Snort

Instalando

apt install snort

Principais Arquivos

ARQUIVO	DESCRIÇÃO
/etc/snort/snort.conf	Arquivo de Configuração
/etc/snort/rules	Arquivos de Regras
/var/log/snort	Arquivo de Log

Executando o Snort

snort -A fast -q -h 192.168.1.0/24 -c /etc/snort/snort.conf

Mostra todas as ocorrências em tempo real, assim não precisa ficar executar um tail -f no arquivo de log.

snort -A console -q -h 192.168.1.0/24 -c /etc/snort/snort.conf

Criando regras

Para criar uma regra, siga o padrão abaixo:

<action> <protocol> <ip_origem> <port_origem> -> (<ip_destino> <port_destino> (msg: "<message>",sid:1000001:rev:001)

Exemplo de arquivo de regra. Crie o arquivo /etc/snort/rules/mysther.rules.

alert tcp any any -> 192.168.1.10 any (msg:"Port Scanning";sid:100001;rev;001;)
alert tcp any any -> 192.168.1.10 22 (msg:"SSH Received SYN";flags:S;sid:100002;rev;001;)
alert tcp any any -> 192.168.1.10 80 (msg:"Acesso ao arquivo robots.txt";content:"robots.txt";sid:100003;rev;001;)
alert tcp any any -> 192.168.1.10 80 (msg:"Possível ataque de SQL Injection";content:"%27";sid:100004;rev;001;)

Agora abra o arquivo /etc/snort/snort.conf e no final dele adicione a linha (junto com os demais "includes"):

include $RULE_PATH/mysther.rules