Ebben az útmutatóban a Snort riasztási módokat elmagyarázzák, hogy utasítsák a Snortot, hogy 5 különböző módon jelentse be az eseményeket (figyelmen kívül hagyva a „riasztás nélküli” módot), gyors, teljes, konzolos, cmg és unockos.
Ha nem olvasta el a fent említett cikkeket, és nincs korábbi tapasztalata a horkolással kapcsolatban, akkor az előadás folytatása előtt kezdje el a Snort telepítésével és használatával kapcsolatos oktatóanyagot, és folytassa a szabályokkal kapcsolatos cikkel. Ez az oktatóanyag feltételezi, hogy a Snort már fut.
A Snort állapotnak 6 riasztási módja van:
Gyors: ebben az üzemmódban a Snort jelenteni fogja az időbélyegzőt, a riasztási üzenetet, az IP forrás címét, valamint a port és a cél IP címét és portját. (-Egy gyors)
Teljes: a gyors mód figyelmeztetés mellett a teljes mód a következőket tartalmazza: TTL, IP csomag és IP fejléc hossza, szolgáltatás, ICMP típus és sorozatszám. (-Teljes)
Konzol: gyors figyelmeztetéseket nyomtat a konzolon. (-Egy konzol)
Cmg: Ezt a formátumot a Snort fejlesztette ki tesztelési célokra, teljes figyelmeztetést nyomtat ki a konzolon, a naplókba mentett jelentések mentése nélkül. (-Egy cmg)
Zokni: exportáljon jelentést más programokba a Unix Socketen keresztül. (-Egy zokni)
Egyik sem: A horkolás nem generál riasztásokat. (-Egy sem)
Minden riasztási módot megelőz a -A amely a riasztások paramétere. A riasztások a naplóba kerülnek / var / log / snort / alert. A horkolás alapértelmezett szabályai képesek felismerni a szabálytalan tevékenységeket, például a portok vizsgálatát. Teszteljük az egyes riasztási módokat:
Gyors riasztási teszt:
horkolás -c / etc / horkolás / horkolás.conf -q -A gyors
Hol:
horkant= meghívja a programot
-c= a config fájl elérési útja, ebben az esetben az alapértelmezett (/ etc / snort / snort.konf)
-q= megakadályozza a horkolást a kezdeti információk megjelenítésében
-A= meghatározza a riasztási módot, ebben az esetben gyors.
Míg egy másik számítógépről indítottam egy nmap vizsgálatot az első 1000 port ellen, a bejelentések naplózni kezdtek / var / log / snort / alert.
Teljes riasztási teszt:
horkolás -c / etc / horkolás / horkolás.conf -q -A teljes
Hol:
horkant= meghívja a programot
-c= a config fájl elérési útja, ebben az esetben az alapértelmezett (/ etc / snort / snort.konf)
-q= megakadályozza a horkolást a kezdeti információk megjelenítésében
-A= meghatározza a riasztási módot, ebben az esetben teljes.
Amint látja, a jelentés további információkat nyújt a gyorsnak.
Konzol riasztási teszt:
A konzol riasztási tesztjével figyelmeztetéseket nyomtatunk ki a konzolba erre a futásra
horkolás -c / etc / horkolás / horkolás.conf -q -A konzol
Hol:
horkant= meghívja a programot
-c= a config fájl elérési útja, ebben az esetben az alapértelmezett (/ etc / snort / snort.konf)
-q= megakadályozza a horkolást a kezdeti információk megjelenítésében
-A= meghatározza a riasztási módot, ebben az esetben a konzolt.
Amint látja, a nyomtatott információ közelebb áll a gyors figyelmeztetéshez, mint a teljes.
Cmg riasztási teszt:
Most kapjunk egy jelentést a konzolban a teljes jelentés és még sok más információval együtt. Ezt a módot tesztelési célokra fejlesztették ki, és nem naplózza az eredményeket.
horkolás -c / etc / horkolás / horkolás.konf -q -A cmg
Hol:
horkant= meghívja a programot
-c= a config fájl elérési útja, ebben az esetben az alapértelmezett (/ etc / snort / snort.konf)
-q= megakadályozza a horkolást a kezdeti információk megjelenítésében
-A= meghatározza a riasztási módot, ebben az esetben cmg.
Ahhoz, hogy az unock figyelmeztetés működni tudjon, integrálnia kell egy harmadik fél programjába vagy beépülő moduljába.
A Snort alapértelmezett riasztási módja a teljes mód, ha nincs szüksége további információkra a gyorsról, akkor a gyors mód növelné a teljesítményt.
Remélem, hogy ez a bemutató segített megérteni Snort riasztási módjait.