June 14th, 2012 
admin
СОА Snort можно использовать как анализатор трафика, обладающий значительными возможностями по фильтрации пакетов. Например, можно создать файл с правилами, использующими исключительно действия типа log. В результате из входящего потока данных будут отобраны и сохранены пакеты, удовлетворяющие указанным правилам. Так как по умолчанию жур- нал ведется в двоичном формате tcpdump, он может быть импортирован почти всеми специализированными программами анализа трафика. Обычно эти про- граммы позволяют наглядно отображать содержимое пакетов, но не обладают такими возможностями по их фильтрации, как Snort.
Для запуска Snort в режиме анализатора трафика, как и для запуска его в режиме системы обнаружения атак, необходимо выполнить следующую ко- манду в командной строке Windows:
snort -i <интерфейс> -c <файл_конфигурации>
-l <путь_к_журналу>
где
<интерфейс> — номер интерфейса, полученный в результате выполнения команды snort –W
<файл_конфигурации> — путь к файлу, в котором хранятся настройки программы и правила обнаружения
<путь_к_журналу> — путь к каталогу, в котором необходимо сохранить файл журнала
Пример:
snort -i 3 -c ../etc/my.conf -l ../log
Следует обратить внимание, что при записи пути используются не об-
ратные, а прямые «косые черты».
Для завершения работы СОА Snort, необходимо нажать клавиши
Рассмотрим несколько правил (табл. 4.3), которые позволят обнаружи-
вать атаки, описанные в разделе 2. Текст правил должен записываться в одну строку.
Примеры правил СОА Snort
Таблица 4.3
|
№ Описание |
Описание |
Правило |
|
1 |
Обнаружение входящих ECHO-запросов (ping’ов) |
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg: "Incoming ECHO REQUEST"; itype: 8;) |
|
2 |
Обнаружение исходящих ECHO-ответов |
alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg: "Outgoing ECHO REPLY"; itype: 0;) |
|
3 |
Обнаружение больших ICMP-пакетов (атака «Ping of Death») |
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg: "Incoming large ICMP packet"; dsize: >800;) |
|
4 |
DoS-атака Winnuke |
alert tcp $EXTERNAL_NET any -> $HOME_NET 135:139 (msg: "DoS Winnuke attack"; flags: U+;) |
|
5 |
Запрос на подключение к 139 порту (служба SMB) из внешней сети (два ва- рианта) |
alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg: "NETBIOS SMB IPC$ share access"; flags: A+; content: "|00|"; offset: 0; depth: 1; content: "|FF|SMB|75|"; offset: 4; depth: 5; content: "\\IPC$|00|"; nocase;) alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"NETBIOS SMB IPC$ share access (unicode)"; flags: A+; content: "|00|"; offset: 0; depth: 1; content: "|FF|SMB|75|"; offset: 4; depth: 5; content: |
|
№ |
Описание |
Правило |
|
"|5c00|I|00|P|00|C|00|$| 00|"; nocase;) |
||
|
6 |
Запрос на подключение к 445 порту (служба SMB) из внешней сети (два ва- рианта) |
alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg: "NETBIOS SMB IPC$ share access"; flags: A+; content: "|00|"; offset: 0; depth: 1; content: "|FF|SMB|75|"; offset: 4; depth: 5; content: "\\IPC$|00|"; nocase;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"NETBIOS SMB IPC$ share access (unicode)"; flags: A+; content: "|00|"; offset: 0; depth: 1; content: "|FF|SMB|75|"; offset: 4; depth: 5; content: "|5c00|I|00|P|00|C|00|$|00|"; nocase;) |
|
6 |
Обнаружение сканиро- вания портов методом NULL. |
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"NULL port scanning"; flags:!FSRPAU;) |
|
7 |
Обнаружение сканиро- вания портов методом XMAS. |
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"XMAS port scanning"; flags:FPU+;) |
ВЫПОЛНИТЬ!
5. Создать в каталоге «\snort\etc» файл «my.conf», содержащий следующие строки:
var HOME_NET
var EXTERNAL_NET !$HOME_NET
6. Добавить в файл «my.conf» правило, позволяющее обнаруживать входящие ECHO-запросы. Проверить, происходит ли обнаружение, запустив СОА из каталога «\snort\bin» следующей командой (из «командной строки»):
snort -i <интерфейс> -c ../etc/my.conf -l ../log
Для проверки выполнить несколько ECHO-запросов с другого компьютера,
используя команду:
ping
7. Дополнить файл «my.conf» правилами, указанными в табл. 4.3. Для про-
верки обнаружения подключений к службе SMB использовать команду:
net use \\
К какому порту производится подключение? Как это зависит от исполь-
зуемой операционной системы?
Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс
Опубликовано в рубрике