Содержание
Лабораторная работа посвящена
Что необходимо сделать в этом упражнении
IDS Snort http://ufo.gnu.kz/desc/ids_snort.html
Таблица 9.1. Ключи программы snort
Ключ | Описание |
|---|---|
| Может принимать значения: fast, full, console или none. Режим fast предназначен для быстрого генерирования предупреждений (alerts). Этот параметр рекомендуют использовать не только разработчики, но и специалисты в информационной безопасности. Full = самый медленный способ, используется при необходимости |
| Журналировать пакеты в формате tcpdump. (Это наиболее быстрый и производительный вариант) |
| После этого параметра указывается имя с конфигурационным файлом |
| Убирать из дампа пакета HEX значения |
| Журналировать дамп (содержимое) пакетов |
| Запуск Snort в режиме демона |
| Журналировать информацию о заголовке пакета |
| Отключает вызовы fflush() после записи бинарных журналов |
| Читать bpf фильтры из файла |
| Запустить IDS с правами группы |
| Идентификатор журналов. Используется, если на машине работают несколько программ Snort |
| Домашняя сеть |
| Прослушивать интерфейс с указанным именем |
| Добавить имя интерфейса в созданное предупреждение(alert) |
| Режим контрольной суммы. Может принимать значения (all,noip,notcp,noudp,noicmp,none) |
| Режим ведения журналов. Значения: pcap, ascii, none. По умолчанию устанавливается значение pcap |
| Писать журналы в указанный каталог |
| Писать журналы в tcpdump файл с указанным именем |
| Устанавливает указанную маску |
| Выход после получения пакета |
| Отключает ведение журнала. Предупреждения (alerts) работают |
| Выбрать правило для тестирования в Log|Alert|Pass |
| Скрывать IP адреса |
| Отключение promisc режима |
| Не показывать баннер Snort |
| Записывать журнал в декодированной форме, то есть в форме более подходящей для чтения чем бинарные журналы tcpdump |
| Вставить 'id' в имя файла snort_intf.pid |
| Журналировать в syslogd. Для работы данного ключа необходимо записать в файл syslog.conf: "auth.alert@managmentserverIP" |
| Устанавливает значение файла с правилами n равному v |
| Протестировать и сообщить о текущей конфигурации Snort |
| Запустить IDS с правами пользователя |
| Использовать UTC |
| Подробный режим |
| Показать версию Snort |
| Делать дамп 802.11 контрольных кадров (frames) |
| Делать дамп содержимого пакета |
| Помещать год в дату журналов и предупреждений (alerts) |
| Использовать путь к файлу и имя из препроцессора performonitor (статистика) |
| Использовать гарантийный режим, используется для установленных (established) соединений. С помощью этой опции можно распознать генераторы шумов и успешно их блокировать, используя препроцессор stream4 |
| Экран с помощью |
| © 2002-2005 Игорь Чубин |
| Учебный центр Сетевые Технологии, ug-ids, 2006-06-25 |
| Слушатель отсутствует, ДЕМО-ВЕРСИЯ |