5-Amaliy ish. Tarmoq hujumlarni aniqlash tizimlari
Download 0.99 Mb.
|
5-6AMALIY ISH
- Bu sahifa navigatsiya:
- 4. Tarmoqqa kirishni aniqlash rejimi
|
3. Paket jurnali rejimi
Paket jurnali rejimi diskka axborot oqimini yozish imkonini beradi. Bu ma'lum vaqt oralig'ida tahlil qilish yoki xavfsizlik sozlamalari va siyosatidagi o'zgarishlarni tekshirishda foydalidir. Jurnallar uchun katalog yaratishingiz va belgilashingiz kerak va Snort avtomatik ravishda paketlar jurnali rejimiga o'tadi. Misol: katalog yaratish jurnallar va ishga tushirish: snort-dev-l../log Amaliyot natijasida /qayerdan, qayerdan izlash kerak, kerakli joyni qanday ko'rsatish kerak?/, snort. log.. Yangi fayl nomlarining oxiridagi raqamlar fayllarni yaratishda ziddiyatlarni oldini olish uchun vaqt belgilaridir. /afzalroq jurnal fayliga misol/ 4. Tarmoqqa kirishni aniqlash rejimi "Snort" ning uchinchi rejimi - Tarmoqqa tajovuzni aniqlash (NIDS) rejimi. O'zining asosiy shaklida Snort qoidasi /ular qayerda saqlanadi?/ ikki qismdan iborat: sarlavha va parametrlar. Quyida qoidaga misol keltirilgan. alert tcp any -> any any (content: "www. "; msg: "Kimdir youtube-ga hozir tashrif buyurmoqda"; sid:1000002; rev:1) Qoidalar tuzilishi modeli taqdim etilishi mumkinmi / u qattiq kodlanganmi yoki uni o'zgartirish mumkinmi? kvadrat qavs ichidagi elementlar ixtiyoriy, deb umid qilamiz. ma'lum. Ammo ular orasida maxsus ajratgichlar bormi? / quyidagi sxema bo'yicha: <действие_правила> <протокол> <порт> <оператор_направления> <порт>([meta_ma'lumotlar] [paket_kontent_ma'lumotlari] [sarlavhadagi_ma'lumotlar] [aniqlashdan_keyin_harakat]) Qoidalarning harakatlari quyidagi toifalarga bo'linadi: 1. ogohlantirish - Tanlangan usuldan foydalangan holda ogohlantirish hosil qiling va ma'lumotni jurnal tizimiga o'tkazing. 2. jurnal - Paket ma'lumotlarini yozib olish uchun jurnal tizimidan foydalaning. 3. o'tish - Paketga e'tibor bermang. 4. faollashtirish - Boshqa dinamik qoidadan foydalaning. 5. dinamik - Faol qoida bajarilgandan so'ng, ro'yxatga olish protsedurasi bilan qoida faollashtiriladi. 6. tushirish - Dasturiy ta'minot xavfsizlik devori yordamida paketni tashlab yuboring va ma'lumotlarni jurnalga yozish tizimiga o'tkazing 7. tushirish - Dasturiy ta'minot xavfsizlik devori bilan paketni tashlab yuboring va ro'yxatga olish tizimidan foydalanmang. 8. rad qilish - Xavfsizlik devoridan foydalanib, agar protokol TCP bo'lsa, paketdan voz keching yoki jurnal fayliga xabar yozing: agar paket UDP protokoli orqali kelsa, ICMP porti mavjud emas. Snort qoidasining ikkinchi qismi aniqlanishi kerak bo'lgan trafikning qo'shimcha tafsilotlarini belgilaydigan variantlardir. Siz TCP/sarlavhasidagi maydonlar toʻplami yoki paketning foydali yuki boʻyicha qidirishingiz mumkin. Har bir variantdan keyin qo'shtirnoq va siz izlayotgan qiymat qo'yilishi kerak. Siz ularni nuqta-vergul bilan ajratib, bir nechta variantni qo'shishingiz mumkin. Quyidagilar to'g'ri variantlardir. Download 0.99 Mb. Do'stlaringiz bilan baham: 
|