Do’stmurodov Sherzod ki 13-19 6- laboratoriya ishi
Dastur va uning rejimlarini o'rganish
Download 197.59 Kb.
|
Do\'stmurodov Sherzod 6-labaratoriya
2. Dastur va uning rejimlarini o'rganishUshbu bo'limda SNORT tushunchalari va buyruqlarini batafsil muhokama qilinadi. Ushbu vazifa dasturning barcha kalitlarini aks ettiradigan oddiy buyruq bilan boshlanadi: root@lord snort -? Buyruq quyidagilarni beradi: -*> Snort! <*- Version 1.7 By Martin Roesch (roesch@clark.net, www.snort.org) USAGE: snort [-options] Options: -A Set alert mode: fast, full, or none (alert file alerts only) 'unsock' enables UNIX socket logging (experimental). -a Display ARP packets -b Log packets in tcpdump format (much faster!) -c Use Rules File -C Print out payloads with character data only (no hex) -d Dump the Application Layer -D Run Snort in background (daemon) mode -e Display the second layer header info -F Read BPF filters from file -g Run snort gid as 'gname' user or uid after initialization -h Home network = -i Listen on interface -l Log to directory -n Exit after receiving packets -N Turn off logging (alerts still work) -o Change the rule testing order to Pass|Alert|Log -O Obfuscate the logged IP addresses -p Disable promiscuous mode sniffing -P set explicit snaplen [sp? -ed.] of packet (default: 1514) -q Quiet. Don't show banner and status report -r Read and process tcpdump file -s Log alert messages to syslog Yuqorida aytib o'tilganidek, SNORT uch xil rejimda ishlaydi: Paketli sniffer rejimi: Snort ushbu rejimda ishlayotgan bo'lsa, u barcha tarmoq paketlarini o'qiydi va deshifrlaydi va stdout (ekraningiz) ga dump hosil qiladi. Snortni sniffer rejimiga o'tkazish uchun quyidagi kalitdan foydalaniladi: –v: root @lord]# ./snort –v Shuni esda tutish kerakki, ushbu rejimda faqat paket sarlavhalari ko'rsatiladi. To'plamning sarlavhasini va mazmunini ko'rish uchun quyidagi buyruq kiritiladi: root @lord]# ./snort -X Paketni ro'yxatdan o'tkazish rejimi: Ushbu rejim paketlarni diskka yozib oladi va ularni ASCII formatida kodlaydi. root @lord]# Snort -l < directory to log packets to > Ruxsatsiz kirishni aniqlash rejimi: Signal ma'lumotlari aniqlash mexanizmi tomonidan ro'yxatga olinadi (standart jurnal katalogida "alert" deb nomlangan fayl, lekin syslog, Winpop xabarlari va boshqalar ham bo‘lishi mumkin). Standart jurnal katalogi -/var/log/snort ko‘rinishida bo‘ladi, lekin "- l" kaliti yordamida o'zgartirilishi mumkin. Endi paketni tahlil qilish uchun odatiy Snort buyrug'i ko'rib chiqiladi: root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 Bu yerda C sinfi qismtarmog‘ining 192.168.3.0-192.168.3.255 (qismtarmoq maskasi: 255.255.255.0) oralig'ini ko'rib chiqish lozim. Buning ma'nosini tushunish uchun yuqoridagi buyruqni batafsil tahlil qilish kerak: '-v': konsol batafsil javob yuboradi. '-d': dekodlangan dastur qatlami ma‘lumotlarining borini hosil qiladi '-e': dekodlangan Ethernet sarlavhalarini ko'rsatadi. '-i': paketni tahlil qilish uchun tekshiriladigan interfeysni belgilaydi. '-h': boshqariladigan tarmoqni belgilaydi. Keyingi misolda Snortda ogohlantirishlar yaratiladi. Snort ogohlantirish rejimlari uchta asosiy guruhga ega: Tez: "alert" fayliga ogohlantirishlarni bitta satrda, xuddi syslog singari yozadi. To'liq: To'liq sarlavha dekodlangan holda 'alert' faylini yuborish uchun ogohlantirishlarni yozadi. None: - ogohlantirish bermaydi, so'ngra buyruq quyidagiga o'zgaradi: root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 -A fast Syslog signal xabarlarini yuborish uchun o‗rniga ‗-s ‗ kalitidan foydalaniladi. /var/log/safe yoki /var/log/messages ogohlantirishlar quyidagi buyruqda paydo bo'ladi: root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 –s Hozirgacha barcha ushlab olingan va tahlil qilingan paketlar ekranda namoyish etiladi. Agar Snort ularni jurnaliga yozishi kerak bo‘lsa, "-l" parametridan foydalaniladi va jurnallarni yozish uchun katalog nomi ko'rsatiladi (masalan /var/log/snort): root @lord]#snort -v -d -e -i eth0 -h 192.168.3.0/24 -A full -l /var/log/snort Paketlarni tcpdump formatida ro'yxatdan o'tkazish va minimal ogohlantirishlarni yaratish uchun '-b' kalitidan foydalanish mumkin: root @lord]#snort -b -i eth0 -A fast -h 192.168.3.0/24 -s -l /var/log/snort Yuqoridagi buyruqlarda Snort tarmoq segmentidagi barcha paketlarni qayd qiladi. Agar qoidalarga qarab faqat ayrim turdagi paketlarni ro'yxatdan o'tkazish kerak bo'lsa, '-c' kalitidan foydalaniladi. root @lord]# snort -b -i eth0 -A fast -h 192.168.5.0/24 -s -l /var/log/snort -c /snort-rule-file. Download 197.59 Kb. Do'stlaringiz bilan baham: 
|