Установка и настройка Snort в Kali Linux
Что такое Snort?
С сайта www.snort.org : Snort® – это система с открытым исходным кодом для предотвращения и обнаружения вторжений (IDS / IPS), разработанная Sourcefire. Сочетая преимущества проверки на основе сигнатур, протоколов и аномалий, Snort является наиболее широко распространенной технологией IDS / IPS во всем мире. С миллионами загрузок и почти 400 000 зарегистрированных пользователей, Snort стал стандартом де-факто для IPS.
В этой статье мы рассмотрим, как установить snort из исходного кода, написать правила и выполнить базовое тестирование.
Установить Snort
# apt-get update # apt-get install snort
Проверьте установку Snort
Проверьте установку, как показано ниже.
# snort --version
,,_ -*> Snort! <*- o" )~ Version 2.9.2.2 IPv6 GRE (Build 121) '''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team Copyright (C) 1998-2012 Sourcefire, Inc., et al. Using libpcap version 1.3.0 Using PCRE version: 8.30 2012-02-04 Using ZLIB version: 1.2.7
Создайте следующие файлы snort.conf и icmp.rules:
Откройте файл конфигурации snort:
# leafpad /etc/snort/snort.conf
Проверьте файл конфигурации и проверьте, включены ли правила icmp или нет. Если нет, включите строку ниже.
include /etc/snort/rules/icmp.rules
Откройте файл правил icmp и включите правило, указанное ниже:
# leafpad /etc/snort/rules/icmp.rules
Включите указанную ниже строку в файл icmp.rule.
alert icmp any any -> any any (msg: "ICMP Packet"; sid: 477; rev: 3;)
Приведенное выше основное правило предупреждает о наличии ICMP-пакета (ping).
Ниже приводится структура предупреждения:
<Rule Actions> <Protocol> <Source IP Address> <Source Port> <Direction Operator> <Destination IP Address> <Destination > (rule options)
(rule options)
Structure | Example |
---|---|
Rule Actions | alert |
Protocol | icmp |
Source IP Address | any |
Source Port | any |
Direction Operator | -> |
Destination IP Address | any |
Destination Port | any |
(rule options) | (msg:”ICMP Packet”; sid:477; rev:3;) |
Использование Snort
Запустите snort из командной строки, как указано ниже.
# snort -c /etc/snort/snort.conf -l /var/log/snort/
здесь -c указывает на файл с правилами и -l на каталог журнала
Показать журнал оповещения
Попробуйте пропинговать IP с вашего компьютера, чтобы проверить наше правило пинга. Ниже приведен пример предупреждения snort для этого правила ICMP.
root@vishnu:~# head /var/log/snort/alert [**] [1:2925:3] INFO web bug 0x0 gif attempt [**] [Classification: Misc activity] [Priority: 3] 12/02-12:08:40.479756 107.20.221.156:80 -> 192.168.1.64:55747 TCP TTL:42 TOS:0x0 ID:14611 IpLen:20 DgmLen:265 DF ***AP*** Seq: 0x6C1242F9 Ack: 0x74B1A5FE Win: 0x2E TcpLen: 32 TCP Options (3) => NOP NOP TS: 1050377198 1186998 [**] [1:368:6] ICMP PING BSDtype [**] [Classification: Misc activity] [Priority: 3] 12/02-12:09:01.112440 192.168.1.14 -> 192.168.1.64
Оповещение Объяснение
Пара строк добавляется для каждого предупреждения, которое включает в себя следующее:
Сообщение печатается в первой строке.
IP-
адрес источника IP-адрес назначения
Тип пакета и информация заголовка.
Если у вас другой интерфейс для сетевого подключения, используйте опцию -dev -i. В этом примере мой сетевой интерфейс – eth0.
# snort -dev -i eth0 -c /etc/snort/snort.conf -l /var/log/snort/
Выполните фырканье как Демон
Добавьте опцию -D для запуска snort в качестве демона.
# snort -D -c /etc/snort/snort.conf -l /var/log/snort/
Правила по умолчанию можно скачать с: https://www.snort.org/downloads/#rule-downloads