4 – amaliy ish. Mavzu: Retina skanerlashning audit funksiyasidan foydalanish. Audit yorlig'idan foydalanish

Tarmoq hujumini aniqlash tizimi rejimi

Download 1,62 Mb.

bet	16/20
Sana	04.03.2022
Hajmi	1,62 Mb.
	#482397

1 ... 12 13 14 15 16 17 18 19 20

Bog'liq
4-5-6chi amaliy ishlar

Signalni chiqarish tartibi (usuli) konfiguratsiyasi
Snort buyruq satri sintaksisiga yordam olish
Kontekstsiz qoidalarni yozish

Tarmoq hujumini aniqlash tizimi rejimi

Tarmoqning kirishini aniqlash tizimining bayrog'i buyruq satridagi -c variantidir.
#snort -c snort.conf
Snort.conf faylida belgilangan qoidalarga binoan tarmoqning kirishini aniqlash rejimida snortni ishlaydi.
Shuni esda tutingki, tarmoqqa kirishni aniqlash rejimida snortni ishga tushirish odatda paketlarga yozishni talab qiladi. Shuning uchun -c opsiyasi yonidagi buyruq qatori ko'pincha -l parametrini ham o'z ichiga oladi (agar bu parametr mavjud bo'lmasa, paketlar / var / log / snort katalogiga yoziladi). -N parametridan foydalanib, tarmoqqa kirishni aniqlash rejimida paketlarni qayd qilishni o'chirib qo'yishingiz mumkin.

Signalni chiqarish tartibi (usuli) konfiguratsiyasi

Standart rejim: ro'yxatga olish katalogidagi alerts.ids matnli fayliga chiqish. Chiqish formati signalni keltirib chiqargan xabar va paket sarlavhalarining tarkibini (qisman) tushuntirib beradigan vaqt tamg'asini o'z ichiga oladi.

Snort buyruq satri sintaksisiga yordam olish

Snort buyrug'i satrining sintaksisiga tezkor murojaatni snortni -? Variant bilan ishga tushirish orqali olish mumkin.
Snort man sahifasida har tomonlama yordam berilgan.

Hujumlarni aniqlash qoidalarini yozish

Snort ikki xil qoidalardan foydalanadi: kontekstsiz (normal) va kontekstsiz (oldindan protsessor qoidalari). Kontekstsiz qoidalar har bir paketga alohida, boshqa paketlarga ulanmasdan qo'llaniladi. Kontekstual paketlarning ma'lum bir to'plamiga (ketma-ketligiga) qo'llanilishi mumkin. Qoidalarning aksariyati bir qatorda yozilgan, garchi ular bir necha qatorni tashkil qilishi mumkin (bu holda har bir satr, oxirgisidan tashqari, \\ bilan tugashi kerak).

Kontekstsiz qoidalarni yozish

Har bir qoida ikkita mantiqiy bo'limga bo'lingan: sarlavha va variantlar. Sarlavha quyidagilarni o'z ichiga oladi:

agar qoida bajarilsa, bajariladigan harakatni belgilash;
protokolni belgilash;
Manba va manzil IP-manzili;
manba va manzil portlari.

Variantlarga qoidani bajarish uchun qo'shimcha mezonlarni aniqlash va qo'shimcha reaktiv harakatlarni belgilash kiradi. Snort qoidalari uchun umumiy sintaksis:
sarlavha (variantlar)
Variantlar qoidalarning ixtiyoriy qismidir. Aniqroq:
harakat proto IP1 / mask1 port1 -\u003e |< > IP2 / mask2 port2 (kalit so'z1: qiymat; \\
kalit so'z2: qiymat2; ...;)
Misol qoida:
ogohlantirish tcp har qanday istalgan -\u003e 192.168.1.0/24 111 (tarkib: "| 00 01 86 a5 |"; \\
msg: "kirish imkoniyati";)
Mana sarlavha: ogohlantirish tcp any any -\u003e 192.168.1.0/24 111.
Variantlar: tarkib: "| 00 01 86 a5 |"; msg: "kirish imkoniyati";.
Ushbu qoidani quyidagicha talqin qilish mumkin:

agar TCP paketi har qanday tarmoq tugunining 192.168.1.0/24 111-sonli joyidan kelib tushsa, signalida signal hosil qiling, u o'z ma'lumotlarida 00 01 86 a5 (o'n oltinchi belgida) ketma-ketligini o'z ichiga oladi;
signalga "mountd access" yozuvi bilan hamroh bo'ling.

Download 1,62 Mb.

Do'stlaringiz bilan baham:

1 ... 12 13 14 15 16 17 18 19 20