لقد قمنا بتغطية تكوين Snort كحل مفتوح المصدر لـ IDS/IPS. يعمل Snort كمتشمم ومسجل للحزم وIPS/IDS. كان هذا جزءًا من جربHackMe Snort.

الحصول على ملاحظات الشخير

نظام كشف التسلل (معرفات)

معرفات هو حل مراقبة سلبي لاكتشاف الأنشطة/الأنماط الضارة المحتملة والحوادث غير الطبيعية وانتهاكات السياسة. وهي مسؤولة عن إصدار تنبيهات لكل حدث مشبوه.

هناك نوعان رئيسيان من معرفات الأنظمة؛

  • نظام كشف التسلل إلى الشبكة (NIDS) – NIDS يراقب تدفق حركة المرور من مناطق مختلفة من الشبكة. الهدف هو التحقق من حركة المرور على الشبكة الفرعية بأكملها. إذا تم التعرف على التوقيع، يتم إنشاء تنبيه.
  • نظام كشف التسلل المعتمد على المضيف (يخفي) – يخفي يراقب تدفق حركة المرور من جهاز نقطة نهاية واحد. الهدف هو التحقق من حركة المرور على جهاز معين. إذا تم التعرف على التوقيع، يتم إنشاء تنبيه.
نظام منع الاختراق (IPS)

IPS هو حل حماية نشط لمنع الأنشطة/الأنماط الضارة المحتملة والحوادث غير الطبيعية وانتهاكات السياسة. وهي مسؤولة عن إيقاف/منع/إنهاء الحدث المشبوه بمجرد إجراء الكشف.

هناك أربعة أنواع رئيسية من IPS الأنظمة؛

  • نظام منع اختراق الشبكة (خطط التنفيذ الوطنية) – خطط التنفيذ الوطنية يراقب تدفق حركة المرور من مناطق مختلفة من الشبكة. الهدف هو حماية حركة المرور على الشبكة الفرعية بأكملها. إذا تم التعرف على التوقيع، فسيتم إنهاء الاتصال.
  • نظام منع التسلل القائم على السلوك (تحليل سلوك الشبكة – الدوري الاميركي للمحترفين) - تقوم الأنظمة القائمة على السلوك بمراقبة تدفق حركة المرور من مناطق مختلفة من الشبكة. الهدف هو حماية حركة المرور على الشبكة الفرعية بأكملها. إذا تم تحديد التوقيع، تم إنهاء الاتصال.

سنورت 

SNORT هو نظام مفتوح المصدر لكشف التسلل إلى الشبكة ومنعه (NIDS/NIPS). تم تطويره وما زال يحتفظ به مارتن روش، والمساهمون في المصادر المفتوحة، وفريق Cisco Talos.

قدرات الشخير.

  • تحليل حركة المرور الحية
  • كشف الهجوم والتحقيق
  • تسجيل الحزمة
  • تحليل البروتوكول
  • تنبيه في الوقت الحقيقي
  • الوحدات والإضافات
  • المعالجات المسبقة
  • دعم عبر الأنظمة الأساسية! (لينكس & شبابيك)

لدى Snort ثلاثة نماذج استخدام رئيسية؛

  • وضع Sniffer – قراءة حزم IP ومطالبتها في تطبيق وحدة التحكم.
  • وضع مسجل الحزم - قم بتسجيل جميع حزم IP (الواردة والصادرة) التي تزور الشبكة.
  • NIDS (نظام كشف التسلل إلى الشبكة) و خطط التنفيذ الوطنية أوضاع (نظام منع اختراق الشبكة) – قم بتسجيل/إسقاط الحزم التي تعتبر ضارة وفقًا للقواعد المحددة من قبل المستخدم.

إجابات الغرفة

ما هو وضع الشخير الذي يمكن أن يساعدك في إيقاف التهديدات على جهاز محلي؟

ما هو وضع Snort الذي يمكن أن يساعدك في اكتشاف التهديدات على الشبكة المحلية؟

ما هو وضع Snort الذي يمكن أن يساعدك في اكتشاف التهديدات الموجودة على جهاز محلي؟

ما هو وضع الشخير الذي يمكن أن يساعدك في إيقاف التهديدات على الشبكة المحلية؟

ما هو وضع الشخير الذي يعمل بشكل مشابه خطط التنفيذ الوطنية وضع؟

وفقا للوصف الرسمي للشخير، أي نوع من خطط التنفيذ الوطنية فعلا؟

الدوري الاميركي للمحترفين تُعرف فترة التدريب أيضًا باسم ...

قم بتشغيل مثيل Snort وتحقق من رقم الإصدار.

اختبر المثيل الحالي باستخدام "/etc/snort/snort.conf"ملف وتحقق من عدد القواعد التي تم تحميلها مع البنية الحالية.

اختبر المثيل الحالي باستخدام "/etc/snort/snortv2.conf"ملف وتحقق من عدد القواعد التي تم تحميلها مع البنية الحالية.

تحقق من حركة المرور باستخدام ملف التكوين الافتراضي مع وضع ASCII.

 

Sudo snort -dev -K ASCII -l .

قم بتنفيذ البرنامج النصي لمولد حركة المرور واختر "تمرين TASK-6". انتظر حتى تنتهي حركة المرور، ثم أوقف مثيل Snort. الآن قم بتحليل ملخص الإخراج وأجب عن السؤال.

 

سودو ./traffic-generator.sh

الآن، يجب أن يكون لديك السجلات في الدليل الحالي. انتقل إلى المجلد "145.254.160.237". ما هو المنفذ المصدر المستخدم لتوصيل المنفذ 53؟

استخدم snort.log.1640048004

اقرأ ملف snort.log باستخدام Snort؛ ما هو معرف IP للحزمة العاشرة؟

سنورت -r snort.log.1640048004 -n 10

إقرأ ال "snort.log.1640048004″ ملف مع الشخير. ما هو مرجع الحزمة الرابعة؟

إقرأ ال "snort.log.1640048004″ ملف مع الشخير. ما هو رقم الاستلام للحزمة الثامنة؟

إقرأ ال "snort.log.1640048004″ ملف مع الشخير. ما هو عدد "منفذ TCP 80" الحزم؟

التحقق من حركة المرور باستخدام ملف التكوين الافتراضي.

 

sudo snort -c /etc/snort/snort.conf -A full -l .

قم بتنفيذ البرنامج النصي لمولد حركة المرور واختر "تمرين المهمة 7". انتظر حتى تتوقف حركة المرور، ثم أوقف مثيل Snort. الآن قم بتحليل ملخص الإخراج وأجب عن السؤال.

 

سودو ./traffic-generator.sh

ما هو عدد المكتشفة HTTP الحصول على الأساليب؟

التحقيق في MX-1.pcap الملف مع ملف التكوين الافتراضي.

 

sudo snort -c /etc/snort/snort.conf -A full -l . -r MX-1.pcap

ما هو عدد التنبيهات الصادرة؟

استمر في قراءة الإخراج. ما هو عدد مقاطع TCP الموجودة في قائمة الانتظار؟

استمر في قراءة المخرجات. كم عدد "رؤوس استجابة HTTP" التي تم استخراجها؟

التحقق من الملف mx-1.pcap مع الثاني ملف الضبط.

 

sudo snort -c /etc/snort/snortv2.conf -A full -l . -r MX-1.pcap

ما هو عدد التنبيهات الصادرة؟

التحقيق في MX-2.pcap الملف مع ملف التكوين الافتراضي.

 

sudo snort -c /etc/snort/snort.conf -A full -l . -r MX-2.pcap

ما هو عدد التنبيهات الصادرة؟

استمر في قراءة الإخراج. ما هو عدد المكتشفة برنامج التعاون الفني الحزم؟

تحقق من ملفات mx-2.pcap وmx-3.pcap باستخدام ملف التكوين الافتراضي.

 

sudo snort -c /etc/snort/snort.conf -A full -l . --pcap-list="mx-2.pcap mx-3.pcap"

ما هو عدد التنبيهات الصادرة؟

يستخدم Task9.pcap".

اكتب قاعدة للتصفية معرف IP "35369" وتشغيله على ملف pcap المحدد. ما هو اسم الطلب للحزمة المكتشفة؟ Snort -c local.rules -A full -l . -r Task9.pcap

قم بإنشاء قاعدة لتصفية الحزم باستخدام علامة Syn وتشغيلها على ملف pcap المحدد. ما هو عدد الحزم المكتشفة؟

امسح ملفات السجل والإنذار السابقة وقم بإلغاء تنشيط/التعليق على القاعدة القديمة.

اكتب قاعدة لتصفية الحزم باستخدام إشارات Push-Ack وقم بتشغيلها على ملف pcap المحدد. ما هو عدد الحزم المكتشفة؟

امسح ملفات السجل والإنذار السابقة وقم بإلغاء تنشيط/التعليق على القاعدة القديمة.

قم بإنشاء قاعدة لتصفية الحزم بنفس عنوان IP المصدر والوجهة وقم بتشغيلها على ملف pcap المحدد. ما هو عدد الحزم المكتشفة؟

مثال حالة – قام أحد المحللين بتعديل قاعدة موجودة بنجاح. ما هو خيار القاعدة الذي يجب على المحلل تغييره بعد التنفيذ؟

تجول الفيديو

, , , ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات