Инструменты и методология анализа пакетов (Часть 2)

• Инструменты и методология анализа пакетов (Часть 1)
• Инструменты и методология анализа пакетов (Часть 4)

Инструменты торговли

Мы остановились в первой части, пробежавшись по ключевой информации, касающейся компьютерной безопасности. Это сканирование портов и их различные типы. Список, который мы рассмотрели в первой части, ни в коем случае не был исчерпывающим, но он познакомил вас с некоторыми из наиболее распространенных. С этой целью я бы посоветовал вам изучить некоторые из более продвинутых методов сканирования, таких как; сканирование фрагментированных пакетов, отскок ftp, тупой хост и другие, которые очень часто используются сегодня. На самом деле только ваше воображение и знание TCP/IP ограничивают вас в поиске новых и улучшенных методов сканирования.

Когда это позади, куда нам двигаться дальше, чтобы защитить наши вычислительные активы? К счастью, сегодня в Интернете есть множество бесплатных инструментов. Они могут помочь вам внимательно следить за потоком информации как на ваш компьютер, так и с него. Как я уже упоминал в первой части, большинство инструментов безопасности родом из Linux, но с тех пор были перенесены на win32. Как только началась успешная миграция инструментов, опытный программист начал применять различные новые стратегии. В частности, зачем программировать инструмент, который зависит от конкретной операционной системы? Гораздо выгоднее программировать инструменты на переносимом языке. Сразу приходят на ум такие языки, как PERL и Python. Одним из таких инструментов, который мы сегодня рассмотрим, является snortsnarf, написанный на языке PERL. В дополнение к snortsnarf мы также рассмотрим snort и windump. Эти инструменты могут стать основой для мощного пакета анализа. Хотя использование этих инструментов потребует их установки, но это не сложная задача! При этом для тех из вас, кто предпочитает не устанавливать различные пакеты, я бы порекомендовал вам использовать Eagle X. Использование этого бесплатного инструмента избавит вас от необходимости устанавливать Apache, PHP, MySQL и ACID, среди прочего. программы, если вы еще не освоились с этим видом работы.

Я лично рекомендую использовать snortsnarf, так как это действительно хорошая программа. Хотя, если вы анализируете через него большие файлы snort alert.ids, имейте в виду, что это свинья RAM. С другой стороны, помимо прохождения сертификации GCIA, вы, вероятно, не будете анализировать такие большие файлы, где оперативная память или ее объем становятся проблемой. С этой оговоркой я проведу вас через установку snortsnarf на win32. Если вы хотите сделать это и в Linux, здесь есть руководство по установке.

Разрешение зависимостей

Итак, во-первых, если на вашем компьютере не установлен PERL, я бы посоветовал вам зайти сюда и загрузить версию 5.6.1. Snortsnarf не будет работать с 5.8.x, поэтому вы застряли на вышеупомянутой сборке 5.6.1. После регистрации просто дважды щелкните msi и следуйте инструкциям. Это довольно безболезненная задача. Теперь вам также нужно будет загрузить три временных модуля; JulianDay.pm, ParseDate.pm и Timezone.pm Эти три необходимы для правильной работы snortsnarf. Вы можете найти все три из них здесь. После того, как вы загрузили все эти три файла, вам нужно будет установить их следующим образом: c:perllib ime

Это все, что нужно для установки модуля для PERL. Вы уже загрузили snortsnarf, и я бы посоветовал вам установить его в корень самого диска c:. Просто запустите свою копию winrar и откройте сжатый архив snortsnarf. Когда вы это сделаете, просто распакуйте папку snortsnarf в c:, как упоминалось ранее. Когда все вышеперечисленное готово, вы завершили установку snortsnarf. Чтобы убедиться, что все работает, выполните следующую команду

C:SnortSnarf-021111.1> snortsnarf -help

snortsnarf.pl { ВАРИАНТ | ФАЙЛ | пользователь[:пароль][@[электронная почта защищена][:порт] }
ФАЙЛ представляет собой текстовый файл, содержащий оповещения snort в режимах полного оповещения, быстрого оповещения, системного журнала,
журнал portscan или формат журнала portscan2
user[:passwd][@dbname]@host[:port] — это база данных Snort.
ВАРИАНТ является одним из следующих:
-d <dir> Установить выходной каталог <dir>
-win Запустить в режиме Windows (требуется в Windows)
-hiprioisworse Учитывать более высокий приоритет # для обозначения более высокого приоритета
-cgidir <URL> Указать, что CGI-скрипты SnortSnarf находятся в <URL>, для ссылок
-homenet <net> Сопоставить <net> с snort -h <net>. Для -ldir
-ldir <URL> Включить связывание журналов; <URL> — это базовый URL-адрес для файлов журнала.
-dns [<net>] Показать имена хостов для IP-адресов или только IP-адреса в <net> (может быть медленным)
-rulesfile<файл>Установить базовые правила Snort в <файл>. Для сиг. дисплей и внешние ссылки
-rulesdir <dir> Задать текущий каталог для файлов правил из -rulesfile
-rulesscanonce Сохранить прочитанные правила Snort в памяти. Может сэкономить процессор
-db <путь> Включить аннотации; <путь> — это полный путь к файлу ann. файл из CGI

То, что вы видите выше, — это фрагмент вывода, созданного при вызове меню справки в snortsnarf. Теперь, чтобы фактически запустить его с помощью сгенерированного snort файла «alert.ids», вы должны выполнить следующее;

C:SnortSnarf-021111.1> snortsnarf -win -rs alert.ids

Обратите внимание, что если вы не скопировали файл alert.ids в каталог snortsnarf, вам нужно будет указать полный относительный путь к файлу alert.ids.

Снифферы пакетов и XP SP2

Что ж, теперь у нас есть только две оставшиеся вещи, которые нужно установить на наш компьютер, и это будут snort и windump. Не стоит забывать, что для работы виндампа вам также понадобится winpcap, который можно найти на том же сайте. Были отмечены проблемы, если вы используете Windows XP SP2. Лично я отказался от попыток заставить работать Windump на компьютере с XP SP2. У других не было проблем с последним пакетом обновлений XP, конфликтующим с Windump. Мне было бы интересно услышать ваше мнение по этому вопросу! Установить windump и winpcap действительно очень просто, просто следуйте подсказкам. Эти программы должны по умолчанию устанавливаться в корень c:, а если нет, то устанавливать их туда.

Теперь, когда эти программы готовы, мы можем установить сам snort. Эту программу также довольно легко установить, поскольку она поставляется с файлом msi. Просто дважды щелкните по нему и следуйте инструкциям. Это также будет установлено в корень c: по умолчанию. Еще раз с SP2 для XP у меня были проблемы, которые я не мог решить, но у других есть. Пожалуйста, дайте мне знать, как у вас дела.

Snort, без сомнения, является одной из лучших систем обнаружения вторжений на сегодняшний день. Все это из продукта с открытым исходным кодом не меньше! Большое спасибо Марти Решу и всем остальным, кто помог сделать Snort тем, чем он является сегодня. Существует множество отличных руководств по использованию Snort, поэтому я не буду вдаваться в подробности. Достаточно сказать, что если все, что вы хотите сделать на данный момент, это настроить и запустить его, выполните следующее:

Теперь, когда он у вас установлен, перейдите через приглашение DOS к c:snortin Оттуда вы можете вызвать snort.exe, записывая полный относительный путь к файлу snort.conf. В противном случае вам нужно будет внести некоторые изменения в файл snort.conf, чего я бы не советовал, пока вы не освоитесь с ним.

Теперь, когда все программы установлены, на этом мы прервем статью. Вы увидите дальнейшее использование синтаксиса для snort и snortsnarf в третьей части. Поэтому, если вы столкнетесь с какими-либо проблемами, не беспокойтесь, так как будет показан правильный синтаксис для обеих программ. До тех пор!

• Инструменты и методология анализа пакетов (Часть 1)
• Инструменты и методология анализа пакетов (Часть 4)