Использование СОА Snort

СОА Snort можно использовать как анализатор трафика, обладающий значительными возможностями по  фильтрации пакетов.  Например,  можно создать  файл  с  правилами, использующими исключительно действия типа log. В результате из входящего потока данных будут отобраны и сохранены пакеты, удовлетворяющие указанным правилам. Так как по умолчанию жур- нал ведется в двоичном формате tcpdump, он может быть импортирован почти всеми специализированными программами анализа трафика. Обычно эти про- граммы позволяют наглядно отображать содержимое пакетов, но не обладают такими возможностями по их фильтрации, как Snort.

Для запуска Snort в режиме анализатора трафика, как и для запуска его в режиме системы обнаружения атак, необходимо выполнить следующую ко- манду в командной строке Windows:

snort -i <интерфейс> -c <файл_конфигурации>

-l <путь_к_журналу>

где

<интерфейс> — номер интерфейса, полученный в результате выполнения команды snort –W

<файл_конфигурации> —  путь  к  файлу, в  котором хранятся настройки программы и правила обнаружения

<путь_к_журналу> — путь к каталогу, в котором необходимо сохранить файл журнала

Пример:

snort -i 3 -c ../etc/my.conf -l ../log

Следует обратить внимание, что при записи пути используются не об-

ратные, а прямые «косые черты».

Для  завершения  работы  СОА  Snort,  необходимо  нажать  клавиши

<Ctrl+C>.

Рассмотрим несколько правил (табл. 4.3), которые позволят обнаружи-

вать атаки, описанные в разделе 2. Текст правил должен записываться в одну строку.

Примеры правил СОА Snort

Таблица 4.3

№ Описание

Описание

Правило

1

Обнаружение   входящих

ECHO-запросов (ping’ов)

alert icmp $EXTERNAL_NET any ->

$HOME_NET any (msg: "Incoming ECHO

REQUEST"; itype: 8;)

2

Обнаружение исходящих

ECHO-ответов

alert icmp $HOME_NET any ->

$EXTERNAL_NET any (msg: "Outgoing ECHO

REPLY"; itype: 0;)

3

Обнаружение     больших

ICMP-пакетов         (атака

«Ping of Death»)

alert icmp $EXTERNAL_NET any ->

$HOME_NET any (msg: "Incoming large

ICMP packet"; dsize: >800;)

4

DoS-атака Winnuke

alert tcp $EXTERNAL_NET any ->

$HOME_NET 135:139 (msg: "DoS Winnuke

attack"; flags: U+;)

5

Запрос на подключение к

139 порту (служба SMB)

из внешней сети (два ва-

рианта)

alert tcp $EXTERNAL_NET any ->

$HOME_NET 139 (msg: "NETBIOS SMB IPC$

share access"; flags: A+; content: "|00|"; offset: 0; depth: 1; content: "|FF|SMB|75|"; offset: 4; depth: 5; content: "\\IPC$|00|"; nocase;)

alert tcp $EXTERNAL_NET any ->

$HOME_NET 139 (msg:"NETBIOS SMB IPC$

share access (unicode)"; flags: A+; content: "|00|"; offset: 0; depth: 1; content: "|FF|SMB|75|"; offset: 4; depth: 5; content:

Описание

Правило

"|5c00|I|00|P|00|C|00|$| 00|";

nocase;)

6

Запрос на подключение к

445 порту (служба SMB)

из внешней сети (два ва-

рианта)

alert tcp $EXTERNAL_NET any ->

$HOME_NET 445 (msg: "NETBIOS SMB IPC$ share access"; flags: A+; content: "|00|"; offset: 0; depth: 1; content: "|FF|SMB|75|"; offset: 4; depth: 5; content: "\\IPC$|00|"; nocase;)

alert tcp $EXTERNAL_NET any ->

$HOME_NET 445 (msg:"NETBIOS SMB IPC$ share access (unicode)"; flags: A+; content: "|00|"; offset: 0; depth: 1; content: "|FF|SMB|75|"; offset: 4; depth: 5; content: "|5c00|I|00|P|00|C|00|$|00|"; nocase;)

6

Обнаружение     сканиро- вания   портов   методом NULL.

alert tcp $EXTERNAL_NET any ->

$HOME_NET any (msg:"NULL port scanning"; flags:!FSRPAU;)

7

Обнаружение     сканиро- вания   портов   методом XMAS.

alert tcp $EXTERNAL_NET any ->

$HOME_NET any (msg:"XMAS port

scanning"; flags:FPU+;)

ВЫПОЛНИТЬ!

5.  Создать в каталоге «\snort\etc» файл «my.conf», содержащий  следующие строки:

var HOME_NET <IP-адрес_СОА>

var EXTERNAL_NET !$HOME_NET

6.  Добавить в файл «my.conf» правило, позволяющее обнаруживать входящие ECHO-запросы. Проверить, происходит ли обнаружение, запустив СОА из каталога «\snort\bin» следующей командой (из «командной строки»):

snort -i <интерфейс> -c ../etc/my.conf -l ../log

Для проверки выполнить несколько ECHO-запросов с другого компьютера,

используя команду:

ping <IP-адрес_СОА>

7.  Дополнить файл «my.conf» правилами, указанными в табл. 4.3. Для про-

верки обнаружения подключений к службе SMB использовать команду:

net use \\<IP-адрес_СОА>\IPC$ "" /user:""

К какому порту производится подключение? Как это зависит от исполь-

зуемой операционной системы?

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий