Chủ đề: Hệ thống IDS - Snort

Đầu tiên bạn tìm file: snort.conf (Thường nằm ở C:\Snort\etc), mở bằng Word hoặc WordPad ^_^
Bạn khai lại 1 số biến như: Home_Net, Rule_Path.... theo hướng dẫn ghi sẵn trong file đó.

Bạn xóa các dòng khai báo dynamicpreprocessor file và thay bằng:

dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor

và

dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll

Ví Dụ Về Snort Rule:
Sau đây là một số snort rule cơ bản cùng với những mô tả của chúng. Các bạn có thể sử dụng chúng làm các mẫu cho quá trình tạo snort rule của mình.
• Để log tất cả các truyền thông kết nối đến port 23 của dịch vụ telnet:
Log tcp any any -> 10.0.10.0/24 23

• Để log các ICMP traffic đến lớp mạng 10.0.10.0:
Log icmp any any -> 10.0.10.0/24 any

• Cho phép tất cả các quá trình duyệt Web mà không cần ghi log:
Pass tcp any 80 -> any 80

• Tạo một cảnh báo với thông điệp kèm theo :
Alert tcp any any -> any 23 (msg: "Telnet Connection => Attempt"; )

• Dò tìm các tình huống quét mạng với SYN/FIN :
Alert tcp any any -> 10.0.10.0/24 any (msg: "SYN-FIN => scan detected"; flags: SF; )

• Dò tìm các tiến trình quét mạng TCP NULL:
Alert tcp any any -> detected"; > = 10.0.10.0/24 any (msg: "NULL scan flags: 0; )

• Dò tìm các tiến trình OS fingerprinting:
Alert tcp any any -> 10.0.10.0/24 (msg: "O/S Fingerprint => detected"; flags: S12; )

• Tiến hành lọc nội dung :
alert tcp any $HOME_NET -> !$HOME_NET any (content: => "Hello"; msg:"Hello Packet"; )

Qua một số ví dụ snort rule mẫu các bạn hãy thiết lập các quy tắc riêng để tạo một snort rule cho riêng mình.Tình huống sau đây yêu cầu các chuyên gia bảo mật hệ thống thiết lập một snort rule để ghi log tất cả các TCP trafic, cảnh báo khi có xảy ra trường hợp sử dụng lệnh ping, và đưa ra các cảnh báo nếu có ai đó sử dụng mật mã là password. Hãy tiến hành như sau:
Sử dụng trình sọan thảo Notepad và nhập vào nội dung:
log tcp any any -> any any (msg: "TCP Traffic Logged"; )
alert icmp any any -> any any (msg: "ICMP Traffic Alerted"; )
alert tcp any any -> any any (content: "password"; msg: => "Possible Password Transmitted"; )
Lưu tập tin trên (Giả sử tại C:\Snort\rules\demo.rules)

Chạy Snort:
C:Snort\bin\snort -c C:\Snort\rules\demo.rules -l C:\Snort\log

Các bạn hãy thử ping google.com và thử lệnh Net send:
net send [ip_address] Here is my password

Đọc file log (C:\Snort\log\snort.ids) để xem chi tiết cảnh báo.

Nguyên văn bởi LTG

Hi, thanks bạn AHN cái nào

Các bạn chú ý lúc tạo Rule nhé. Bản IDS mới bây giờ tạo Rule phải thêm SID vào nữa.
AHN hướng dẫn bản IDS cũ rồi nên không có SID trong luật

Hi, mình vừa download bản IDS mới về. Đúng là nó khác bản cũ ở chỗ tạo Rule và 1 số chỗ khác nữa. Không có SID cho Rule là nó không chạy được đâu. ^_^

Nguyên văn bởi Baoyen

có thể chỉ cho mình cách download và cài đặt Snort được ko? mình đã thữ down rất nhiều nhưng ko thành công

Nếu bạn cài SNORT cho Windows mà chưa thành công thì có thể PM nick YM của mình để trao đổi thêm. CÒn nếu mà bạn cài SNORT cho LINUX thì mình cũng chịu, không giúp được.
P/S: Nick YM của mình: rikndv

Đây là link tài liệu về IDS-SNORT và bộ cài đặt mình dùng. Bạn nào quan tâm thì download nhé:

http://www.mediafire.com/?5nabgv3m1qh6dfa

hoặc

http://www.fileden.com/files/2007/11...3576/SNORT.rar