Главная страница Случайная страница
Разделы сайта
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Препроцесори
|
|
Препроцесори були введені у версії Snort1.5, вони дозволяють розширити функціональність Snort, з їх допомогою користувачі і програмісти можуть досить просто додавати модульні плагіни в Snort. Код препроцесора запускається перед тим, як механізм виявлення буде викликаний, але після того, як розшифрується пакет. Пакет може бути модифікований або проаналізований через цей механізм.
Препроцесори завантажуються і настроюються з використанням ключового слова “preprocessor”. Формат директиви препроцесора у файлі правил Snort представляється у вигляді:
preprocessor < ім’я>: < опції>
preprocessor minfrag: 128
Приклад 2.3: Формат директиви препроцесора
Детектор роrtscan
Препроцесор роrtscan розробив Patrick Mulen. Що робить препроцесор роrtscan:
• реєструє запуск і закінчення сканування портів від єдиного початкового ip в стандартному засобі реєстрації;
• якщо файл реєстрації визначений, реєструє ip місця призначення і скануючі порти так само добре, як і вид сканування.
Сканування портів – це спроба tcp з'єднання з більш ніж “p” портами за “t” секунд або udp пакети, відправлені на більш ніж “p” портів за “t” секунд. Порти можуть розповсюджуватися через будь-яке число ip адрес призначення, і можуть всі бути одним портом, якщо розповсюджуються через численні ip. Ця версія проводить одиночний -> одиночний і одиночний -> безліч сканувань портів. Наступний повний випуск проводитиме розподілене сканування портів (численне -> одиночне або численне -> численне). Сканування також визначено як єдиний невидимий пакет сканування, як, наприклад null, fin, syn-fin, xmas, і т.п., це значить що для виявлення сканування в стандартному розповсюдженні Snort потрібен розкоментувати (прибрати знак коментарю) секцію для пакетів невидимого сканування. З модулем сканування портів ці попередження повинні з'являтися тільки один раз за сканування, що переважно, ніж один раз для кожного пакету. Якщо використовувати зовнішню особливість реєстрації то можна буде правити в реєстраційному файлі.
Аргументами до цього модуля є:
• мережа, для контролю мережі/cidr блоку, щоб знаходити сканування;
• число доступних портів, в періоді виявлення;
• тривалість періоду виявлення в секундах, щоб обчислити для чого приймається поріг доступу до порту;
• директорія реєстрацій/ім’я директорії/ім’я файлу для виведення попереджень. Попередження також записуються в стандартний файл попереджень.
Формат
роrtscan: < перевіряєма мережа> < число портів> < період виявлення> < шлях до файлу>
preprocessor роrtscan: 192.168.1.0/24 5 7 C: \Snort\log\portscan.log
Приклад 2.4: Конфігурація препроцесора роrtscan
|
|