Cybersecurity

Snort là gì?

Written by ductri

Snort là gì?

Snort là một hệ thống phát hiện và ngăn chặn xâm nhập mạng miễn phí và nguồn mở. Nó sử dụng ngôn ngữ dựa trên quy tắc, thực hiện phân tích giao thức, tìm kiếm kết hợp nội dung và có thể được sử dụng để phát hiện nhiều loại tấn công và thăm dò khác nhau, chẳng hạn như buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts …

Snort Rules

Snort Rules cung cấp phát hiện các cuộc tấn công và các hoạt động độc hại. Bạn có thể viết các quy tắc cụ thể như cảnh báo, log, ngắt kết nối, v.v … Các Rule có cú pháp đơn giản. Ngoài ra, bạn có thể viết tất cả các rule trong một tệp cấu hình.

Snort có ba chế độ khác nhau

1- Packet Sniffer
2- Packet Logger
3- NIPDS (Network Intrusion and Prevention Detection System)

Cấu trúc Rules

Cấu trúc Rules của Snort

Rule Header
alert — Rule action. Snort sẽ tạo ra một cảnh báo khi điều kiện thiết lập được đáp ứng.
any — Source IP. (Nếu bạn sử dụng “any” Snort sẽ xem xét tất cả các source.)
any — Source port. (Nếu bạn sử dụng “any” Snort sẽ xem xét tất cả các ports.)
-> — Hướng. Từ source đến destination.
any — Destination IP. Snort sẽ xem xét tất cả các destination trên mạng được bảo vệ.
any — Destination port. Snort sẽ xem xét tất cả các ports trên mạng được bảo vệ.

Rule Options
msg:”ICMP test” — Snort sẽ gắn thông điệp này với alert.
rev:1 — Revision number. Tùy chọn này cho phép bảo trì rule dễ dàng hơn.
classtype:icmp-event — Phân loại rule như một “icmp-event”, một trong những loại Snort được xác định trước.

Nếu chúng ta muốn xem xét các yêu cầu từ một mục tiêu cụ thể, chúng ta nên làm gì?
Nó rất đơn giản. Chỉ cần thay thế “any” vào IP hoặc port mong muốn. Ví dụ: Snort rule

alert tcp 192.168.x.x any -> $HOME_NET 21 (msg:”FTP connection attempt”; sid:1000002; rev:1;)

Ở đây $HOME_NET đã được định nghĩa trong snort.conf.

Bài tiếp theo: Hướng dẫn cài đặt Snort trên Ubuntu Server