Параметр resp

Параметр resp дозволяє організувати автоматичну у відповідь дію при виявленні шкідливої діяльності порушника. При виявленні атаки перш за все робиться спроба обірвати поточне з'єднання. В правилі можна задати різні комбінації у відповідь дій, які призначаються з використанням різних опцій параметра resp.

Для розриву TCP-з'єднань на сокет хоста-відправника, хоста-одержувача або сокети обох хостів може бути відправлений пакет зі встановленим прапором RESET. Якщо атака здійснюється за допомогою UDP-пакетів, то для розриву з'єднання посилаються різні ICMP-повідомлення (про недосяжність мережі, хосту, порту або комбінація цих ICMP-повідомлень).

Параметр resp не входить до складу автоматично встановлюваних. Щоб його використовувати, слід задати конфігурацію системи Snort за допомогою наступної команди:

. /configure -еnable-flexresp

Вона дозволяє додати необхідний програмний код для подальшої компіляції. Можливо, що до складу вашої версії UNIX не входить файл 1ibnet.h, який потрібен для виконання компіляції. Цей файл можна завантажити з сайту www.packetfactory.net.

Абсолютно ясно, що у відповідь дія виконується після видачі декількох попереджень. По-перше, слід гарненько подумати перед тим, як нерозсудливо використовувати у відповідь дію. Її слід застосовувати в ситуаціях, коли вельми вірогідним є спричинення серйозного збитку, наприклад, при атаках на переповнювання буфера. При цьому не слід забувати, що хакери можуть підміняти IP-адреси відправника, і в результаті у відповідь дія може виявитися направленою проти ні в чому не повинного користувача (або користувачів), який ніколи не відправляв ніяких пакетів. Уявіть собі наслідки у відповідь дій, якщо хтось проведе атаку, використавши IP-адреси хостів партнера. В цьому випадку організовується атака проти себе. Крім того, може виникнути помилкова тривога, і в обслуговуванні буде відмовлено звичайним користувачам.

Ще одна проблема полягає в узгодженні за часом. Часто обмін запитами і відповідями здійснюється практично миттєво, особливо запитами і відповідями служби DNS по протоколу UDP. Спроба відреагувати на отриманий шкідливий DNS-запит може виявитися даремною, оскільки за час реакції Snort відповідь вже може бути відправлена.

Формат:

resp < resp-параметр [, resp-параметр... ]>;

Доступними варіантами відповідей є:

rst_snd - відправити TCP-пакет зі встановленим прапором RESET на сокет хоста-відправника;

rst_rcv - відправити TCP-пакет зі встановленим прапором RESET на сокет одержувача;

rst_all - відправити TCP-пакети зі встановленим прапором RESET на сокети хоста-відправника і одержувача;

icmp_net - повернути відправнику ICMP-повідомлення про недосяжність мережі (network unreachable);

icmp_host - повернути відправнику ICMP-повідомлення про недосяжність хосту (host unreachable);

icmp_port - повернути відправнику ICMP-повідомлення про недосяжність порту (роrt unreachable);

icmp_all - повернути відправнику всі три перерахованих вище ICMP-повідомлення.

Приклад правила:

alert tcp any any -> $HOME_NET 21 \

(msg: " Отримання файлу паролів FTP"; \

flags: A+; resp: rst_all; content: " passwd";)

Приклад звіту про сеанс:

[rootiaverbo hping2-beta53]# ftp sparky

Connected to sparky.

220 sparky FTP server (SunOS 5. 7) ready.

Name (sparky: root): jsmith

331 Password required for jsmith.

Password:

230 User jsmith logged in.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> cd /etc

250 CWD command successful.

ftp> get passwd

local: passwd remote: passwd

200 PORT command successful.

421 Service not available, remote server has closed connection

В попередньому правилі була задана у відповідь дія при спробі підключитися до FTP-серверу і отримати доступ до файлу паролів passwd. Snort намагається обірвати з'єднання на обох кінцях, оскільки була вибрана опція rst_all для параметра resp. Зверніть увагу на останній рядок FТР-сеансу. Зразу ж після того, як порушник ввів команду get passwd, з'єднання було розірвано. Але, на жаль, є вірогідність, що файл паролів був відправлений ще до розриву з'єднання.