19-tajriba ishi 
Mavzu: IDS / IPS dasturiy vositasini o'rnatish va sozlash. 
Ishdan maqsad: SNORT dasturi misolida ruhsatsiz kirishni aniqlash va 
oldini olish tizimlarini o'rnatish bo'yicha asosiy ko'nikmalarni shakllantirish. 
Ishni bajarish tartibi: 
1. Dasturni o'rnatish 
2. Dastur va uning rejimlarini o'rganish 
Snort - GPL litsenziyasiga ega bepul va ochiq kodli dasturiy ta'minot 
hisoblanadi. Snort dastlab 1998-yilda axborot xavfsizligi dunyosidagi eng taniqli 
odamlardan biri - Martin Roshning mualliflik kitoblari tomonidan yaratilgan. 
Ushbu IDSni yaratilishining asosiy sababi - o'sha davrda yetarli darajada samarali, 
hamda bepul hujum to'g'risida xabar berish vositasining yo'qligi edi. 
Dastur Windows va Linux operatsion tizimlariga mos keladi. Barcha 
aniqlangan tahdidlar jurnal fayliga yoziladi. Snort transport sathi paketini tahlil 
qilish prinsipi asosida ishlaydi, shuning uchun uni ishlatish uchun tarmoq kartasini 
maxsus monitor rejimiga qo'yishingiz kerak. Ishlab chiquvchilar IDS sinfidagi 
tizimlar tomonidan tizim resurslarini yo’qotish muammosini hisobga olishdi, 
shuning uchun Snort qo'shimcha qurilmalar talab qilmaydi va orqa fonda ishlaydi. 
SNORT ishga tushgandan keyin paket ketma-ket dekoderlar, dastlabki 
protsessorlar orqali o'tadi va shundan keyingina qoidalarni qo'llay boshlaydigan 
detektorga murojat qiladi. Dekoderlarning vazifasi kanal darajasidagi protokollar 
(Ethernet, 802.11, Token Ring…)dan tarmoq va transport darajasidagi 
ma'lumotlar(IP, TCP, UDP)ni "ajratib olish" hisoblanadi (19.1-rasm). 
Snort qaysi "trafik" ga ruxsat berish va qaysi birini kechiktirish kerakligini 
bilish uchun "qoidalar" dan ("qoidalar" fayllarida ko'rsatilgan) foydalanadi. Ushbu 
vosita moslashuvchan bo'lib, yangi qoidalarni yozib olishingiz va ularga rioya 
qilishingiz mumkin.

Dasturda modulli ulanadigan arxitekturadan foydalanadigan "aniqlash 
mexanizmi" mavjud bo'lib, unda ba'zi dastur kengaytmalari "aniqlash dvigatelidan" 
qo'shilishi yoki olib tashlanishi mumkin. 
Snort uchta rejimda ishlashi mumkin: 
1. tcpdump-ga o'xshash paketli sniffer sifatida; 
2. Paket registratori sifatida; 
3. Kirishni aniqlashning rivojlangan tizimi sifatida. 
19.1-rasm. Snort dasturining ishlash printsipi 
1. Dasturni o’rnatish 
Snort dasturining asosiy sayti - 
http://www.snort.org
. Snort muallif Martin 
Roes tomonidan GNU GPL litsenziyasi ostida tarqatiladi. Arxivni yuklagandan 
so'ng uni snort-1.7 katalogiga ochish kerak: 
root @lord]# tar -zxvf snort-1.7.tar.gz 
Libpcap-ni yuklab olgandan so'ng, uni arxivdan ochish kerak. Libbacp 
katalogiga kirib va quyidagi amallarni bajariladi: 
root @lord]# ./configure root @lord]# make 

Endi, snort kompilyatsiya qilish kerak. Buning uchun Snort joylashgan 
katalogga kirib va quyidagi buyruqni bajarish lozim: 
root @lord]# ./configure --with-libpcap-includes=/path/to/libpcap/ {* in my case 
it was :
root@lord./configure--with-libpcap-includes=/home/dood/libpcap} 
root @lord]# make root @lord]# make install 
Ushbu jarayondan so’ng Snort kompyuterda o'rnatiladi.
Endi Snort jurnal 
fayllarini saqlaydigan katalog yaratish kerak: 
root @lord]#mkdir /var/log/snort 
Dastur qayerda o'rnatilganligini tasdiqlash uchun quyidagilarni bajarish 
kerak: 
root @lord]# whereis snort 
Snort arxitekturasi uchta asosiy tarkibiy qismga ega, ularni quyidagicha 
tavsiflash mumkin: 
1. Paket dekoderi: ushlangan paketlarni ma'lumotlar turi shaklida 
tayyorlaydi, keyinchalik ularni aniqlash mexanizmi yordamida qayta ishlashi 
mumkin. Paket dekoderi Ethernet, SLIP va PPP paketlarini qayd etishi mumkin. 
2. Aniqlash mexanizmi: Snort qoidalari asosida unga "dekoder" tomonidan 
yuborilgan paketlarni tahlil qiladi va qayta ishlaydi. Snortning funksionalligini 
oshirish uchun o'zgaruvchan modullarni aniqlash mexanizmiga kiritish mumkin.
3. Logger/Alerter: Registrator siz o'qigan formatda paket dekoder tomonidan 
to'plangan ma'lumotlarni yozib olish imkonini beradi. Odatda, ro'yxatdan o'tish 
fayllari katalogda saqlanadi:/var/log/Snort.
Ogohlantirish mexanizmi ogohlantirishlarni syslog, fayl, Unix soketlari yoki 
ma'lumotlar bazasiga yuboradi. Odatda, barcha ogohlantirishlar faylda saqlanadi:
/var/log/Snort/alerts. 
2. Dastur va uning rejimlarini o'rganish 

Ushbu bo'limda SNORT tushunchalari va buyruqlarini batafsil muhokama 
qilinadi. Ushbu vazifa dasturning barcha kalitlarini aks ettiradigan oddiy buyruq 
bilan boshlanadi: 
root@lord snort -? 
Buyruq quyidagilarni beradi: 
-*> Snort! <*- 
Version 1.7 
By Martin Roesch (roesch@clark.net, www.snort.org) 
USAGE: snort [-options] 
Options: 
-A Set alert mode: fast, full, or none (alert file alerts only) 
'unsock' enables UNIX socket logging (experimental). 
-a Display ARP packets 
-b Log packets in tcpdump format (much faster!) 
-c Use Rules File 
-C Print out payloads with character data only (no hex) 
-d Dump the Application Layer 
-D Run Snort in background (daemon) mode 
-e Display the second layer header info 
-F Read BPF filters from file 
-g Run snort gid as 'gname' user or uid after initialization 
-h Home network = 
-i Listen on interface 
-l Log to directory 
-n Exit after receiving packets 
-N Turn off logging (alerts still work) 
-o Change the rule testing order to Pass|Alert|Log 
-O Obfuscate the logged IP addresses 
-p Disable promiscuous mode sniffing 
-P set explicit snaplen [sp? -ed.] of packet (default: 1514) 
-q Quiet. Don't show banner and status report 
-r Read and process tcpdump file 
-s Log alert messages to syslog 
Yuqorida aytib o'tilganidek, SNORT uch xil rejimda ishlaydi: 
1. Paketli sniffer rejimi: Snort ushbu rejimda ishlayotgan bo'lsa, u barcha 
tarmoq paketlarini o'qiydi va deshifrlaydi va stdout (ekraningiz) ga dump hosil 
qiladi. Snortni sniffer rejimiga o'tkazish uchun quyidagi kalitdan foydalaniladi: 
–v: root @lord]# ./snort –v 

Shuni esda tutish kerakki, ushbu rejimda faqat paket sarlavhalari ko'rsatiladi. 
To'plamning sarlavhasini va mazmunini ko'rish uchun quyidagi buyruq kiritiladi: 
root @lord]# ./snort -X 
2. Paketni ro'yxatdan o'tkazish rejimi: Ushbu rejim paketlarni diskka yozib 
oladi va ularni ASCII formatida kodlaydi.
root @lord]# Snort -l < directory to log packets to > 
3. Ruxsatsiz kirishni aniqlash rejimi:
Signal ma'lumotlari aniqlash 
mexanizmi tomonidan ro'yxatga olinadi (standart jurnal katalogida "alert" deb 
nomlangan fayl, lekin syslog, Winpop xabarlari va boshqalar ham bo’lishi 
mumkin). Standart jurnal katalogi -/var/log/snort ko’rinishida bo’ladi, lekin "- l" 
kaliti yordamida o'zgartirilishi mumkin. Endi paketni tahlil qilish uchun odatiy 
Snort buyrug'i ko'rib chiqiladi: 
root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 
Bu yerda C sinfi qismtarmog’ining 192.168.3.0-192.168.3.255 (qismtarmoq 
maskasi: 255.255.255.0) oralig'ini ko'rib chiqish lozim. Buning ma'nosini 
tushunish uchun yuqoridagi buyruqni batafsil tahlil qilish kerak: 
'-v': konsol batafsil javob yuboradi. 
'-d': dekodlangan dastur qatlami ma’lumotlarining borini hosil qiladi 
'-e': dekodlangan Ethernet sarlavhalarini ko'rsatadi. 
'-i': paketni tahlil qilish uchun tekshiriladigan interfeysni belgilaydi. 
'-h': boshqariladigan tarmoqni belgilaydi. 
Keyingi misolda Snortda ogohlantirishlar yaratiladi. Snort ogohlantirish 
rejimlari uchta asosiy guruhga ega: 
a. Tez: "alert" fayliga ogohlantirishlarni bitta satrda, xuddi syslog singari yozadi. 
b. To'liq: To'liq sarlavha dekodlangan holda 'alert' faylini yuborish uchun 
ogohlantirishlarni yozadi. 
v. None: - ogohlantirish bermaydi, so'ngra buyruq quyidagiga o'zgaradi: 
root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 -A fast 

Syslog signal xabarlarini yuborish uchun o‘rniga ‘-s ‘ kalitidan 
foydalaniladi. 
/var/log/safe yoki /var/log/messages ogohlantirishlar quyidagi buyruqda paydo 
bo'ladi: 
root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 –s 
Hozirgacha barcha ushlab olingan va tahlil qilingan paketlar ekranda 
namoyish etiladi. Agar Snort ularni jurnaliga yozishi kerak bo’lsa, "-l" 
parametridan foydalaniladi va jurnallarni yozish uchun katalog nomi ko'rsatiladi 
(masalan /var/log/snort): 
root @lord]#snort -v -d -e -i eth0 -h 192.168.3.0/24 -A full -l /var/log/snort 
Paketlarni tcpdump formatida ro'yxatdan o'tkazish va minimal 
ogohlantirishlarni yaratish uchun '-b' kalitidan foydalanish mumkin: 
root @lord]#snort -b -i eth0 -A fast -h 192.168.3.0/24 -s -l /var/log/snort 
Yuqoridagi buyruqlarda Snort tarmoq segmentidagi barcha paketlarni qayd 
qiladi. Agar qoidalarga qarab faqat ayrim turdagi paketlarni ro'yxatdan o'tkazish 
kerak bo'lsa, '-c' kalitidan foydalaniladi. 
root @lord]# snort -b -i eth0 -A fast -h 192.168.5.0/24 -s -l /var/log/snort -c 
/snort-rule-file. 
Topshiriq: 
1. SNORT dasturini o'rnating va qoidalarni sozlang. 
2. Ikkinchi virtual mashinada ping dan foydalaning, SNORT ning ta'sir 
qilish darajasini kuzating. 
3. Turli xil nmap skanerlash usullaridan foydalaning (-sS, -sT, -sN, -sU, -sX, 
-sF) va SNORT qanday reaksiyaga kirishishini kuzating. 
4. Ikkinchi virtual mashinada skanerlang va qoidalarning qanday ishlashini 
tekshiring. 

Nazorat savollari: 
1. IDS nima? 
2. Tarmoqqa ruxsatsiz kirishni aniqlash tizimi nima? 
3. Passiv va faol IDS larning farqi nimada? 
4. SNORT nima? 
5. SNORT qanday vazifalarni bajaradi? 
6. SNORT qoidalari qanday ishlaydi? 
7. SNORT uchun qoidalar qanday yaratiladi? 
8. Nima uchun o'zingizga SNORT qoidalarini yaratasiz? 
9. Nima uchun SNORT qoidalari yangilanishini yuklab olish kerak? 
10. SNORT da log fayllarni qanday yaratish mumkin?