Система обнаружения атак Snort

4.5.1. Общие сведения

Snort — это бесплатная система обнаружения атак с открытым исход- ным кодом, разработанная Мартином Рошем (Martin Roesch). Доступны вер- сии программы, работающие под управлением операционных систем Win-

dows NT, Linux, BSD, Mac OS X, а также некоторых других. В соответствии с предложенной выше классификацией, Snort является сетевой СОА, основан- ной на сигнатурном анализе. Сигнатуры атак описываются при помощи пра- вил — специальных синтаксических конструкций, позволяющих выявлять ин- тересующую администратора информацию в полях заголовков и содержимом передаваемых по сети пакетов. Кроме того, в Snort реализовано несколько препроцессоров, выполняющих более сложные операции по анализу трафика, такие,   например,   как   дефрагментация   IP-пакетов,   отслеживание   TCP- соединений и выявление попыток сканирования портов.

4.5.2. Установка и запуск программы

Для обеспечения возможности перехвата сетевых пакетов программой Snort  необходима  предварительная  установка  и  запуск  службы  WinPcap (WinPcap_3_1.exe).

Рис. 4.1. Служба WinPcap в перечне служб

Для  установки  СОА  Snort  версии  2.4.3  необходимо  запустить  файл

«Snort_243_Installer.exe» и ответить на интересующие программу-инсталлятор вопросы. По умолчанию Snort устанавливается в каталог «С:\snort», а его ис- полняемый файл располагается в каталоге «С:\snort\bin». Запуск СОА Snort осуществляется из командной строки, в табл. 4.1 приведен неполный список параметров, с которыми может производиться запуск. Чтобы вывести этот список на экран во время работы, необходимо выполнить команду

snort -?

Список параметров СОА Snort

Таблица 4.1

Параметр

Описание

-c

<rules>

Использовать файл правил <rules>.

-E

Добавлять предупреждения (alerts) в журнал регистрации со-

бытий Windows NT (не создавая log-файла).

-h <hn>

Задать домашнюю сеть (home network) <hn>.

-i <if>

Подключиться к сетевому интерфейсу номер <if> (список ин-

терфейсов можно получить при помощи команды snort -W).

-I

Добавлять к предупреждению наименование интерфейса.

-K <mode>

Режим регистрации предупреждений: pcap (по умолчанию) — в двоичном формате, ascii — в текстовом формате, none — без регистрации.

-l <ld>

Сохранять результаты регистрации в каталог <ld>.

-L <file>

Сохранять результаты регистрации в указанный файл формата tcpdump (будет располагаться в каталоге, предварительно ука- занном параметром -l).

-n <cnt>

Завершить работу программы после получения <cnt> паке-

тов.

-N

Не сохранять в файлах регистрации содержимого пакетов (со-

храняется лишь текст предупреждений).

-p

Анализировать только пакеты, отправленные на локальный ад-

рес, и широковещательные пакеты.

-r <tf>

Прочитать и обработать файл <tf>, записанный в формате

tcpdump.

-S <n=v>

Установить значение переменной n файла правил, равной v.

-U

Записывать временные метки в универсальном скоординиро-

ванном времени (UTC).

-v

Отображать на экране заголовки всех перехваченных пакетов.

-V

Показать версию Snort.

-W

Показать доступные сетевые интерфейсы.

-X

Сохранять в файле журнала регистрации событий содержимое перехваченных пакетов в «сыром» виде, начиная с уровня link модели OSI.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий