Добро пожаловать обратно, мои начинающие кибервоины!
В моих предыдущих публикациях этой серии мы установили Snort, настроили Snort , настроили Snort для отправки оповещений в базу данных (MySQL) и написали правила Snort .
В этой статье мы протестируем нашу новую установку Snort, чтобы увидеть, сможет ли она обнаруживать известные атаки и оповещать нас о них, прежде чем запустить ее в эксплуатацию в нашей производственной среде для защиты от атак.
Шаг №1 : Запустите Kali
Хотя вы, вероятно, захотите установить Snort на другой дистрибутив Linux в рабочей среде, в этой статье я буду использовать свой проверенный Kali Linux. Kali построен на базе дистрибутива Debian, который отлично подходит для использования в качестве хоста Snort.
Если Snort еще не установлен на вашем Kali, вы можете сделать это, введя:
kali > apt-get install snort
Шаг №2: Загрузите Attack .pcap’s
Как и Wireshark и другие инструменты для сниффинга, Snort использует формат .pcap для анализа пакетов. Для тестирования нашей установки Snort мы можем использовать данные, полученные в режиме реального времени с помощью Wireshark или tcpdump , или же доступные в интернете данные, собранные другими пользователями в результате вторжений и других атак. Существует множество онлайн-ресурсов, но два из них наиболее примечательны:
1. Примеры захвата данных Wireshark
2. Нетресек
Оба ресурса содержат многочисленные примеры файлов для тестирования вашей IDS или для использования с Wireshark при анализе.
Шаг №3: Запустите Snort
Чтобы протестировать нашу установку Snort, мы запустим Snort, как и в предыдущих уроках, но вместо живого захвата данных в качестве источника данных мы будем использовать эти pcap-файлы. Во-вторых, вместо отправки вывода оповещения в базу данных мы будем отправлять его в формате ASCII в наши журналы для быстрого и удобного анализа.
Для этого нам придется немного изменить команду Snort.
kali > snort -vde -c /etc/snort/snort.conf -l /var/log/snort -r < файл pcap> -K ascii
Где:
snort — это наш двоичный файл
-vde заставляет snort быть подробным и включать уровень канала передачи данных (уровень 2) и уровень приложений (уровень 7)
-c /etc/snort/snort.conf указывает snort использовать наш файл конфигурации в этом месте
-r указывает snort использовать входной файл вместо живого захвата
-l /var/log/snort указывает snort отправлять журналы в каталог /var/log/snort
-K ascii указывает snort отправлять оповещения в удобном для восприятия человеком формате ASCII.
Шаг №4: Тестирование Snort на известных файлах вторжений
Теперь, когда мы знаем, как тестировать известные вторжения в нашу установку Snort, давайте попробуем сделать это, чтобы увидеть, насколько хорошо Snort способен обнаруживать вредоносный трафик и оповещать нас о нем.
Атака типа «Teardrop» — это атака типа «отказ в обслуживании» (DoS), которая заключается в отправке фрагментированных пакетов на целевую машину. Поскольку принимающая машина не может собрать их заново из-за ошибки в механизме повторной сборки фрагментации TCP/IP, пакеты накладываются друг на друга, приводя к сбою целевого сетевого устройства. Этой атаке уже около 20 лет, поэтому Snort должен её обнаружить и сообщить нам об этом.
Давайте попробуем запустить этот файл teardrop.pcap через Snort и посмотрим, обнаружит ли он это и предупредит ли нас.
Мы можем сделать это, введя:
kali > snort -vde -c /etc/snort/snort.conf -l /var/log/snort -r /media/root/USB20FD/teardrop.cap -K ascii
Обратите внимание, что я загрузил файлы .pcap на USB-накопитель и использую абсолютный путь к ним. Убедитесь, что вы указали абсолютный путь к вашему файлу .pcap.
При запуске этого файла захвата pcap через Snort мы увидим количество оповещений ближе к концу выходной статистики. Как видно ниже, этот конкретный набор вредоносных pcap-файлов сгенерировал 5 оповещений.
Чтобы просмотреть подробную информацию о оповещениях, мы можем отобразить конец или «хвост» файла оповещения.
В данном случае я просмотрел последние 100 строк файла оповещения в /var/log/snort/alert .
Кали > хвост -100 /var/log/snort/alert
Как вы можете видеть выше, Snort обнаружил атаку и идентифицировал ее как DoS-атаку разновидности Teardrop.
Шаг №5 : Тестирование атаки EternalBlue
Теперь давайте протестируем Snort на более современной атаке — EternalBlue 2017 года. Это вредоносное ПО, разработанное АНБ, позволяло им получать управление любым компьютером, на который оно было направлено. Эта и несколько других атак были украдены у АНБ группой Shadowbrokers и затем опубликованы в марте 2017 года (подробнее об EternalBlue см. мой анализ на уровне пакетов в серии «Сетевая криминалистика»). Впоследствии эта атака стала частью множества других вредоносных атак, таких как Petya и WannaCry.
Давайте посмотрим, обнаружит ли его Snort. Введите следующую команду.
kali> snort -vde /etc/snort/snort.conf -l /var/log/snort -r /media/root/USB20FD/eternalblue-success-unpatched-win7.pcap -K ascii
После завершения работы pcap мы можем перейти к концу статистики Snort и посмотреть, сгенерировал ли Snort какие-либо оповещения об этом вредоносном файле.
Как видите выше, Snort сгенерировал 7 предупреждений о вредоносном ПО EternalBlue. Отлично!
Как и выше, мы можем просмотреть подробную информацию об этих оповещениях, просмотрев конец файла оповещений.
Кали > хвост -100 /var/log/snort/alert
Из 7 оповещений, сгенерированных Snort, 4 мы видим выше.
Заключение
Snort — отличная система обнаружения вторжений (IDS) для защиты вашей сети от вредоносной активности. После установки Snort, настройки его и его базы данных мы протестировали Snort на одной старой и одной относительно новой атаке. В обоих случаях система смогла обнаружить атаку и предупредить нас о ней.
Теперь вы готовы использовать Snort для защиты своих ценных ресурсов в сети!
В моих предыдущих публикациях этой серии мы установили Snort, настроили Snort , настроили Snort для отправки оповещений в базу данных (MySQL) и написали правила Snort .
В этой статье мы протестируем нашу новую установку Snort, чтобы увидеть, сможет ли она обнаруживать известные атаки и оповещать нас о них, прежде чем запустить ее в эксплуатацию в нашей производственной среде для защиты от атак.
Шаг №1 : Запустите Kali
Хотя вы, вероятно, захотите установить Snort на другой дистрибутив Linux в рабочей среде, в этой статье я буду использовать свой проверенный Kali Linux. Kali построен на базе дистрибутива Debian, который отлично подходит для использования в качестве хоста Snort.
Если Snort еще не установлен на вашем Kali, вы можете сделать это, введя:
kali > apt-get install snort
Шаг №2: Загрузите Attack .pcap’s
Как и Wireshark и другие инструменты для сниффинга, Snort использует формат .pcap для анализа пакетов. Для тестирования нашей установки Snort мы можем использовать данные, полученные в режиме реального времени с помощью Wireshark или tcpdump , или же доступные в интернете данные, собранные другими пользователями в результате вторжений и других атак. Существует множество онлайн-ресурсов, но два из них наиболее примечательны:
1. Примеры захвата данных Wireshark
2. Нетресек
Оба ресурса содержат многочисленные примеры файлов для тестирования вашей IDS или для использования с Wireshark при анализе.
Шаг №3: Запустите Snort
Чтобы протестировать нашу установку Snort, мы запустим Snort, как и в предыдущих уроках, но вместо живого захвата данных в качестве источника данных мы будем использовать эти pcap-файлы. Во-вторых, вместо отправки вывода оповещения в базу данных мы будем отправлять его в формате ASCII в наши журналы для быстрого и удобного анализа.
Для этого нам придется немного изменить команду Snort.
kali > snort -vde -c /etc/snort/snort.conf -l /var/log/snort -r < файл pcap> -K ascii
Где:
snort — это наш двоичный файл
-vde заставляет snort быть подробным и включать уровень канала передачи данных (уровень 2) и уровень приложений (уровень 7)
-c /etc/snort/snort.conf указывает snort использовать наш файл конфигурации в этом месте
-r указывает snort использовать входной файл вместо живого захвата
-l /var/log/snort указывает snort отправлять журналы в каталог /var/log/snort
-K ascii указывает snort отправлять оповещения в удобном для восприятия человеком формате ASCII.
Шаг №4: Тестирование Snort на известных файлах вторжений
Теперь, когда мы знаем, как тестировать известные вторжения в нашу установку Snort, давайте попробуем сделать это, чтобы увидеть, насколько хорошо Snort способен обнаруживать вредоносный трафик и оповещать нас о нем.
Атака типа «Teardrop» — это атака типа «отказ в обслуживании» (DoS), которая заключается в отправке фрагментированных пакетов на целевую машину. Поскольку принимающая машина не может собрать их заново из-за ошибки в механизме повторной сборки фрагментации TCP/IP, пакеты накладываются друг на друга, приводя к сбою целевого сетевого устройства. Этой атаке уже около 20 лет, поэтому Snort должен её обнаружить и сообщить нам об этом.
Давайте попробуем запустить этот файл teardrop.pcap через Snort и посмотрим, обнаружит ли он это и предупредит ли нас.
Мы можем сделать это, введя:
kali > snort -vde -c /etc/snort/snort.conf -l /var/log/snort -r /media/root/USB20FD/teardrop.cap -K ascii
Обратите внимание, что я загрузил файлы .pcap на USB-накопитель и использую абсолютный путь к ним. Убедитесь, что вы указали абсолютный путь к вашему файлу .pcap.
При запуске этого файла захвата pcap через Snort мы увидим количество оповещений ближе к концу выходной статистики. Как видно ниже, этот конкретный набор вредоносных pcap-файлов сгенерировал 5 оповещений.
Чтобы просмотреть подробную информацию о оповещениях, мы можем отобразить конец или «хвост» файла оповещения.
В данном случае я просмотрел последние 100 строк файла оповещения в /var/log/snort/alert .
Кали > хвост -100 /var/log/snort/alert
Как вы можете видеть выше, Snort обнаружил атаку и идентифицировал ее как DoS-атаку разновидности Teardrop.
Шаг №5 : Тестирование атаки EternalBlue
Теперь давайте протестируем Snort на более современной атаке — EternalBlue 2017 года. Это вредоносное ПО, разработанное АНБ, позволяло им получать управление любым компьютером, на который оно было направлено. Эта и несколько других атак были украдены у АНБ группой Shadowbrokers и затем опубликованы в марте 2017 года (подробнее об EternalBlue см. мой анализ на уровне пакетов в серии «Сетевая криминалистика»). Впоследствии эта атака стала частью множества других вредоносных атак, таких как Petya и WannaCry.
Давайте посмотрим, обнаружит ли его Snort. Введите следующую команду.
kali> snort -vde /etc/snort/snort.conf -l /var/log/snort -r /media/root/USB20FD/eternalblue-success-unpatched-win7.pcap -K ascii
После завершения работы pcap мы можем перейти к концу статистики Snort и посмотреть, сгенерировал ли Snort какие-либо оповещения об этом вредоносном файле.
Как видите выше, Snort сгенерировал 7 предупреждений о вредоносном ПО EternalBlue. Отлично!
Как и выше, мы можем просмотреть подробную информацию об этих оповещениях, просмотрев конец файла оповещений.
Кали > хвост -100 /var/log/snort/alert
Из 7 оповещений, сгенерированных Snort, 4 мы видим выше.
Заключение
Snort — отличная система обнаружения вторжений (IDS) для защиты вашей сети от вредоносной активности. После установки Snort, настройки его и его базы данных мы протестировали Snort на одной старой и одной относительно новой атаке. В обоих случаях система смогла обнаружить атаку и предупредить нас о ней.
Теперь вы готовы использовать Snort для защиты своих ценных ресурсов в сети!
