Monday, October 16th, 2017

Методология и средства анализа пакетов (Часть 2)

Published on Январь 30, 2009 by   ·   Комментариев нет

Во второй части этой статьи мы изучим, как построить мощные пакеты для анализа. Мы будем рассматривать средства Snort, Snortsnarf, widump, и winpcap. Также вам необходимо установить интерпретатор PERL, что будет показано ниже.

Если вы хотите увидеть другие статьи из этого цикла, пожалуйста, прочитайте:

Tools of the trade

В первой части статьи мы остановились на сборе некоторой ключевой информации, потому что она касается компьютерной безопасности. Это сканирование портов и различные их типы. Список, который мы представили вам в первой части статьи, не является исчерпывающим, но он наиболее общий. Поэтому я предлагаю вам исследовать несколько других расширенных методов сканирования, таких как сканирование фрагментированных пакетов, ftp bounce, dumb host, и другие, которые широко используются сегодня. В действительности, только ваше воображение и знание TCP/IP ограничивают вас в вашем исследовании новых и улучшенных техник сканирования.

Зная все это, с чего начать в попытках защитить свое компьютерное оборудование? К счастью сегодня, существует изобилие бесплатных средств в интернете. Они помогут вам проконтролировать поток информации, как к вашему компьютеру, так и от него. Как я упоминал в первой части этой статьи, большинство средств для обеспечения безопасности изначально появились на linux, но потом были перенесены также на win32. Как только началась успешная миграция средств, находчивые программисты начали придумывать различные новые стратегии. Особенно, почему программа ведет себя по разному на различных операционных системах? Наиболее выгодны программы, которые написаны на переносимом языке. Сразу же приходят на ум такие языки как PERL и Python. Одно из таких средств, на которое мы сегодня глянем — snortsnarf написано на PERL. В дополнение к snortsnarf мы также посмотрим snort и windump. Эти инструменты могут сформировать основу для мощного пакета для анализа. Хотя, для использования этих инструментов их необходимо сначала установить, но это несложная задача! Для тех из вас, кто предпочитает не устанавливать различные пакеты, я бы порекомендовал использовать Eagle X. Использование этого бесплатного средства избавить вас от установки Apache, PHP, MySQL, и ACID, из числа других программ, если вы еще не привыкли к работе такого типа.

Лично я рекомендую использовать snortsnarf, потому что это действительно хорошая программа. Хотя, если вы используете ее для разбора больших файлов, знайте, что она потребляет очень много оперативной памяти. Далее я перейду к установке snortsnarf на win32.

Выяснение зависимостей

Сперва, если на вашем компьютере не установлен PERL, я посоветую вам зайти сюда и загрузить версию 5.6.1. Snortsnarf не работает с версией 5.8.x, поэтому используйте вышеупомянутую версию 5.6.1. После того, как вы зарегистрировались, просто дважды щелкните на msi и следуйте инструкциям. Это совершенно безобидная задача. Теперь вам также необходимо загрузить три модуля; JulianDay.pm, ParseDate.pm, и Timezone.pm Они необходимы для корректной работы snortsnarf. Все три из них вы можете найти здесь. После того, как вы загрузили все эти три модуля, вам необходимо установить их: c:\perl\lib\time\

С установкой модулей для PERL мы закончили. Теперь вам необходимо загрузить snortsnarf, и я рекомендую вам установить его непосредственно в корневую директорию c:\. Просто запустите вашу копию winrar и откройте сжатый архив snortsnarf. После того как вы сделаете это, просто извлеките snortsnarf в папку c:\, как упоминалось ранее. Теперь вы установили snortsnarf. Чтобы убедиться, что все это работает, просто выполните следующую команду

C:\SnortSnarf-021111.1> snortsnarf –help

snortsnarf.pl { OPTION | FILE | user[:passwd][@dbname@host[:port] }
FILE is a text file containing snort alerts in full alert, fast alert, syslog,
portscan log, or portscan2 log format
user[:passwd][@dbname]@host[:port] is a Snort database
OPTION is one of the following:
-d <dir> Set the output directory to <dir>
-win Run in windows mode (required on Windows)
-hiprioisworse Consider higher priority #’s to indicate higher priority
-cgidir <URL> Indicate that SnortSnarf’s CGI scripts are in <URL>, for links
-homenet <net> Match <net> to snort -h <net>.  For -ldir
-ldir <URL> Enable log linking; <URL> is base URL for the log files
-dns [<net>] Show hostnames for IPs, or only IPs in <net> (can be slow)
-rulesfile<file>Set base Snort rules to <file>. For sig. display and X-refs
-rulesdir <dir> Set current directory for rule files from -rulesfile
-rulesscanonce Save read Snort rules in memory.  Might save CPU
-db <path>Enable annotations; <path> is full path to ann. file from CGI

То, что вы видите вверху, это результат выполнения команды help в snortsnarf. Теперь задайте ей в качестве параметра файл, сформированный snort -“alert.ids” :

C:\SnortSnarf-021111.1> snortsnarf –win –rs alert.ids

Пожалуйста, обратите внимание, что если вы не скопировали файл в alert.ids в директорию, где установлен snortsnarf, вам необходимо указать в командной строке относительный путь к файлу alert.ids.

Пакет sniffers и XP SP2

Теперь нам осталось установить только две вещи на компьютер, и это будет snort и windump. Вы также не должны забывать, что для работы windump вам необходим winpcap, который можно найти на том же сайте. Были отмечены проблемы при работе с Windows XP SP2. Лично у меня не получилось заставить работать windump на компьютере с XP SP2. У других, с более свежим пакетом обновлений для XP, конфликтов не возникало. Мне было бы интересно услышать ваше мнение на эту тему! Установить windump и winpcap действительно очень просто, достаточно следовать подсказкам. По умолчанию эти программы устанавливается в корневую папку c:\.

Теперь мы готовы непосредственно к установке snort. Эта программа также совершенно безобидна для установки, т.к. проходит вместе с msi. Просто дважды щелкните на ней и следуйте инструкциям. По умолчанию она также устанавливается в c:\. И опять, при установке на ХР с SP2 у меня возникли проблемы, которые я не смог решить, однако у других все получилось.

Snort без сомнения одна из лучших систем обнаружения атак на сегодняшний день. И все это абсолютно бесплатно! Большое спасибо Marty Roesch и всем, кто помог сделать Snort таким, каким мы видим его сегодня. Существует большое количество учебных материалов по использованию Snort, и я не хочу вдаваться в детали здесь. Достаточно будет сказать, что все, что вам надо, это получить его из запустить, выполнив следующее:

После того, как вы установили его, перейдите с помощью командной строки в директорию c:\snort\bin\ Отсюда, вы можете вызвать файл snort.exe, указав полный относительный путь к файлу snort.conf. В противном случае, вам необходимо внести некоторые изменения в файл snort.conf, что я не советую делать, пока вы полностью не разберетесь что к чему.

Теперь все программы установлены, и на этом мы закончим эту часть статьи. Далее в третьей части вы увидите синтаксис использования для snort и snortsnarf. Если у вас появятся какие-то проблемы – не беспокойтесь – правильный синтаксис мы вам покажем. До встречи!

Источник www.windowsecurity.com

















Смотрите также:

Tags: , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]