Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2007-10-21 23:33:58
TBH - 
Członek DUG
Testowanie Snorta
postawilem Snorta (http://gentoo-wiki.com/HOWTO_Snort)
i BASE
(http://gentoo-wiki.com/HOWTO_Apache2_with_BASE)
i up and runnin' ;] ale chcialem sprawdzić czy działa poskanowałem się nmapem i .... nie wykryło nic ;/ zna ktoś jakiś sposób żeby potestować czy Snort wylapuje co powinien?
http://tbhthelolmaker.wordpress.com/kontakt/
<TBH> Gentoo!
<X-dos> cóz, sa ludzie ktorzy nie wiedza co robic ze swoim wolnym czasem :)
Offline
#2 2007-10-22 16:08:27
lordvader20 - Członek DUG
- lordvader20
- Członek DUG
- Skąd: /home/kuba
- Zarejestrowany: 2007-04-09
- Serwis
Re: Testowanie Snorta
Kiedys na debianie odpalilem snorta na interfejsie radiowym na poziomie paranoical... zbierał 2Mbit/s syfu.
a on nie ma jakichs swoich logow w ktorych mozna podejrzec co on lapie ? Bo zdaje mi sie ze mial, ale nie pamietam juz dokladnie bo to troche dawno bylo...
Powered by Debian and Gentoo
Offline
#3 2007-10-22 18:42:43
Ryszard - Piwo DUG
- Ryszard
- Piwo DUG
- Skąd: Zadupia
- Zarejestrowany: 2006-06-30
Re: Testowanie Snorta
TBH albo gentoo lub debian prosze nie męcz nas tym
Offline
#4 2007-10-22 19:17:32
TBH - Członek DUG
Re: Testowanie Snorta
no przecież napisalem, że przechodze na Gentoo i już tam zostaję więc... o co Ci chodzi ?;]
http://tbhthelolmaker.wordpress.com/kontakt/
<TBH> Gentoo!
<X-dos> cóz, sa ludzie ktorzy nie wiedza co robic ze swoim wolnym czasem :)
Offline
#5 2007-10-22 19:28:15
Ryszard - Piwo DUG
- Ryszard
- Piwo DUG
- Skąd: Zadupia
- Zarejestrowany: 2006-06-30
Re: Testowanie Snorta
No o to dziekuje dowidzenia kolego nie ma sprawy TBH było mineło
Offline
#6 2007-10-23 10:01:05
ba10 - Członek DUG
Re: Testowanie Snorta
a on nie ma jakichs swoich logow w ktorych mozna podejrzec co on lapie ? Bo zdaje mi sie ze mial, ale nie pamietam juz dokladnie bo to troche dawno bylo...
Logi są zbierane o ile się nie poda w pliku konfiguracyjnym inaczej w katalogo /var/log/snort/ są tam tez alerty. Trzeba tez w pliku konfiguracyjnym odznaczyc reguły z których ma korzystać snort. Można tez oczywiście utworzyć swoje reguły, zamieścic je w /etc/snort/rules i dodać do pliku konfiguracyjnego wpis.
Edytka:
Więc przetestowac snorta możesz poprzez utworzenie reguły. Dajmy na to że utworzymy regułe która bedzie nam na porcie 80 wykrywala uzycie wyrazu atak i zapisywala do aletrów w /var/log/snort/alert
Wchodzisz do /etc/snort/rules i tworzysz plik np. atak.rules
W nim zamieszczasz naszą regułe :
Kod:
alert tcp any any <> any any (contemt: "atak"; msg: "Znaleziono slowo atak"; sid: 3628; rev: 1;)
Nadajesz prawa plikowi atak.rules
Kod:
chmod 644 atak.rules
Edytujesz plik snort.conf
Kod:
vim /etc/snort/snort.conf
Dodajesz wpis odnoszący się do twej reguły.
Kod:
include $RULE_PATH/atak.rules
Dodajesz sid 3628 w pliku /etc/snort/sid-msg.map np.
Kod:
3628 || Atak slowo w www
Poczym, na jednej z konsol odpalasz snorta.
Kod:
snort -d -h adresip_twojej_sieci/maska -c /etc/snort/snort.conf
Na drugiej kosolce odpalasz przeglądarke internetową i strone np goole.pl i wpisujesz fraze 'atak' do wyszukania . Ctrl-c kończysz działanie snorta, przechodzisz do logów i w pliku /var/log/snort/alert powinienes znaleźć podobny wpis :
Kod:
[**] [1:3628:1] Znaleziono slowow atak [**] [Priority: 0] 10/23-11:54:33.599507 192.168.1.26:4631 -> 209.85.129.104:80 TCP TTL:129 TOS:0x0 ID:64344 IpLen:20 DgmLen:350 DF ***AP*** Seq: 0x1DC8B883 Ack: 0x527A1F4C Win: 0x16D0 TcpLen: 20
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój Blog, a później Tańczymy ;)
Offline