Режим перегляду

Для виведення заголовків TCP/IP пакетів на екран (тобто режим перегляду), використовується команда:

snort –v

Ця команда запустить Snort і показуватиме тільки IP і TCP/UDP/ICMP заголовки, і нічого іншого. Для виведення даних програми при передачі пакету, використовується ключ “-d”:

snort -vd

Таким чином Snort відображатиме дані пакету разом із заголовками пакетів. Якщо потрібен більш детальний вивід, з показом заголовка канального рівня застосовується ключ “-е”:

snort -vde

Ці ключі можна розділяти або прописувати разом в будь-якій комбінації. Остання команда могла бути також набрана так:

snort -d -v -е

і це повинно виконувати одне і теж.

1.3. Режим реєстрації пакетів

Для того, щоб Snort записав пакети на диск, потрібно визначити директорію реєстрації і тоді програма знатиме, що потрібно перейти в режим протоколювання пакетів:

snort -dev -l C: \Snort\log

Звичайно, це припускає, що існує “Log” директорія, і вона знаходиться по вказаному шляху. Якщо ні, Snort завершить роботу з виведенням повідомлення про помилку. Коли Snort запускається в цьому режимі, то збирає кожний пакет і розміщує в директорію з вказівкою IP адреси одного з хостів в датаграмі.

Якщо буде визначений тільки “–l ключ”, то можна помітити, що іноді Snort використовує адресу віддаленого комп'ютера як директорію, в якій він розміщує пакети, а іноді використовується локальна адреса хосту. Щоб проводити реєстрацію пакетів в домашній мережі, потрібно вказати до якого типу належить домашня мережа:

snort -dev -l C: \Snort\log -h 192.168.1.0/24

Це правило вказує Snort зберігати пакети канального рівня і TCP/IP заголовки в директорію C: \Snort\log, і реєструвати пакети, які відносяться до 192.168.1.0 мереж класу C. Всі пакети, що поступають, записуватимуться в підкаталогах директорії реєстрації, з використанням імен каталогів заснованих на адресі віддаленого комп'ютера (не-192.168.1).

Коли мережа працює на великій швидкості, і необхідно реєструвати пакети в більш компактній формі для більш пізнього аналізу існує реєстрація в двійковому режимі. Двійковий режим реєструє пакети в “tcpdump” форматі в один двійковий файл котрий знаходиться в директорії реєстрації:

snort -l C: \Snort\log -b

В наведеному вище прикладі не потрібно визначати домашню мережу, тому що двійковий режим реєструє все в одному файлі, який виключає потребу у форматуванні вихідної структури директорій.

До того ж, не потрібно запускати програму в надмірному режимі або визначати ключі “-d” або “-е”, тому що в двійковому режимі реєструється цілий пакет, а не тільки його розділи. Все що потрібно для запуску Snort в режимі реєстратора пакетів, так це визначення директорії реєстрації в командному рядку з ключем “-l”, “-b” ключ реєстрації в двійковому форматі лише вказує модифікатору реєструвати пакети в іншому форматі, ніж вихідному форматі ASCII тексту який заданий за умовчанням.

Як тільки пакети будуть зареєстровані в двійковому файлі, їх можна буде прочитати з файлу за допомогою будь-якої програми, котра підтримує двійковий формат tcpdump як, наприклад tcpdump або Ethereal. Snort може також прочитати пакети назад з файлу за допомогою ключа “-r”, який поміщає пакет в режим відображення. Пакети з будь-якого відформатованого tcpdump файлу можуть оброблятися через Snort в будь-якому з виконуваних режимів. Наприклад, для запуску файлу реєстрації в двійковому вигляді через Snort в режимі виведення інформації про пакети, щоб вивести вміст пакету на екран, використовується команда:

snort -dv -r C: \Snort\Log\packet.log

Можна маніпулювати даними файлу в режимі реєстрації пакетів Snort і режимі виявлення вторгнень за допомогою BPF інтерфейсу, який доступний з командного рядка. Наприклад, якщо потрібно відображати тільки пакети ICMP з файлу реєстрації, слід визначити BPF-фільтр в командному рядку і тоді Snort видасть тільки ICMP пакети у файлі:

snort -dvr C: \Snort\log\packet.log icmp

1.4. Режим виявлення вторгнень в мережі

Щоб запустити режим виявлення вторгнень в мережі (NIDS) (виключає потребу записувати кожний пакет, відісланий по мережі), використовується команда:

snort -dev -l C: \Snort\log -h 192.168.1.0/24 -c snort.conf

Де snort.conf є ім'ям файлу правил. Ця команда застосує правила, встановлені у файлі snort.conf до кожного пакету, щоб вирішити, якщо дію, описану в правилі потрібно виконати. Якщо не визначена вихідна директорія для програми, Snort використовуватиме значення за умовчанням (C: \var\log\snort).

Слід відмітити, що якщо Snort використовуватиметься тривалий час в ролі NIDS, то ради швидкості ключ “-v” повинен бути опущений в командному рядку. Екран - це повільне місце для запису даних, і пакети можуть втрачатися, коли виводяться на дисплей.

Також немає необхідності в записі заголовків канального рівня для більшості програм, так що немає потреби в установці “-е” ключа.

snort -d -h 192.168.1.0/24 -l C: \Snort\log -c snort.conf

Ця дія зорієнтує Snort запуститися в основній формі NIDS, реєструючи пакети в директорії з ієрархією структури каталогу, як описано правилом в ASCII форматі (подібно режиму реєстратора пакетів).

1.4.1. Елементи настройок виводу в режимі NIDS

Є цілий ряд шляхів конфігурування виводу Snort в режимі NIDS. Типові механізми реєстрації і попередження реєструють в декодованому форматі ASCII і використовують режим максимальної пильності. Механізм повної пильності зберігає повідомлення попередження на додаток до цілого заголовка пакету. Є різні режими пильності доступні в командному рядку, а також два засоби реєстрації.

Режими пильності дещо складніші. Є сім режимів пильності, доступних в командному рядку, full, fast, socket, syslog, console, cmg, і none. Шість з цих режимів доступні з “-A ключем” командного рядка. Цими елементами настройки є:

-A fast: режим швидкої пильності, записує попередження в простому форматі разом з відміткою часу, повідомленням-попередженням, джерелом і місцем призначення IP/портів;

-A full: це також режим пильності за умовчанням, так що якщо нічого не визначено він використовуватиметься автоматично;

-A unsock: відправляє попередження сокету UNIX, який може прослуховувати інша програма;

-A none: вимикає режим попереджень;

-A console: відправляє попередження швидкого “стилю” на консоль (екран);

-A cmg: генерує попередження “cmg стилю”.

Пакети можуть реєструватися у формат ASCII за умовчанням або в двійковий файл реєстрації через ключ ”-b” командного рядка. Якщо потрібно відключити всі реєстрації пакетів, використовуйте ключ “-N” командного рядка.

Більш детальний розгляд режимів виводу, доступних через файл конфігурацій описано в розділі 2.7.

Щоб відправити попередження в “syslog”, використовуйте “–s” ключ. Засобами механізму попереджень “syslog” за умовчанням є LOG_AUTHPRIV і LOG_ALERT. Для настройки інших можливостей виведення “syslog”, існують вихідні плагін директиви у файлах правил. В розділі 2.4.1 інформація про настройки виведення “syslog” розглядається більш конкретно.

Ось деякі приклади настройок виводу:

• Реєстрація за умовчанням (декодований ASCII) і відправка попереджень в syslog:

snort -c C: \Snort\etc\snort.conf -l C: \Snort\log -h 192.168.1.0/24 -s

• Реєстрація засобом за умовчанням і відправка попереджень у файл швидких попереджень:

snort -c C: \Snort\etc\snort.conf -A fast -h 192.168.1.0/24

1.4.2. Настройка високої продуктивності

Для того, щоб Snort працював швидко (утримування швидкості в 1000 Mbps), слід використовувати об'єднуючу реєстрацію і програму читання з'єднаних реєстрацій як, наприклад barnyard. Це дозволяє Snort реєструвати попередження в двійковій формі так швидко як можливо і виконувати інші більш повільні дії як, наприклад запис в базу даних.

Щоб отримати текстовий файл, який можна легко перевірити і зберегти частково швидкість, потрібно використовувати двійкову реєстрацію з “швидким механізмом” виводу. Таким чином, пакети реєструються у форматі “tcpdump” і створюють мінімум попереджень. Наприклад:

snort -b -A fast -c C: \Snort\etc\snort.conf

1.4.3 Зміна порядку попереджень

Режим, в якому виконуються правила Snort (режим за умовчанням) не може бути відповідним для всіх установок. Правила попереджень застосовуються першими, потім правила проходу, і потім вже правила реєстрації. Ця послідовність дещо незвичайна, але вона є більш простим способом, ніж надання користувачу можливості записувати сотні правил попереджень і потім відключити їх помилковим правилом проходу. Більш конкретно про типи правил описано в розділі 3.2.1.

Для зміни послідовності попереджень введений ключ “-o”, який змінює поведінку програми за умовчанням для правила проходу, потім попереджень і реєстрації:

snort -d -h 192.168.1.0/24 -l C: \Snort\etc\log -c snort.conf -o

1.5. Інші можливості

Якщо виникає потреба відправляти реєстрації пакетів до загальних списків розсилки можна скористатися перевагою ключа “-O”. Цей ключ затемняє IP адресу при відображенні пакету. Це зручно, якщо потрібно щоб інші користувачі із списку розсилки не знали залучені IP адреси. Можна також об'єднати ключ “-O” з ключем “-h”, щоб приховати тільки IP адреси хостів в домашній мережі. Це корисно, якщо не має значення хто бачить адресу атакуючого хоста. Наприклад:

snort -d -v -r C: \Snort\log\snort.log -O -h 192.168.1.0/24

Ця команда вкаже прочитати пакети з файлу реєстрації і вивести пакети на екран, затемнення одних адрес 192.168.1.0/24 мережі класу C.

1.6. Додаткова інформація

Друга частина містить багато інформації про різні елементи настройки доступних у файлі конфігурацій. Інструкцію по Snort можна викликати командою:

Snort -?

Вона містить інформацію, яка може допомогти запустити Snort в декількох різних режимах.

Web-сторінка Snort (https://www.snort.org) і список розсилки користувача Snort (https://marc.theaimsgroup.com/? l=snort-users в snort-users@lists.sourceforge.net) забезпечить інформаційними сповіщеннями і може послужити місцем зустрічі для громадського обговорення і підтримки.