Snort

Snort

Snort, ağ trafiğini izlemek ve analiz etmek için kullanılan açık kaynaklı bir ağ saldırı tespit ve önleme sistemidir (IDS/IPS). Snort, çeşitli modlarda çalışabilir ve esnek yapılandırma seçenekleri ile kullanıcıların ağ güvenliğini artırmalarına olanak tanır.

Snort’un Modları

Dinleyici Modu : Ağ trafiğini sadece izler. IDS/IPS Modu : Şüpheli etkinlikleri tespit eder ve gerektiğinde önler. Günlük Modu : Belirli etkinlikleri kaydeder. PCAP İşleme : Önceden kaydedilmiş ağ trafiğini işler.

Snort Kurulum

Kali linux için

apt install snort

diğer debian işletim sistemleri için kaynaktan kurulum

git clone https://github.com/snort3/snort3.git

Snort Komutları ve Kullanımı

Sürümü Gösterme:

snort -V
snort -version

Sürüm Banner’ını Gösterme:

snort -q

Belirli bir Arayüz Kullanma:

snort -i eth0

Detaylı Mod:

snort -v

Bağlantı Katmanı Başlıklarını Gösterme:

snort -e

Veri Yükünü Gösterme:

snort -d

Paket Detaylarını HEX Formatında Gösterme:

snort -X

Birden Fazla Bayrak Kullanımı ve Tüm Paket Detaylarını Gösterme:

snort -eX

Belirli Sayıda Paket Yakalama:

snort -v -n 10

Yapılandırma Dosyası Kullanma:

snort -c /etc/snort/snort.conf

Yapılandırma Dosyasını ve Örneği Test Etme:

snort -c /etc/snort/snort.conf -T

Günlük Tutmayı Devre Dışı Bırakma:

snort -c /etc/snort/snort.conf -N

Snort’u Arka Planda Çalıştırma:

snort -c /etc/snort/snort.conf -D

Uyarı Modları:

Çıkış Yok:

snort -c /etc/snort/snort.conf -v -A none

Konsol Çıkışı:

snort -c /etc/snort/snort.conf -v -A console
snort -c /etc/snort/snort.conf -v -A cmg

Dosya Çıkışı:

snort -c /etc/snort/snort.conf -v -A fast
snort -c /etc/snort/snort.conf -v -A full

Yapılandırma Dosyası Olmadan Kuralları Kullanma:

snort -c /etc/snort/rules/local.rules -v -A console

Günlük Yolu:

varsayılan Yol: /var/log/snort Alternatif Yol: arduino

snort -v -l /home/username/Desktop

ASCII Formatında Günlük Tutma:

mathematik

snort -v -K ASCII

snort Dosyalarını Okuma:

snort -v -r snort.log

Belirli Sayıda Paket Okuma:

snort -v -r snort.log -n 10

Berkeley paket filtreleri (BPF) ile Paketleri Filtreleme:

snort -v -r snort.log tcp
snort -v -r snort.log ‘udp and port 53’

PCAP Dosyalarını İşleme:

Tek Bir Dosya:

snort -c /etc/snort/snort.conf -q -r file.pcap -A console

Birden Fazla Dosya:

snort -c /etc/snort/snort.conf -q — pcap-list=”file1.pcap file2.pcap” -A console

Klasörden Dosya:

Snort -c /etc/snort/snort.conf -q — pcap-dir=/home/pcap-folder -A console

İşlenen PCAP Dosyasının Adını Gösterme:

snort -c /etc/snort/snort.conf -q — pcap-list=”file1.pcap file2.pcap” -A console — pcap-show

Snort Kuralları

Snort kuralları, ağ trafiğini analiz etmek ve belirli etkinlikleri tespit etmek için kullanılır. Bu kurallar iki ana bölümden oluşur: Kural Başlığı ve Kural Seçenekleri.

Kural Başlığı: Bu bölüm, eylem, protokol, kaynak ve hedef IP adresleri, port numaraları ve trafik yönü gibi ağ tabanlı bilgileri içerir.

Kural Seçenekleri: Bu bölüm, mesaj, referans, akış ve içerik gibi paket tabanlı inceleme detaylarını içerir.

Örnek Kural:

Olası “Dizin Geçişi Denemesi” tespiti için uyarı kuralı:

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (
msg:”Directory Traversal Attempt!”;
flow:established;
nocase;
content:”HTTP”;
fast_pattern;
content:”|2E 2E 2F|”;
content:”/..”;
session:all;
reference:CVE,XXX;
sid:100001;
rev:1;)

Bu kural, dış ağdan gelen ve ev ağına doğru yönlendirilen HTTP isteklerinde, dizin geçişi denemelerini tespit etmek için kullanılır..