it-swarm-vi.com

Kiểm tra cài đặt Snort IDS

Cách dễ nhất để kiểm tra Snort IDS sau khi cài đặt là gì? Sẽ sử dụng và viết một quy tắc nắm bắt tất cả các công việc giao thông?

alert ip any any -> any any ( msg: "ICMP packet detected!"; sid: 1; )

Đó là, sử dụng các quy tắc riêng của nó.

Một cách mà tôi biết để kiểm tra Snort là sử dụng một số chương trình như Nmap, Metasploit, và một số thứ khác, nhưng làm thế nào để thực hiện được?

13
Mohsen Gh.

Có hai điều khác nhau mà bạn có thể muốn kiểm tra.

  1. Snort có hoạt động theo nghĩa là nó đang chạy, có thể đánh hơi được các đề tài, kiểm tra nó theo các quy tắc và cảnh báo bạn khi được kích hoạt không?
  2. Snort có hoạt động theo nghĩa là bộ quy tắc hiện tại của nó phát hiện sự xâm nhập cụ thể của loại X không?

Để kiểm tra trường hợp 1, bạn đưa ra một quy tắc dễ bắn, như ví dụ của bạn và kích hoạt nó. Để kiểm tra trường hợp 2, bạn phải thử xâm nhập loại X và xác nhận rằng nó được phát hiện.

Bạn dường như muốn kiểm tra trường hợp 1 (rằng việc cài đặt đã được thực hiện chính xác) bằng cách sử dụng phương pháp trong trường hợp 2, nhưng bạn không cần phải làm vậy. Sử dụng quy tắc "giả" là một thử nghiệm hoàn toàn hợp lệ mà Snort đang làm việc theo nghĩa đầu tiên. Và nó dễ dàng hơn. Kiểm tra dễ dàng là tốt. Bạn không muốn làm phiền với Metasploit khi bạn chỉ kiểm tra xem các email cảnh báo có đến đúng người không. Đặc biệt là nếu bạn không có kỹ năng chạy xâm nhập - điều gì sẽ xảy ra nếu bạn xâm nhập sai và nhận kết quả kiểm tra sai? Điều gì sẽ xảy ra nếu sự cố xâm nhập làm sập mục tiêu (rất có thể xảy ra đối với nhiều loại xâm nhập.)

Bạn thực sự chỉ cần kiểm tra trường hợp 2, rằng một quy tắc cụ thể hoạt động chống lại nỗ lực xâm nhập thực sự, nếu bạn không tin vào bộ quy tắc của mình (trong trường hợp đó - tại sao bạn sử dụng quy tắc đó?) Hoặc nếu bạn đang phát triển quy tắc mới.

10
Graham Hill

Cũng có thể đáng để xem qua IDSWakeUp [Tháng 4 năm 2019: liên kết đã chết].

IDSwakeup là một tập hợp các công cụ cho phép kiểm tra các hệ thống phát hiện xâm nhập mạng.

Mục tiêu chính của IDSwakeup là tạo ra cuộc tấn công sai bắt chước những kẻ nổi tiếng, để xem liệu NIDS có phát hiện ra chúng và tạo ra dương tính giả hay không.

Giống như nidsbench, IDSwakeup đang được xuất bản với hy vọng rằng một phương pháp thử nghiệm chính xác hơn có thể được áp dụng để phát hiện xâm nhập mạng, đó là vẫn một nghệ thuật đen tốt nhất.

9
Petey B

Để kiểm tra xem các quy tắc mặc định của bạn có hoạt động hay không, giả sử bạn đã kéo chúng xuống bằng pullpork, oinkmaster hoặc thứ gì khác, bạn chỉ cần duyệt đến http://testmyids.com/ từ một khách hàng có lưu lượng truy cập IDS sẽ được nhìn thấy, thông qua thiết bị IDS của bạn là nội tuyến hoặc dưới dạng nhịp cổng.

Phản hồi http chứa văn bản sau:

uid=0(root) gid=0(root) groups=0(root)

sẽ khớp với một trong các quy tắc snort mặc định tìm "nội dung" có chứa root. Đây là một quy tắc cũ để kiểm tra sự leo thang đặc quyền thành công khi kẻ tấn công chạy các lệnh id hoặc whoami để kiểm tra xem anh ấy/cô ấy có quyền truy cập root hay không.

Đây là một blog (cũ) cũng thảo luận về cách kiểm tra snort: Làm cách nào để biết việc triển khai Snort của tôi có hoạt động không? .

6
Mark Hillick

Tôi biết cái này đã cũ nhưng dù sao tôi cũng sẽ ném nó ra ...

Thủ tục thanh toán snort -T

Công tắc này được thiết kế cho chính xác câu hỏi đã được hỏi. Nó được tích hợp sẵn, bạn không cần phải tuân theo các quy tắc, bạn không cần gửi lưu lượng độc hại (mặc dù nó "được kiểm soát"), bạn không cần gửi bất kỳ lưu lượng. Thậm chí sẽ cho bạn biết vấn đề của bạn ở đâu.

2
user1801810

Kể từ năm 2019, bài kiểm tra Suricata/Snort mạnh mẽ nhất mà tôi tìm thấy là:

Dig a 3wzn5p2yiumh7akj.onion

Cái nào kích hoạt quy tắc sau từ mới nổi trojan.rules :

alert dns $HOME_NET any -> any any (msg:"ET TROJAN Cryptowall .onion Proxy Domain"; 
dns_query; content:"3wzn5p2yiumh7akj"; depth:16; nocase; 
reference:url,www.bleepingcomputer.com/news/security/cryptowall-4-0-released-with-new-features-such-as-encrypted-file-names; 
classtype:trojan-activity; sid:2022048; rev:2; metadata:created_at 2015_11_09, 
updated_at 2015_11_09;)

Bối cảnh: các chữ ký được đề cập ở trên đã lỗi thời và hầu hết trong số chúng không chứa thông số kỹ thuật dòng chảy phù hợp sẽ khiến Snort hoặc Suricata bị mù với chúng. Cũng để đạt được testmyids.com bạn cần một proxy làm việc và điều này làm tăng thêm sự phức tạp. Các .onion Tuy nhiên, cảnh báo độ phân giải DNS không yêu cầu kết nối Internet hoạt động vì nó được kích hoạt bởi một nỗ lực đơn thuần để giải quyết tên của khách hàng.

0
kravietz