Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Параметр tag
|
|
При використовуванні параметра tag система Snort реєструє всі пакети, що поступають після “спрацьовування” правила. Якщо не указувати цей параметр, зберігається тільки пакет, безпосередньо відповідний правилу. Таким чином, можна побачити, які події відбуваються після отримання небезпечного пакету, що допоможе взнати, була тривога помилковою чи ні.
Формат:
tag: < тип> < кількість < показник> [напрям]
· Тип. Указує, пакети якого типу слід реєструвати.
o Session - зберігати всі пакети, якими обмінюються учасники з'єднання;
o host - зберігати тільки ті пакети, які поступають від хоста— відправника пакету, що викликав “спрацьовування” правила (необхідно використовувати модифікатор напрям).
· Кількість. Дозволяє визначити кількість одиниць, заданих за допомогою модифікатора показник.
· Показник. Визначає, в яких одиницях число вказано в модифікаторі кількість.
o расkets - зберегти < х> пакетів сеансу або відправлених затакуючого хоста;
o seconds - зберегти пакети за < х> секунд після “спрацьовування” правила для даного сеансу або відправлених з атакуючого хосту;
· Напрям. Використовується тільки для типу host і указує, по якій IP-адресі (відправника або одержувача) слід вибирати реєстровані пакети.
o scr - зберегти всі пакети з IP-адресою відправника, співпадаючою з IP-адресою відправника в пакеті, отримання якого привело до “спрацьовування” правила;
o dst— зберегти всі пакети з IP-адресою одержувача, співпадаючою з IP-адресою одержувача в пакеті, отримання якого привело до “спрацьовування” правила.
Приклад правила:
alert tcp any any -> any 21 (msg: " FTP-доступ до файлу passwd"; flags: A+; \ content: " passwd"; tag: session, 10, расkets;)
Приклад звіту.
У файлі реєстрації попереджень збережені скорочені дані про потенційно небезпечне з'єднання через порт 21.
[**] FТР-доступ до файлу passwd [**]
03/21-20: 31: 05.610035 10.10.10.101: 1454 -> 10.10.10.100: 21
TCP TTL: 128 TOS: 0x0 ID: 50697 IpLen: 20 DgmLen: 58 DF
***AP*. * Seq: 0x17806739 Acк: 0xl21C07E5 Win: 0xlFD3 TcpLen: 20
Створюється каталог на ім'я 10.10.10.101 з файлом TCP: 1454-21, в якому зберігаються звіти про всі операції, виконані під час сеансу з моменту спроби отримання файлу паролів (ще 10 подальших записів). Зверніть увагу на те, що, вказавши при запуску Snort в командному рядку параметр “-d”, можна зберегти всі корисні дані передаваних пакетів. Нижче приведений фрагмент такого звіту.
03/21-20: 31: 05.610035 10.10.10.101: 1454 -> 10.10.10.100: 21
TCP TTL: 128 TOS: 0x0 10: 50697 IpLen: 20 DgmLen: 58 DF
***AP*** Seq: 0x17806739 Acк: 0xl21C07E5 Win: 0xlFD3 TcpLen: 20
52 45 54 52 20 2F 65 74 63 2F 70 61 73 73 77 64 RETR /etc/passwd
0D 0A..
*******************************************************************************************
03/21-20: 31: 05.610731 10.10.10.100: 21 -> 10.10.10.101: 1454
TCP TTL: 64 TOS: 0xl0 ID: 1752 IpLen: 20 DgmLen: 109 DF
***AP*** Seg: 0xl21C07E5 Acк: 0X1780674B Win: 0x7D78 TcpLen: 20
31 35 30 20 4F 70 65 6E 69 6E 67 20 41 53 43 49 150 Opening ASCI
49 20 6D 6F 64 65 20 64 61 74 61 20 63 6F 6E 6E I node data conn
65 63 74 69 6F 6E 20 66 6F 72 20 2F 65 74 63 2F ection for /etc/
70 61 73 73 77 64 20 28 36 37 39 20 62 79 74 65 passwd (679 byte s)...
73 29 2E 0D 0A
*******************************************************************************************
< декілька пропущених записів>
*******************************************************************************************
03/21-20: 31: 08.924038 10.10.10.101: 1454 -> 10.10.10.100: 21
TCP TTL: 128 TOS: 0x0 ID: 52489 IpLen: 20 DgmLen: 58 DF
***AP*** Seq: 0x17806764 Acк: 0xl21C0860 Win: 0xlF58 TcpLen: 20
52 45 54 52 20 2F 65 74 63 2F 73 68 61 64 6F 77 RETR /etc/shadow
00 0A..