"Enter"a basıp içeriğe geçin

Snort Uyarıları – Linux tavsiyesi

Daha önce LinuxHint’te açıklanmıştır. snort saldırı tespit sistemi nasıl kurulur e snort kuralları nasıl oluşturulur. Snort, bir ağ içindeki düzensiz faaliyetleri tespit etmek ve bunlara karşı uyarı vermek için tasarlanmış bir izinsiz giriş tespit sistemidir. Snort, kuralın talimatlarına göre sunucuya bilgi sağlayan sensörler tarafından entegre edilmiştir.

Bu öğretici, Snort uyandırma modlarını açıklayacak ve Snort’a olayları 5 farklı şekilde (“uyandırma” modunu yok sayın), hızlı, tam, konsol, cmg ve kilit açma şeklinde raporlama talimatını verecektir.

Yukarıdaki makaleleri okumadıysanız ve daha önce horlama deneyiminiz yoksa lütfen başlayın. Devam etmeden önce Snort’u yükleme ve kullanma hakkındaki öğreticiyi ve kurallar hakkındaki makaleyi izleyin. Ders. Bu öğretici, Snort’un halihazırda çalışmakta olduğunu varsayar.

Snort’un 6 uyarı modu olduğunu da belirtelim:

hızlı: Bu modda, Snort zaman damgasını, uyarı mesajını, kaynak IP adresini ve bağlantı noktasını ve hedef IP adresini ve bağlantı noktasını bildirir. (-hızlı)

tam dolo: Hızlı mod uyarısına ek olarak, tam mod şunları içerir: TTL, IP paketi, IP başlık uzunluğu, hizmet, ICMP türü ve sıra numarası. (-İle dolu)

Kontrol ünitesi: Konsolda hızlı uyarılar yazdırır. (-Bir)

SMG: Snort tarafından test amacıyla geliştirilen bu format, raporları günlüklere kaydetmeden konsolda eksiksiz bir uyarı yazdırır. (-cmg başına)

Çorabı aç: Raporu Unix Socket aracılığıyla diğer programlara aktarın. (çorapları aç)

hiç kimse: Snort uyarı oluşturmaz. (-hiç kimse)

Tüm alarm modlarından önce bir -a Bu, Uyarılar parametresidir. Uyarılar günlüğe kaydedilir /var/log/snort/alert. Varsayılan Snort kuralları, bağlantı noktası tarama gibi düzensiz etkinlikleri algılayabilir. Her bir uyarı modunu test edelim:

Hızlı uyarı testi:

horlama -c/vb/horlama/snort.conf s-a hızlı

nerede:

horlama= programı çağırır

-c= yapılandırma dosyasının yolu, bu durumda varsayılan dosya (/etc/snort/snort.conf)

s= snort’un ham bilgileri görüntülemesini engeller

-a= Bu durumda hızlı uyarı modunu ayarlar.

Farklı bir bilgisayardan ilk 1000 bağlantı noktasına karşı bir nmap taraması başlattım ve uyarılar günlüğe kaydetmeye başladı /var/log/snort/alert.

Tam alarm testi:

horlama -c/vb/horlama/snort.conf s-a tam dolo

nerede:

horlama= programı çağırır

-c= yapılandırma dosyasının yolu, bu durumda varsayılan dosya (/etc/snort/snort.conf)

s= snort’un ham bilgileri görüntülemesini engeller

-a= Uyarı modunu belirtir, bu durumda dolu.

Gördüğünüz gibi, rapor hızlı bir rapor hakkında ek bilgi veriyor.

Konsol uyarı testi:

Konsol uyarı testi ile o çalıştırma için konsola yazdırılan uyarıları alacağız.

horlama -c/vb/horlama/snort.conf s-a Kontrol ünitesi

nerede:

horlama= programı çağırır

-c= yapılandırma dosyasının yolu, bu durumda varsayılan dosya (/etc/snort/snort.conf)

s= snort’un ham bilgileri görüntülemesini engeller

-a= Uyarı modunu, bu durumda konsolu tanımlar.

Gördüğünüz gibi, yazdırılan bilgiler tam bir uyarıdan çok hızlı bir uyarıya daha yakındır.

Cmg uyarı testi:

Şimdi konsolda tam rapor bilgilerini ve daha fazlasını içeren bir rapor alalım. Bu mod test amaçlı geliştirilmiştir ve sonuçları kaydetmez.

horlama -c/vb/horlama/snort.conf s-a smg

nerede:

horlama= programı çağırır

-c= yapılandırma dosyasının yolu, bu durumda varsayılan dosya (/etc/snort/snort.conf)

s= snort’un ham bilgileri görüntülemesini engeller

-a= uyarı modunu belirtir, bu durumda cmg.

Unsock Alert’in çalışması için üçüncü taraf bir program veya eklenti ile entegre etmeniz gerekir.

Snort’un varsayılan uyarı modu tam moddur, anlık görüntüye ihtiyacınız yoksa hızlı mod performansı artırır.

Umarım bu eğitim, Snort Uyarı Modlarını anlamanıza yardımcı olmuştur.

Diğer gönderilerimize göz at

[wpcin-random-posts]

İlk Yorumu Siz Yapın

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir