Snort Cheat Sheet
Všechny tabulky uvedené v cheat sheets jsou také uvedeny v tabulky níže které lze snadno kopírovat a vkládat.
TheSnort Cheat Sheetpokrývá:
- Režim sniffer, režim záznamníku paketů a provoz v režimu NIDS
- Formát pravidel Snort
- Možnosti příkazového řádku režimu Logger
- Možnosti režimu NIDS
- Příklady výstrah a pravidel
Zobrazit nebo stáhnout Cheat Sheet JPG obrázek
Klepněte pravým tlačítkem myši na obrázekníže pro uložení souboru JPG (2443 šířka x 1937 výška v pixelech), nebo kliknutím sem jej otevřete na nové kartě prohlížeče . Jakmile se obrázek otevře v novém okně, možná budete muset kliknout na obrázek, abyste jej přiblížili a zobrazili jpeg v plné velikosti.
Prohlédněte si nebo stáhněte soubor PDF s cheatem
Stáhněte si cheat sheet PDF soubor zde . Když se otevře na nové kartě prohlížeče, jednoduše klikněte pravým tlačítkem na soubor PDF a přejděte do nabídky stahování.
Co je součástí tohoto cheat sheet
Následující kategorie a položky byly zahrnuty do cheat sheet:
Režim Sniffer
Sniffujte pakety a odešlete je na standardní výstup jako soubor výpisu | |
-v (úplné) | Zobrazení výstupu na obrazovce |
-a | Zobrazit záhlaví vrstvy odkazů |
–d | Zobrazit užitečné zatížení paketových dat |
-X | Zobrazit celý paket s hlavičkami v HEX formátu |
Režim záznamníku paketů
Vstupní výstup do souboru protokolu | |
-r | Slouží k přečtení obsahu souboru protokolu pomocí snort |
–l (název adresáře) | Přihlaste se do adresáře jako soubor ve formátu tcpdump |
–k (ASCII) | Zobrazení výstupu ve formátu ASCII |
HNÍZDA Móda
Použijte zadaný soubor jako konfigurační soubor a použijte pravidla pro zpracování zachycených paketů | |
-C | Definujte cestu konfiguračního souboru |
–T | Slouží k testování konfiguračního souboru včetně pravidel |
Formát pravidel Snort
Záhlaví pravidla + (Možnosti pravidla) | |
Akce - Protokol - Zdrojové/cílové IP - Zdrojové/cílové porty - Směr toku | |
Příklad upozornění | alert udp !10.1.1.0/24 any -> 10.2.0.0/24 any |
Akce | upozornit, přihlásit, projít, aktivovat, dynamický, zahodit, odmítnout, spadnout |
Protokoly | TCP, UDP, ICMP, IP |
Možnosti příkazového řádku režimu Logger
-l logdir | Zaznamenat pakety do výpisu TCP |
-K ASCII | Přihlaste se ve formátu ASCII |
Možnosti režimu NIDS
Definujte konfigurační soubor | -c (název konfiguračního souboru) |
Zkontrolujte správnost syntaxe a formátu pravidla | -T –c (název konfiguračního souboru) |
Alternativní režimy upozornění | -A (režim: plný, rychlý, žádný, konzola) |
Upozornění na syslog | -s |
Vytiskněte informace o upozornění | -v |
Odeslat upozornění SMB do počítače | -M (název počítače nebo IP adresa) |
Režim protokolu ASCII | -K |
Žádné protokolování | -N |
Spustit na pozadí | -D |
Poslouchejte konkrétní síťové rozhraní | -i |
Příklad pravidla Snort
Příklad pravidla Snort | log tcp !10.1.1.0/24 any -> 10.1.1.100 (zpráva: 'ftp přístup';) |
Výstupní výchozí adresář
Výstupní výchozí adresář | /var/snort/log |
Nejčastější dotazy ke Snortu
Jak může Snort pomoci s detekcí narušení sítě?
Snort funguje jako sniffer paketů. Poté může použít pravidla detekce k hledání známek narušení. Nástroj je schopen zkoumat provoz při jeho průchodu do sítě a také pakety, které síť opouštějí.
Dokáže Snort detekovat zero day síťové útoky?
Snort dokáže identifikovat zero-day útoky tím, že hledá typy akcí proti konkrétním typům cílů. Toto zobecnění a skenování chování znamená, že pravidla detekce Snort se nemusí při získávání pokynů spoléhat na dříve hlášené útoky.
Jaké jsou tři režimy Snortu?
Snort má tři provozní režimy:
- Packet Sniffer– Čte pakety ze sítě a zobrazuje je v konzole Snort
- Packet Logger– Čte pakety ze sítě a zapisuje je do souboru
- HNÍZDA– Systém detekce narušení sítě, který používá pravidla pro skenování paketů