2.3.2 Установка Snort (Windows xp)

1. Запустите файл Snort_2_9_2_1_Installer.exe и следуете процедуре установки, оставив все настройки по умолчанию

2. После установки замените C:\Snort\etc\snort.config на snort.config из папки с установочным файлом

3. Запустите командную строку (cmd) от имени администратора и перейдите в каталог

cd C:\Snort\bin

4. Выполните команду (см. рис. 10)

snort –W

в случае успешной установки будет выведен список сетевых устройств

Рис. 10. Результат выполнения команды snort –W

5. Краткую справку о синтаксисе командной строки snort можно получить выполнив команду

snort -?

2.3.3 Режим снифера

В режиме анализа пакетов, Snort просто читает пакеты, приходящие из сети, и выводит их на экран. Указателем режима снифера является наличие в командной строке snort опций -v, -d или -e. Опция -v разрешает вывести IP-, TCP-, UDP- и ICMP-заголовки пакетов. Опция -d – данные пакетов. Опция -e – Ethernet-заголовки. Опции могут быть заданы в любой форме, например: "snort -vde", "snort -d -ev" и "snort -e -v -d".

Выполните, что бы получить заголовки пакетов

snort –v

подробный вывод, включающий заголовки канального уровня

snort –vde

заголовки и данные TCP-пакетов

snort -vd tcp

то же самое, но для ICMP-пакетов

snort -v -d icmp

Snort будет собирать информацию до тех пор, пока вы его не прервете. Для завершения захвата пакетов нажмите Ctrl-C. После нажатия Ctrl-C будет выведен отчет о захваченных пакетах (см. рис. 11).

Рис. 11. Отчет о захваченных пакетах

Что бы прервать захват пакетов, после получения определенного числа пакетов, например 10, выполните (см. рис. 12)

snort -v -n 10

Рис. 12. Результат выполнения команды snort -v -n 10

2.3.4 Режим регистратора пакетов

Режим регистратора пакетов позволяет вам записывать поток информации на диск. Это полезно при проведении анализа за определенный интервал времени или проверки изменений в настройках и политике безопасности. Указателем режима регистратора пакетов является наличие в командной строке опции –l. Так же нужно указать существующий каталог для логов[6]

snort -dev -l C:\Snort\log

В каталоге log (см. рис.13) появится файл с информацией о пакетах, который будет сохранен в формате tcpdump.

Рис. 13. Каталог log

Для того чтобы прочитать информацию из snort.log.1331245353 введите команду (см. рис. 14)

snort –dev –r C:\Snort\log\snort.log.1331245353

Рис. 14. Окно информации из snort.log.1331245353

2.3.5 Режим обнаружения сетевых вторжений

Третий режим Snort, это режим обнаружения сетевых вторжений (Network Intrusion Detection, NIDS). Snort работает с предварительно заданными шаблонами вредоносного трафика, называемыми правилами (rules), которые позволяют определить, какой трафик в сети является вредоносным, а какой - нет. Это похоже на антивирусные программы, так как правила нужно периодически обновлять. Snort может обнаружить только известные атаки, так что необходимо регулярно обновлять базы правил.

Правила имеют достаточно простой синтаксис

<action> <protocol> <first host> <first port> <direction> <second host> <second port> (<rule options>;)