Snort

Songül ÖZÜGÜRLER
12 Eki
2 dakikada okunur

Snort, ağ trafiğini izlemek ve analiz etmek için kullanılan açık kaynaklı bir ağ saldırı tespit ve önleme sistemidir (IDS/IPS). Snort, çeşitli modlarda çalışabilir ve esnek yapılandırma seçenekleri ile kullanıcıların ağ güvenliğini artırmalarına olanak tanır.

Snort’un Modları

Dinleyici Modu: Ağ trafiğini sadece izler.IDS/IPS Modu: Şüpheli etkinlikleri tespit eder ve gerektiğinde önler.Günlük Modu: Belirli etkinlikleri kaydeder.PCAP İşleme: Önceden kaydedilmiş ağ trafiğini işler.

Snort Kurulum

Kali linux için

apt install snort

diğer debian işletim sistemleri için kaynaktan kurulum

git clone https://github.com/snort3/snort3.git

Snort Komutları ve Kullanımı

Sürümü Gösterme:

snort -Vsnort -version

Sürüm Banner’ını Gösterme:

snort -q

Belirli bir Arayüz Kullanma:

snort -i eth0

Detaylı Mod:

snort -v

Bağlantı Katmanı Başlıklarını Gösterme:

snort -e

Veri Yükünü Gösterme:

snort -d

Paket Detaylarını HEX Formatında Gösterme:

snort -X

Birden Fazla Bayrak Kullanımı ve Tüm Paket Detaylarını Gösterme:

snort -eX

Belirli Sayıda Paket Yakalama:

snort -v -n 10

Yapılandırma Dosyası Kullanma:

snort -c /etc/snort/snort.conf

Yapılandırma Dosyasını ve Örneği Test Etme:

snort -c /etc/snort/snort.conf -T

Günlük Tutmayı Devre Dışı Bırakma:

snort -c /etc/snort/snort.conf -N

Snort’u Arka Planda Çalıştırma:

snort -c /etc/snort/snort.conf -D

Uyarı Modları:

Çıkış Yok:

snort -c /etc/snort/snort.conf -v -A none

Konsol Çıkışı:

snort -c /etc/snort/snort.conf -v -A consolesnort -c /etc/snort/snort.conf -v -A cmg

Dosya Çıkışı:

snort -c /etc/snort/snort.conf -v -A fastsnort -c /etc/snort/snort.conf -v -A full

Yapılandırma Dosyası Olmadan Kuralları Kullanma:

snort -c /etc/snort/rules/local.rules -v -A console

Günlük Yolu:

varsayılan Yol:/var/log/snortAlternatif Yol:arduino

snort -v -l /home/username/Desktop

ASCII Formatında Günlük Tutma:

mathematik

snort -v -K ASCII

snort Dosyalarını Okuma:

snort -v -r snort.log

Belirli Sayıda Paket Okuma:

snort -v -r snort.log -n 10

Berkeley paket filtreleri (BPF) ile Paketleri Filtreleme:

snort -v -r snort.log tcpsnort -v -r snort.log ‘udp and port 53’

PCAP Dosyalarını İşleme:

Tek Bir Dosya:

snort -c /etc/snort/snort.conf -q -r file.pcap -A console

Birden Fazla Dosya:

snort -c /etc/snort/snort.conf -q — pcap-list=”file1.pcap file2.pcap” -A console

Klasörden Dosya:

Snort -c /etc/snort/snort.conf -q — pcap-dir=/home/pcap-folder -A console

İşlenen PCAP Dosyasının Adını Gösterme:

snort -c /etc/snort/snort.conf -q — pcap-list=”file1.pcap file2.pcap” -A console — pcap-show

Snort Kuralları

Snort kuralları, ağ trafiğini analiz etmek ve belirli etkinlikleri tespit etmek için kullanılır. Bu kurallar iki ana bölümden oluşur: Kural Başlığı ve Kural Seçenekleri.

Kural Başlığı:Bu bölüm, eylem, protokol, kaynak ve hedef IP adresleri, port numaraları ve trafik yönü gibi ağ tabanlı bilgileri içerir.

Kural Seçenekleri:Bu bölüm, mesaj, referans, akış ve içerik gibi paket tabanlı inceleme detaylarını içerir.

Örnek Kural:

Olası “Dizin Geçişi Denemesi” tespiti için uyarı kuralı:

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:”Directory Traversal Attempt!”;flow:established;nocase;content:”HTTP”;fast_pattern;content:”|2E 2E 2F|”;content:”/..”;session:all;reference:CVE,XXX;sid:100001;rev:1;)

Bu kural, dış ağdan gelen ve ev ağına doğru yönlendirilen HTTP isteklerinde, dizin geçişi denemelerini tespit etmek için kullanılır.