Muhammad al-xorazmiy nomidagi toshkеnt axborot tеxnologiyalari univеrsitеti


 Dastur va uning rejimlarini o'rganish



Download 5,91 Mb.
Pdf ko'rish
bet83/86
Sana06.07.2022
Hajmi5,91 Mb.
#751203
1   ...   78   79   80   81   82   83   84   85   86
2. Dastur va uning rejimlarini o'rganish 


180 
Ushbu bo'limda SNORT tushunchalari va buyruqlarini batafsil muhokama 
qilinadi. Ushbu vazifa dasturning barcha kalitlarini aks ettiradigan oddiy buyruq 
bilan boshlanadi: 
root@lord snort -?
Buyruq quyidagilarni beradi: 
-*> Snort! <*- 
Version 1.7 
By Martin Roesch (roesch@clark.net, www.snort.org) 
USAGE: snort [-options] 
Options: 
-A Set alert mode: fast, full, or none (alert file alerts only) 
'unsock' enables UNIX socket logging (experimental). 
-a Display ARP packets 
-b Log packets in tcpdump format (much faster!)
-c Use Rules File 
-C Print out payloads with character data only (no hex) 
-d Dump the Application Layer 
-D Run Snort in background (daemon) mode 
-e Display the second layer header info 
-F Read BPF filters from file 
-g Run snort gid as 'gname' user or uid after initialization 
-h Home network = 
-i Listen on interface 
-l Log to directory 
-n Exit after receiving packets 
-N Turn off logging (alerts still work) 
-o Change the rule testing order to Pass|Alert|Log 
-O Obfuscate the logged IP addresses 
-p Disable promiscuous mode sniffing 
-P set explicit snaplen [sp? -ed.] of packet (default: 1514) 
-q Quiet. Don't show banner and status report 
-r Read and process tcpdump file 
-s Log alert messages to syslog 
 
Yuqorida aytib o'tilganidek, SNORT uch xil rejimda ishlaydi: 
1. 
Paketli sniffer rejimi:
Snort ushbu rejimda ishlayotgan bo'lsa, u barcha 
tarmoq paketlarini o'qiydi va deshifrlaydi va stdout (ekraningiz) ga dump hosil 
qiladi. Snortni sniffer rejimiga o'tkazish uchun quyidagi kalitdan foydalaniladi: 
–v: root @lord]# ./snort –v 


181 
Shuni esda tutish kerakki, ushbu rejimda faqat paket sarlavhalari ko'rsatiladi. 
To'plamning sarlavhasini va mazmunini ko'rish uchun quyidagi buyruq kiritiladi: 
root @lord]# ./snort -X 
2. 
Paketni ro'yxatdan o'tkazish rejimi:
Ushbu rejim paketlarni diskka yozib 
oladi va ularni ASCII formatida kodlaydi.
root @lord]# Snort -l < directory to log packets to > 
3. 
Ruxsatsiz kirishni aniqlash rejimi:
Signal ma'lumotlari aniqlash 
mexanizmi tomonidan ro'yxatga olinadi (standart jurnal katalogida "alert" deb 
nomlangan fayl, lekin syslog, Winpop xabarlari va boshqalar ham bo’lishi 
mumkin). Standart jurnal katalogi 
-/var/log/snort
ko’rinishida bo’ladi, lekin "- l" 
kaliti yordamida o'zgartirilishi mumkin. Endi paketni tahlil qilish uchun odatiy 
Snort buyrug'i ko'rib chiqiladi: 
root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 
Bu yerda C sinfi qismtarmog’ining 192.168.3.0-192.168.3.255 (qismtarmoq 
maskasi: 255.255.255.0) oralig'ini ko'rib chiqish lozim. Buning ma'nosini 
tushunish uchun yuqoridagi buyruqni batafsil tahlil qilish kerak: 
'-v'
: konsol batafsil javob yuboradi. 
'-d'
: dekodlangan dastur qatlami ma’lumotlarining borini hosil qiladi 
'-e'
: dekodlangan Ethernet sarlavhalarini ko'rsatadi. 
'-i'
: paketni tahlil qilish uchun tekshiriladigan interfeysni belgilaydi. 
'-h'
: boshqariladigan tarmoqni belgilaydi. 
Keyingi misolda Snortda ogohlantirishlar yaratiladi. Snort ogohlantirish 
rejimlari uchta asosiy guruhga ega: 
a. Tez: 
"alert"
fayliga ogohlantirishlarni bitta satrda, xuddi 
syslog
singari yozadi. 
b. To'liq: To'liq sarlavha dekodlangan holda 
'alert'
faylini yuborish uchun 
ogohlantirishlarni yozadi. 
v. None: - ogohlantirish bermaydi, so'ngra buyruq quyidagiga o'zgaradi: 
root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 -A fast 


182 
Syslog signal xabarlarini yuborish uchun o‘rniga ‘-s ‘ kalitidan 
foydalaniladi. 
/var/log/safe yoki /var/log/messages ogohlantirishlar quyidagi buyruqda paydo 
bo'ladi:
root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 –s 
Hozirgacha barcha ushlab olingan va tahlil qilingan paketlar ekranda 
namoyish etiladi. Agar Snort ularni jurnaliga yozishi kerak bo’lsa, "-l" 
parametridan foydalaniladi va jurnallarni yozish uchun katalog nomi ko'rsatiladi 
(masalan /var/log/snort): 
root @lord]#snort -v -d -e -i eth0 -h 192.168.3.0/24 -A full -l /var/log/snort 
Paketlarni 
tcpdump 
formatida 
ro'yxatdan 
o'tkazish 
va 
minimal 
ogohlantirishlarni yaratish uchun '-b' kalitidan foydalanish mumkin: 
root @lord]#snort -b -i eth0 -A fast -h 192.168.3.0/24 -s -l /var/log/snort 
Yuqoridagi buyruqlarda Snort tarmoq segmentidagi barcha paketlarni qayd 
qiladi. Agar qoidalarga qarab faqat ayrim turdagi paketlarni ro'yxatdan o'tkazish 
kerak bo'lsa, '-c' kalitidan foydalaniladi. 
root @lord]# snort -b -i eth0 -A fast -h 192.168.5.0/24 -s -l /var/log/snort -c 
/snort-rule-file. 

Download 5,91 Mb.

Do'stlaringiz bilan baham:
1   ...   78   79   80   81   82   83   84   85   86




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish