Snort
Instalando
apt install snort
Principais Arquivos
ARQUIVO
DESCRIÇÃO
/etc/snort/snort.conf
Arquivo de Configuração
/etc/snort/rules
Arquivos de Regras
/var/log/snort
Arquivo de Log
Executando o Snort
snort -A fast -q -h 192.168.1.0/24 -c /etc/snort/snort.conf
Mostra todas as ocorrências em tempo real, assim não precisa ficar executar um tail -f
no arquivo de log.
snort -A console -q -h 192.168.1.0/24 -c /etc/snort/snort.conf
Criando regras
Para criar uma regra, siga o padrão abaixo:
<action> <protocol> <ip_origem> <port_origem> -> (<ip_destino> <port_destino> (msg: "<message>",sid:1000001:rev:001)
Exemplo de arquivo de regra. Crie o arquivo /etc/snort/rules/mysther.rules
.
alert tcp any any -> 192.168.1.10 any (msg:"Port Scanning";sid:100001;rev;001;)
alert tcp any any -> 192.168.1.10 22 (msg:"SSH Received SYN";flags:S;sid:100002;rev;001;)
alert tcp any any -> 192.168.1.10 80 (msg:"Acesso ao arquivo robots.txt";content:"robots.txt";sid:100003;rev;001;)
alert tcp any any -> 192.168.1.10 80 (msg:"Possível ataque de SQL Injection";content:"%27";sid:100004;rev;001;)
Agora abra o arquivo /etc/snort/snort.conf
e no final dele adicione a linha (junto com os demais "includes"):
include $RULE_PATH/mysther.rules
Last updated
Was this helpful?