5-Amaliy ish. Tarmoq hujumlarni aniqlash tizimlari
msg- xabar matnini o'z ichiga oladi; logto
Download 1.77 Mb. Pdf ko'rish
|
5-6AMALIY ISH
- Bu sahifa navigatsiya:
- 5. Snortni sinovdan otkazish
|
msg- xabar matnini o'z ichiga oladi;
logto- paket tarkibini unga yozish uchun muqobil faylni belgilaydi; sessiya- bu parametr juda qiziqarli Snort funksiyasini yoqish imkonini beradi - TCP seansidan foydalanuvchi ma'lumotlarini ajratib olish, masalan, foydalanuvchi telnet seansi davomida qanday buyruqlarni kiritganligini keyingi tahlil qilish uchun; javob- agar paket qoidaga mos kelsa, u holda Snort belgilangan amallardan birini bajaradi - masalan, TCP-RST paketini xostlardan biriga yuborish orqali ulanishni yoping. reaksiyaga kirishish- qoidada ko'rsatilgan veb-saytlarni ular bilan aloqani o'chirish va/yoki saytga kirishga urinilgan brauzerga ko'rsatilgan xabarni yuborish orqali bloklaydi. O'zingizning qoidalaringizni yaratishga bir nechta misollar: Agar Napster serveriga so'rov topilsa, ulanish majburiy ravishda yopiladi. Ko'rib turganingizdek, Snort yordamida keraksiz trafikni filtrlashni xavfsizlik devoridagi tegishli portlarni yopishdan ko'ra samaraliroq tashkil qilish mumkin, chunki paketlar tarkibiga qo'shimcha shart kiritish mumkin. 5. Snortni sinovdan o'tkazish Snortning ishlashini tekshirish uchun oddiy misolni olaylik. Buyruqlar qatorida ping -s 65507 ni kiriting. Endi biz /var/log/snort-ga o'tamiz, jurnallar sukut bo'yicha bu erda saqlanadi. Ogohlantirish faylini oching va quyidagi qatorlarni ko'ring: [**] ICMP katta ICMP paketi [**] 01/06-07:37:37.119752 192.168.168.99 -> 192.168.168.9 ICMP TTL: 255 TOS: 0x0 ID: 18479 IpLen: 20 DgmLen: 63028 Turi: 0 Kod: 0 ID: 512 Seq: 19456 EHO REPLY Birinchi satr bizga qaysi harakat signalni ishga tushirganini aytadi, bu holda ICMP paketi juda katta. Ikkinchi qatorda hujum sinfi va uning ustuvorligi ko'rsatilgan (bu ma'lumot classification.config faylidan aniqlanadi). Uchinchi qatorda hujum vaqti, shuningdek, paketni yuborgan xostning IP-manzillari va paket uchun mo'ljallangan xost ko'rsatilgan. Keyin TTL, TOS kabi paketli maydonlarning qolgan qismi keladi - ular orqali siz tajovuzkorning operatsion tizimini va boshqalarni aniqlashingiz mumkin ... 6. Xulosa Yuqorida aytilganlarning barchasidan menimcha, Snort juda foydali degan xulosaga kelish mumkin. Har holda, ushbu dasturdan foydalanish xakerlar hayotini biroz qiyinlashtiradi. Va bu har qanday tizim ma'murining maqsadi emasmi? Ushbu maqola Snort bo'yicha to'liq qo'llanma bo'lib ko'rinmaydi, lekin umid qilamanki, u sizga uning o'rnatilishi, konfiguratsiyasi va ishlashini tushunishga yordam beradi. Ko'pgina fikrlar men turli xil xavfsizlik saytlarida uchragan turli hujjatlardan, asosan ingliz tilidan keladi, lekin bu asosan Snort bilan bo'lgan tajribam natijasidir. Download 1.77 Mb. Do'stlaringiz bilan baham: 
|