Ktl-icon-tai-lieu

Thực Hành QTM

Được đăng lên bởi Phúc Kiều
Số trang: 18 trang   |   Lượt xem: 921 lần   |   Lượt tải: 1 lần
Bộ môn Mạng & Truyền thông, Khoa CNTT, ĐHBK Đà Nẵng

HƯỚNG DẪN THỰC HÀNH SNORT

1

Giới thiệu về SNORT

Snort là một sản phẩm mã nguồn mở được phát triển nhằm phát hiện những
xâm nhập trái phép vào hệ thống bởi những quy tắc hay luật đã được thiết lập sẵn,
những thiết lập này dựa vào những dấu hiệu, giao thức và sự dị thường.
Snort sử dụng các luật được lưu trữ trong các file text, có thể được chỉnh sửa
bởi người quản trị. Các luật được nhóm thành các kiểu. Các luật thuộc về mỗi loại
được lưu trong các file khác nhau. File cấu hình chính của Snort là snort.conf.
Snort đọc những luật này vào lúc khởi tạo và xây dựng cấu trúc dữ liệu để cung
cấp các luật để bắt giữ mẫu vi phạm. Tìm ra các dấu hiệu và sử dụng chúng trong
các luật là một vấn đề đòi hỏi sự tinh tế, vì càng sử dụng nhiều luật thì năng lực xử
lý càng được đòi hỏi để thu thập dữ liệu trong thực tế. Snort có một tập hợp các
luật được định nghĩa trước để phát hiện các hành động xâm nhập và các quản trị
viên cũng có thể thêm vào các luật của chính mình. Quản trị viên cũng có thể xóa
một vài luật đã được tạo trước để tránh việc báo động sai. Snort bao gồm một hoặc
nhiều sensor và một server CSDL chính.Các Sensor có thể được đặt trước hoặc
sau firewall:
o Giám sát các cuộc tấn công vào firewall và hệ thống mạng
o Có khả năng ghi nhớ các cuộc vượt firewall thành công
2

Cài đặt Snort
Giả sử địa chỉ IP máy Server là 192.168.1.9
Download Wincap: 
Download Snort: 
Cài đặt Winpcap
Cài đặt Snort tại thư mục C:\Snort

2.1 Xem thư mục cài đặt
C:\Snort\bin>dir

1

Bộ môn Mạng & Truyền thông, Khoa CNTT, ĐHBK Đà Nẵng

2.2 Xem tập tin snort.conf
C:\Snort\bin>type C:\Snort\etc\snort.conf

2.3

Xem số hiệu card mạng

Để tiến hành sniffer ta cần chọn card mạng để snort đặt vào chế độ promicous,
Nếu máy tính có nhiều card hãy sử lệnh snort –W để xác định card mạng.
snort –W

2

Bộ môn Mạng & Truyền thông, Khoa CNTT, ĐHBK Đà Nẵng

2.4

Xem kết quả bắt gói tin

Hiển thị IP và TCP/UDP/ICMP header
C:\Snort\bin\snort –v –i4
Xem thông tin truyền của các ứng dụng
C:\Snort\bin\snort –vd –i4
Hiển thị thêm các header của gói tin tại tầng Data Link:
C:\Snort\bin\snort -dev -i 1

3

Bộ môn Mạng & Truyền thông, Khoa CNTT, ĐHBK Đà Nẵng

Nhấn Ctrl+C để dừng

4

Bộ môn Mạng & Truyền thông, Khoa CNTT, ĐHBK Đà Nẵng

2.5 Bắt gói tin và lưu vào tập tin log
C:\Snort\bin>snort -i 1 -s -l c:\Snort\log

Kết quả tập tin log được tạo

5

Bộ môn Mạng & Truyền thông, ...
B môn Mng & Truyn thông, Khoa CNTT, ĐHBK Đà Nng
1
HƯỚNG DN THC HÀNH SNORT
1 Gii thiu v SNORT
Snort mt sn phm ngun m được phát trin nhm phát hin nhng
xâm nhp trái phép vào h thng bi nhng quy tc hay lut đã được thiết lp sn,
nhng thiết lp này da vào nhng du hiu, giao thc và s d thường.
Snort s dng các lut được lưu tr trong các file text, th được chnh sa
bi người qun tr. Các lut được nhóm thành các kiu. Các lut thuc v mi loi
được lưu trong c file khác nhau. File cu hình chính ca Snort snort.conf.
Snort đc nhng lut này vào lúc khi to xây dng cu trúc d liu để cung
cp các lut để bt gi mu vi phm. Tìm ra c du hiu s dng chúng trong
các lut là mt vn đề đòi hi s tinh tế, vì càng s dng nhiu lut thì năng lc x
càng được đòi hi để thu thp d liu trong thc tế. Snort mt tp hp các
lut đưc đnh nghĩa trước đ phát hin các hành động xâm nhp các qun tr
viên cũng th thêm vào các lut ca chính mình. Qun tr viên cũng th xóa
mt vài lut đã đưc to trước đ tránh vic báo động sai. Snort bao gm mt hoc
nhiu sensor mt server CSDL chính.Các Sensor th được đặt trước hoc
sau firewall:
o Giám sát các cuc tn công vào firewall và h thng mng
o Có kh năng ghi nh các cuc vượt firewall thành công
2 Cài đặt Snort
Gi s địa ch IP máy Server là 192.168.1.9
Download Wincap: http://www.winpcap.org/install/default.htm
Download Snort: http://snort.org/snort-downloads
Cài đặt Winpcap
Cài đặt Snort ti thư mc C:\Snort
2.1 Xem thư mc cài đặt
C:\Snort\bin>dir
Thực Hành QTM - Trang 2
Để xem tài liệu đầy đủ. Xin vui lòng
Thực Hành QTM - Người đăng: Phúc Kiều
5 Tài liệu rất hay! Được đăng lên bởi - 1 giờ trước Đúng là cái mình đang tìm. Rất hay và bổ ích. Cảm ơn bạn!
18 Vietnamese
Thực Hành QTM 9 10 885