подключения к Snort файлов с дополнительными правилами
На основе примеров с
сайта c-sec.ru написать примеры собственных правилПроверить работоспособность написанных правил
Разделы презентаций
- Разное
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Геометрия
- Детские презентации
- Информатика
- История
- Литература
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Разработка собственных правил для SNORT
Содержание
- 1. Разработка собственных правил для SNORT
- 2. Порядок действийИзучить типы правил Snort Изучить синтаксис
- 3. Правила SNORT** http://c-sec.ruПравила SNORTКонтекстные (для последовательности пакетов)Бесконтекстные (для каждого пакета)
- 4. Правила SNORT** http://c-sec.ruФормат правила SNORT:Заголовок правила («Rule
- 5. Правила SNORT** http://c-sec.ruФормат заголовка правила:
- 6. Правила SNORT** http://c-sec.ruДействия правила:alert – правило выводит
- 7. Правила SNORT** http://c-sec.ruДействия правила:drop – блокирует и
- 8. Правила SNORT** http://c-sec.ruПротокол правила:TCPICMPUDPIP
- 9. Правила SNORT** http://c-sec.ruОператоры направления:«->» - от отправителя получателю«» - в обе стороны«
- 10. Правила SNORT** http://c-sec.ruОпции правил – категории опцийgeneral
- 11. Правила SNORT** http://c-sec.ruОпции категории «General»msg – задает
- 12. Правила SNORT** http://c-sec.ruОпции категории «General»rev – задает
- 13. Правила SNORT** http://c-sec.ruОсновные опции категории «Payload»content –
- 14. Правила SNORT** http://c-sec.ruОсновные опции категории «Non-payload»ttl –
- 15. Правила SNORT** http://c-sec.ruОсновные опции категории «Non-payload»itype –
- 16. Правила SNORT** http://c-sec.ruТребующиеся примеры правил:Обнаружение пакетов ICMP
- 17. Скачать презентанцию
Порядок действийИзучить типы правил Snort Изучить синтаксис правил SnortИзучить принцип подключения к Snort файлов с дополнительными правиламиНа основе примеров с сайта c-sec.ru написать примеры собственных правилПроверить работоспособность написанных правил
Слайды и текст этой презентации
Слайд 2Порядок действий
Изучить типы правил Snort
Изучить синтаксис правил Snort
Изучить принцип
подключения к Snort файлов с дополнительными правилами
сайта c-sec.ru написать примеры собственных правилПроверить работоспособность написанных правил
Слайд 3Правила SNORT*
* http://c-sec.ru
Правила SNORT
Контекстные
(для последовательности пакетов)
Бесконтекстные
(для каждого пакета)
Слайд 4Правила SNORT*
* http://c-sec.ru
Формат правила SNORT:
Заголовок правила («Rule Header») + Опции
правила (Rule Options)
Правила пишутся в одну строку или с использованием
в конце строки символа «\» для обозначения переноса
Слайд 6Правила SNORT*
* http://c-sec.ru
Действия правила:
alert – правило выводит сообщение в выбранном
режиме и заносит пакет в журнал
log – заносит пакет в
журналpass – игнорирует пакет
activate – выводит сообщение и активирует правило с действием dynamic
dynamic – остается неактивным до активации правилом с действием activate
Слайд 7Правила SNORT*
* http://c-sec.ru
Действия правила:
drop – блокирует и заносит пакет в
журнал
reject – блокирует и заносит пакет в журнал, а затем
обрывает TCP соединение или сообщает, что порт недоступенsdrop – блокирует пакет, но не заносит его в журнал
Слайд 9Правила SNORT*
* http://c-sec.ru
Операторы направления:
«->» - от отправителя получателю
«» - в
обе стороны
«
Слайд 10Правила SNORT*
* http://c-sec.ru
Опции правил – категории опций
general – содержат сведения
о правиле
payload – относятся к поиску информации в пользовательских данных
пакетовnon-payload – относятся к поиску информации в служебных данных (заголовках) пакетов
post-detection – данные опции активируются после того, как правило сработало
Слайд 11Правила SNORT*
* http://c-sec.ru
Опции категории «General»
msg – задает выводимое в случае
срабатывания правила сообщение. msg:""
reference – задает ссылки на внешние
системы идентификации атак. reference:gid – задает generator id (ключевое слово), позволяющее идентифицировать часть Snort, сгенерировавшую событие. gid:
sid – задает уникальный идентификатор правила. Рекомендуется использовать sid > 999 9999. sid:
Слайд 12Правила SNORT*
* http://c-sec.ru
Опции категории «General»
rev – задает значение версии правила.
rev:
classtype – задает класс атаки, к которому относится правило
на основе файла classification.conf . classtype:priority – задает уровень важности правила. priority:
metadata – позволяет указать дополнительную информацию о правиле. metadata:key1 value1, key2 value2;
Слайд 13Правила SNORT*
* http://c-sec.ru
Основные опции категории «Payload»
content – задает строку для
поиска в пользовательских данных. content:[!]""
protected_content – задает значение хэш-функции
строки для поиска в пользовательских данных. protected_content:[!]"Прочие опции позволяют настроить поиск с опциями content или protected_content.
![Правила SNORT** http://c-sec.ruОсновные опции категории «Payload»content – задает строку для поиска в пользовательских данных. content:[!]](/img/tmb/4/333589/e99846c988ad8a514a2adde176b7b3ff-800x.jpg "Разработка собственных правил для SNORT Правила SNORT** http://c-sec.ruОсновные опции категории «Payload»content – задает строку для поиска")
Слайд 14Правила SNORT*
* http://c-sec.ru
Основные опции категории «Non-payload»
ttl – задает значение параметра
time-to-live в TCP-пакетах. ttl:[, =,
<=, >=]id – задает значение параметра id в IP-пакетах id:
flags – задает значение флагов в TCP-пакетах. flags:[!|*|+]
Слайд 15Правила SNORT*
* http://c-sec.ru
Основные опции категории «Non-payload»
itype – задает значение параметра
type в ICMP-пакетах. itype:[];
icode – задает значение параметра code в
ICMP-пакетах icode:[<|>]flags – задает значение флагов в TCP-пакетах. flags:[!|*|+]
![Правила SNORT** http://c-sec.ruОсновные опции категории «Non-payload»itype – задает значение параметра type в ICMP-пакетах. itype:[];icode – задает значение](/img/thumbs/e77117230023d259e3469cbe0fc5bd02-800x.jpg "Разработка собственных правил для SNORT Правила SNORT** http://c-sec.ruОсновные опции категории «Non-payload»itype – задает значение параметра type")
Слайд 16Правила SNORT*
* http://c-sec.ru
Требующиеся примеры правил:
Обнаружение пакетов ICMP Echo Request
Обнаружение обмена
пакетами при обработке запроса «ping»
Обнаружение fin-сканирования
Обнаружение доступа к 3 различным
сайтамОбнаружение входящего запроса TCP-соединения
Обнаружение попытки доступа к web-серверу
