O’zbekiston respublikasi axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari

Yuqorida aytib o'tilganidek, SNORT uch xil rejimda ishlaydi

Download 4,13 Mb.

bet	70/72
Sana	14.07.2022
Hajmi	4,13 Mb.
	#799383

1 ... 64 65 66 67 68 69 70 71 72

Bog'liq
METODICHKA Tarmoq xavfsizligi

Yuqorida aytib o'tilganidek, SNORT uch xil rejimda ishlaydi:

Paketli sniffer rejimi: Snort ushbu rejimda ishlayotgan bo'lsa, u barcha tarmoq paketlarini o'qiydi va deshifrlaydi va stdout (ekraningiz) ga dump hosil qiladi. Snortni sniffer rejimiga o'tkazish uchun quyidagi kalitdan foydalaniladi:

-v: root @lord]# ./snort —v
Shuni esda tutish kerakki, ushbu rejimda faqat paket sarlavhalari ko'rsatiladi. To'plamning sarlavhasini va mazmunini ko'rish uchun quyidagi buyruq kiritiladi:
root @lord]# ./snort -X

Paketni ro'yxatdan o'tkazish rejimi: Ushbu rejim paketlarni diskka yozib oladi va ularni ASCII formatida kodlaydi.

root @lord]# Snort -l < directory to log packets to >

Ruxsatsiz kirishni aniqlash rejimi: Signal ma'lumotlari aniqlash mexanizmi tomonidan ro'yxatga olinadi (standart jurnal katalogida "alert" deb nomlangan fayl, lekin syslog, Winpop xabarlari va boshqalar ham bo’lishi mumkin). Standart jurnal katalogi -/var/log/snort ko’rinishida bo’ladi, lekin "- l" kaliti yordamida o'zgartirilishi mumkin. Endi paketni tahlil qilish uchun odatiy Snort buyrug'i ko'rib chiqiladi:

root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 Bu yerda C sinfi qismtarmog’inmg 192.168.3.0-192.168.3.255 (qismtarmoq maskasi: 255.255.255.0) oralig'ini ko'rib chiqish lozim. Buning ma'nosini tushunish uchun yuqoridagi buyruqni batafsil tahlil qilish kerak:
-v': konsol batafsil javob yuboradi.
'-d': dekodlangan dastur qatlami ma’lumotlarining borini hosil qiladi '-e': dekodlangan Ethernet sarlavhalarini ko'rsatadi.
'-i': paketni tahlil qilish uchun tekshiriladigan interfeysni belgilaydi.
'-h': boshqariladigan tarmoqni belgilaydi.
Keyingi misolda Snortda ogohlantirishlar yaratiladi. Snort ogohlantirish rejimlari uchta asosiy guruhga ega:

Tez: "alert" fayliga ogohlantirishlarni bitta satrda, xuddi syslog singari yozadi.
To'liq: To'liq sarlavha dekodlangan holda 'alert' faylini yuborish uchun ogohlantirishlarni yozadi.

v. None: - ogohlantirish bermaydi, so'ngra buyruq quyidagiga o'zgaradi: root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 -A fast
Syslog signal xabarlarini yuborish uchun o‘rniga ‘-s ‘ kalitidan
foydalaniladi.
/var/log/safe yoki /var/log/messages ogohlantirishlar quyidagi buyruqda paydo bo'ladi:
root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 —s
Hozirgacha barcha ushlab olingan va tahlil qilingan paketlar ekranda namoyish etiladi. Agar Snort ularni jurnaliga yozishi kerak bo’lsa, "-l" parametridan foydalaniladi va jurnallarni yozish uchun katalog nomi ko'rsatiladi (masalan /var/log/snort):
root @lord]#snort -v -d -e -i eth0 -h 192.168.3.0/24 -A full -l/var/log/snort
Paketlarni tcpdump formatida ro'yxatdan o'tkazish va minimal ogohlantirishlarni yaratish uchun '-b' kalitidan foydalanish mumkin:
root @lord]#snort -b -i eth0 -A fast -h 192.168.3.0/24 -s -l/var/log/snort
Yuqoridagi buyruqlarda Snort tarmoq segmentidagi barcha paketlarni qayd qiladi. Agar qoidalarga qarab faqat ayrim turdagi paketlarni ro'yxatdan o'tkazish kerak bo'lsa, '-c' kalitidan foydalaniladi.
root @lord]# snort -b -i eth0 -A fast -h 192.168.5.0/24 -s -l/var/log/snort -c /snort-rule-file.

Download 4,13 Mb.

Do'stlaringiz bilan baham:

1 ... 64 65 66 67 68 69 70 71 72