• Yuqorida aytib otilganidek, SNORT uch xil rejimda ishlaydi
  • 3. Vazifa 3.1
    		•

     Dastur va uning rejimlarini o'rganish




    Download 0,95 Mb.
    bet3/3
    Sana15.12.2023
    Hajmi0,95 Mb.
    #119700
    1   2   3
    Bog'liq
    Tarmoq 3-amaliy

    2. Dastur va uning rejimlarini o'rganish
    Ushbu bo'limda SNORT tushunchalari va buyruqlarini batafsil muhokama
    qilinadi. Ushbu vazifa dasturning barcha kalitlarini aks ettiradigan oddiy buyruq
    bilan boshlanadi: root@lord snort -?
    Buyruq quyidagilarni beradi:
    -*> Snort! 
    <*- >Version 1.7
    By Martin Roesch (roesch@clark.net, www.snort.org)
    USAGE: snort [-options]
    Options:
    -A Set alert mode: fast, full, or none (alert file alerts only)
    'unsock' enables UNIX socket logging (experimental).
    -a Display ARP packets
    -b Log packets in tcpdump format (much faster!)
    -c Use Rules File
    -C Print out payloads with character data only (no hex)
    -d Dump the Application Layer
    -D Run Snort in background (daemon) mode
    -e Display the second layer header info
    -F Read BPF filters from file
    -g Run snort gid as 'gname' user or uid after initialization
    -h Home network =
    -i Listen on interface
    -l Log to directory
    -n Exit after receiving packets
    -N Turn off logging (alerts still work)
    -o Change the rule testing order to Pass|Alert|Log
    -O Obfuscate the logged IP addresses
    -p Disable promiscuous mode sniffing
    -P set explicit snaplen [sp? -ed.] of packet (default: 1514)
    -q Quiet. Don't show banner and status report
    -r Read and process tcpdump file
    -s Log alert messages to syslog
    Yuqorida aytib o'tilganidek, SNORT uch xil rejimda ishlaydi:
    1. Paketli sniffer rejimi: Snort ushbu rejimda ishlayotgan bo'lsa, u barcha
    tarmoq paketlarini o'qiydi va deshifrlaydi va stdout (ekraningiz) ga dump hosil
    qiladi. Snortni sniffer rejimiga o'tkazish uchun quyidagi kalitdan foydalaniladi: 
    v: root @lord]# ./snort –v
    Shuni esda tutish kerakki, ushbu rejimda faqat paket sarlavhalari ko'rsatiladi.
    To'plamning sarlavhasini va mazmunini ko'rish uchun quyidagi buyruq kiritiladi:
    root @lord]# ./snort -X
    2. Paketni ro'yxatdan o'tkazish rejimi: Ushbu rejim paketlarni diskka yozib
    oladi va ularni ASCII formatida kodlaydi.
    root @lord]# Snort -l < directory to log packets to >
    3. Ruxsatsiz kirishni aniqlash rejimi: Signal ma'lumotlari aniqlash
    mexanizmi tomonidan ro'yxatga olinadi (standart jurnal katalogida "alert" deb
    nomlangan fayl, lekin syslog, Winpop xabarlari va boshqalar ham bo’lishi
    mumkin). Standart jurnal katalogi -/var/log/snort ko’rinishida bo’ladi, lekin "- l"
    kaliti yordamida o'zgartirilishi mumkin. Endi paketni tahlil qilish uchun odatiy
    Snort buyrug'i ko'rib chiqiladi: root @lord]# snort -v -d -e -i eth0 h 192.168.3.0/24

    Bu yerda C sinfi qismtarmog’ining 192.168.3.0-192.168.3.255 (qismtarmoq


    maskasi: 255.255.255.0) oralig'ini ko'rib chiqish lozim. Buning ma'nosini
    tushunish uchun yuqoridagi buyruqni batafsil tahlil qilish kerak:
    '-v': konsol batafsil javob yuboradi.
    '-d': dekodlangan dastur qatlami ma’lumotlarining borini hosil qiladi
    '-e': dekodlangan Ethernet sarlavhalarini ko'rsatadi.
    '-i': paketni tahlil qilish uchun tekshiriladigan interfeysni belgilaydi.
    '-h': boshqariladigan tarmoqni belgilaydi.
    Keyingi misolda Snortda ogohlantirishlar yaratiladi. Snort ogohlantirish
    rejimlari uchta asosiy guruhga ega:
    a.Tez: "alert" fayliga ogohlantirishlarni bitta satrda, xuddi syslog singari yo-zadi.
    b. To'liq: To'liq sarlavha dekodlangan holda 'alert' faylini yuborish uchun
    ogohlantirishlarni yozadi.
    v.None: - ogohlantirish bermaydi, so'ngra buyruq quyidagiga o'zgaradi:
    root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 -A fast
    Syslog signal xabarlarini yuborish uchun o‘rniga ‘-s ‘ kalitidan
    foydalaniladi. /var/log/safe yoki /var/log/messages ogohlantirishlar quyidagi buyruqda paydo bo'ladi: root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 –s
    Hozirgacha barcha ushlab olingan va tahlil qilingan paketlar ekranda
    namoyish etiladi. Agar Snort ularni jurnaliga yozishi kerak bo’lsa, "-l"
    parametridan foydalaniladi va jurnallarni yozish uchun katalog nomi ko'rsatiladi
    (masalan /var/log/snort): root @lord]#snort -v -d -e -i eth0 -h 192.168.3.0/24 -A full -l /var/log/snort
    Paketlarni tcpdump formatida ro'yxatdan o'tkazish va minimal
    ogohlantirishlarni yaratish uchun '-b' kalitidan foydalanish mumkin:
    root @lord]#snort -b -i eth0 -A fast -h 192.168.3.0/24 -s -l /var/log/snort
    Yuqoridagi buyruqlarda Snort tarmoq segmentidagi barcha paketlarni qayd
    qiladi. Agar qoidalarga qarab faqat ayrim turdagi paketlarni ro'yxatdan o'tkazish
    kerak bo'lsa, '-c' kalitidan foydalaniladi. 
    3. Vazifa
    3.1 Snort dasturini asosiy sayti – http://www.snort.org saxifasidan yuklab oldim.

    O’rnatish jarayoni:





    Xatolik berdi bazi kutubxonalar yo’qligi uchun.

    Xatoni tuzatish uchun Winpcap.org saxifasidan winpcap paketini yuklab oldim.



    3.2 Winpcap dasturini o’rnatdim.

    3.3 Kompyuterni Qayta yukladim va Snort dasturini ishga tushirdim.



    Download 0,95 Mb.
    1   2   3




    Download 0,95 Mb.
    Bosh sahifa
    Aloqalar
        Bosh sahifa
    Dərs
    Mühazirə
    Qaydalar
    Referat
    Xülasə
    Yazı


     Dastur va uning rejimlarini o'rganish

    Download 0,95 Mb.