snort3

Mendengus++

Snort 3 adalah generasi penerus Snort IPS (Intrusion Prevention System). File ini akan menunjukkan kepada Anda apa yang ditawarkan Snort++ dan memandu Anda melalui langkah-langkah mulai dari pengunduhan hingga demo. Jika Anda belum familiar dengan Snort, Anda sebaiknya melihat dokumentasi Snort terlebih dahulu. Kami akan membahas topik-topik berikut:

• Ringkasan

• Ketergantungan

• Unduh

• Bangun Mendengus

• Jalankan mendengus

• Dokumentasi

• Menjerit

RINGKASAN

Versi Snort++ ini mencakup fitur-fitur baru serta semua fitur Snort 2.X dan perbaikan bug untuk versi dasar Snort kecuali seperti yang ditunjukkan di bawah ini:

Project = Snort++
Binary = snort
Version = 3.0.0 (Build 250) from 2.9.11

Berikut beberapa fitur utama Snort++:

• Mendukung beberapa thread pemrosesan paket

• Gunakan konfigurasi bersama dan tabel atribut

• Gunakan konfigurasi yang sederhana dan dapat skrip

• Jadikan komponen utama dapat dicolokkan

• Layanan deteksi otomatis untuk konfigurasi portless

• Mendukung buffer lengket dalam aturan

• Buat dokumentasi referensi secara otomatis

• Memberikan dukungan lintas platform yang lebih baik

• Memfasilitasi pengujian komponen

• Gunakan peta jaringan bersama

Fitur tambahan pada peta jalan meliputi:

• Mendukung pipeline pemrosesan paket

• Mendukung pembongkaran perangkat keras dan integrasi bidang data

• Mendukung mode proksi

• dukungan Windows

KETERGANTUNGAN

Jika Anda sudah membuat Snort, Anda mungkin memiliki semua yang Anda perlukan. Jika tidak, ambil yang terbaru:

• cmake untuk membangun dari sumber

• daq dari https://github.com/snort3/libdaq untuk paket IO

• dnet dari https://github.com/dugsong/libdnet.git untuk fungsi utilitas jaringan

• flex >= 2.6.0 dari https://github.com/westes/flex untuk pengurai sintaksis JavaScript

• g++ >= 7 atau kompiler C++17 lainnya

• hwloc dari https://www.open-mpi.org/projects/hwloc/ untuk manajemen afinitas CPU

• LuaJIT dari http://luajit.org untuk konfigurasi dan skrip

• OpenSSL dari https://www.openssl.org/source/ untuk tanda tangan file SHA dan MD5, opsi aturan protected_content, dan deteksi layanan SSL

• pcap dari http://www.tcpdump.org untuk pencatatan gaya tcpdump

• pcre dari http://www.pcre.org untuk pencocokan pola ekspresi reguler

• pkgconfig dari https://www.freedesktop.org/wiki/Software/pkg-config/ untuk menemukan dependensi build

• zlib dari http://www.zlib.net untuk dekompresi

Paket tambahan menyediakan fitur opsional. Periksa manual untuk lebih lanjut.

UNDUH

Ada tarball sumber yang tersedia di bagian Unduhan di snort.org:

snort-3.0.0-a3.tar.gz

Anda juga bisa mendapatkan kodenya dengan:

git clone https://github.com/snort3/snort3.git

Ada paket tambahan terpisah untuk cmake yang menyediakan fitur tambahan dan mendemonstrasikan cara membuat plugin. Sumber tambahan ada di repo snort3_extra.git.

MEMBANGUN dengusan

Ikuti langkah-langkah berikut:

1. Siapkan direktori sumber:

• Jika Anda menggunakan klon github:

   cd mendengus3/

• Jika tidak, lakukan ini:

   tar zxf mendengus-tarballcd mendengus-3.0.0*

2. Jalur pemasangan penyiapan:

    ekspor my_path=/path/ke/snorty

3. Kompilasi dan instal:

• Untuk membangun dengan cmake dan make, jalankan konfigurasi_cmake.sh. Ini secara otomatis akan membuat dan mengisi subdirektori baru bernama 'build'.

   ./configure_cmake.sh --prefix=$my_pathcd build
  buat -j $(nproc) instal

Catatan :

• Jika Anda dapat melakukan src/snort -V Anda berhasil membangun.

• Jika Anda familiar dengan cmake, Anda dapat menjalankan cmake/ccmake alih-alih mengkonfigurasi_cmake.sh.

• cmake --help akan mencantumkan generator apa pun yang tersedia, seperti Xcode. Jangan ragu untuk menggunakannya, namun bantuan untuk itu akan diberikan secara terpisah.

JALANKAN MENDENGAR

Berikut beberapa contohnya. Jika Anda menggunakan aturan dan/atau konfigurasi Talos, Anda harus terlebih dahulu menetapkan variabel apa pun yang diperlukan di bagian atas snort.lua dan snort_defaults.lua.

• Snort++ memberikan banyak bantuan dari baris perintah, termasuk:

   $my_path/bin/snort --help$my_path/bin/snort --help-module supres$my_path/bin/snort --help-config | benang grep

• Periksa dan buang pcap. Berikut ini, ganti a.pcap dengan favorit Anda:

   $my_path/bin/snort -r a.pcap$my_path/bin/snort -L dump -d -e -q -r a.pcap

• Verifikasi konfigurasi, dengan atau tanpa aturan:

   $my_path/bin/snort -c $my_path/etc/snort/snort.lua$my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules

• Jalankan mode IDS. Berikut ini, ganti pcaps/ dengan jalur ke direktori dengan satu atau lebih file *.pcap:

   $my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules 
      -r a.pcap -A alert_test -n 100000

• Mari kita tekan 1:2123. Kita dapat mengedit conf atau melakukan ini:

   $my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules 
      -r a.pcap -A alert_test -n 100000 --lua "menekan = { { gid = 1, sid = 2123 } }"

• Gunakan seluruh direktori dengan beberapa thread paket:

   $my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules 
      --pcap-filter *.pcap --pcap-dir pcaps/ -A alert_fast --max-packet-threads 8

Contoh tambahan diberikan di doc/usage.txt.

DOKUMENTASI

Lihatlah manualnya, yang sebagian dibuat oleh kode agar tetap mutakhir:

 $my_path/share/doc/snort/snort_manual.pdf$my_path/share/doc/snort/snort_manual.html$my_path/share/doc/snort/snort_manual/index.html

Ia belum menjelaskan secara rinci bagaimana dan mengapa, namun ia memiliki semua konfigurasi yang tersedia saat ini, dll. Beberapa perubahan penting pada aturan:

• anda harus menggunakan sub opsi konten yang dipisahkan koma seperti ini: content:"foo", nocase;

• pemilih buffer harus muncul sebelum konten dan tetap berlaku sampai diubah

• pemilih buffer pcre telah dihapus

• periksa manual untuk mengetahui lebih lanjut tentang Snort++ vs Snort

• periksa bagian referensi manual untuk memahami bagaimana parameter ditentukan, dll.

Ini juga mencakup fitur-fitur baru yang tidak diperlihatkan di sini:

• snort2lua, alat untuk mengubah konfigurasi dan aturan Snort 2.X ke bentuk baru

• inspektur HTTP baru

• pengikat, untuk memetakan konfigurasi ke lalu lintas

• wizard untuk konfigurasi port-independen

• penguraian aturan yang ditingkatkan - spasi sewenang-wenang, komentar gaya C, komentar #begin/#end

• shell baris perintah lokal dan jarak jauh

MENJERIT

o")~

Kami harap Anda sama antusiasnya dengan Snort++ seperti kami. Beri tahu kami pendapat Anda di daftar pengguna snort. Sementara itu, kami akan tetap fokus pada batu asah.