskasi: 255.255.255.0) oralig'ini ko'rib chiqish lozim. Buning ma'nosini
tushunish uchun yuqoridagi buyruqni batafsil tahlil qilish kerak:
'-v'
: konsol batafsil javob yuboradi.
'-d'
: dekodlangan dastur qatlami ma’lumotlarining borini hosil qiladi
'-e'
: dekodlangan Ethernet sarlavhalarini ko'rsatadi.
'-i'
: paketni tahlil qilish uchun tekshiriladigan interfeysni belgilaydi.
'-h'
: boshqariladigan tarmoqni belgilaydi.
Keyingi misolda Snortda ogohlantirishlar yaratiladi. Snort ogohlantirish
rejimlari uchta asosiy guruhga ega:
a. Tez:
"alert"
fayliga ogohlantirishlarni bitta satrda, xuddi
syslog
singari yozadi.
b. To'liq: To'liq
sarlavha dekodlangan holda
'alert'
faylini yuborish uchun
ogohlantirishlarni yozadi.
v. None: - ogohlantirish bermaydi, so'ngra buyruq quyidagiga o'zgaradi:
root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 -A fast
182
Syslog signal xabarlarini yuborish uchun o‘rniga ‘-s ‘ kalitidan
foydalaniladi.
/var/log/safe yoki /var/log/messages ogohlantirishlar quyidagi buyruqda paydo
bo'ladi:
root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 –s
Hozirgacha barcha ushlab olingan va tahlil qilingan paketlar ekranda
namoyish etiladi. Agar Snort ularni jurnaliga yozishi kerak bo’lsa, "-l"
parametridan foydalaniladi va jurnallarni yozish uchun katalog nomi ko'rsatiladi
(masalan /var/log/snort):
root @lord]#snort -v -d -e -i eth0 -h 192.168.3.0/24 -A full -l /var/log/snort
Paketlarni
tcpdump
formatida
ro'yxatdan
o'tkazish
va
minimal
ogohlantirishlarni yaratish uchun '-b' kalitidan foydalanish mumkin:
root @lord]#snort -b -i eth0 -A fast -h 192.168.3.0/24 -s -l /var/log/snort
Yuqoridagi buyruqlarda Snort tarmoq segmentidagi barcha paketlarni qayd
qiladi. Agar qoidalarga qarab faqat ayrim turdagi paketlarni ro'yxatdan o'tkazish
kerak bo'lsa, '-c' kalitidan foydalaniladi.
root @lord]# snort -b -i eth0 -A fast -h 192.168.5.0/24 -s -l /var/log/snort -c
/snort-rule-file.
Do'stlaringiz bilan baham: