Виявлення вторгнень за допомогою підручника з нюхання

Загальна думка полягає в тому, що якщо брандмауер захищає власну мережу, мережа вважається захищеною. Однак це не зовсім так. Брандмауери є основним компонентом мережі, але вони не можуть повністю захистити мережу від примусових входів або ворожих намірів. Системи виявлення вторгнень використовуються для оцінки агресивних або несподіваних пакетів та формування попередження перед тим, як ці програми можуть завдати шкоди мережі. Система виявлення вторгнень на основі хоста працює на всіх пристроях у мережі або підключається до внутрішньої мережі організації. Натомість мережева система виявлення вторгнень розгортається у певній точці або групі точок, з яких можна контролювати весь вхідний та вихідний трафік. Перевагою системи виявлення вторгнень на основі хоста є те, що вона також може виявляти аномалії або зловмисний трафік, що генерується від самого хосту, тобто.e., якщо на хост впливає шкідливе програмне забезпечення тощо. Системи виявлення вторгнень (IDS) працювати шляхом моніторингу та аналізу мережевого трафіку та порівняння його із встановленим набором правил, визначаючи, що слід сприймати як нормальне для мережі (i.e., для портів, пропускної здатності тощо.) і на що поглянути ближче.

Система виявлення вторгнень може бути розгорнута залежно від розміру мережі. Існують десятки якісних комерційних IDS, але багато компаній та малий бізнес не можуть собі їх дозволити. Хроп - це гнучка, легка та популярна система виявлення вторгнень, яка може бути розгорнута відповідно до потреб мережі, починаючи від малих та великих мереж, і забезпечує всі функції платних IDS. Хроп нічого не коштує, але це не означає, що він не може надати тих самих функціональних можливостей, що і елітна комерційна система IDS. Хроп вважається пасивним IDS, що означає, що він нюхає мережеві пакети, порівнює із набором правил, а у випадку виявлення шкідливого журналу або запису (i.e., виявлення вторгнення), генерує попередження або розміщує запис у файлі журналу. Хроп використовується для моніторингу роботи та діяльності маршрутизаторів, брандмауерів та серверів. Snort надає зручний інтерфейс, що містить ланцюжок наборів правил, які можуть бути дуже корисні людині, яка не знайома з IDS. Snort генерує сигнал тривоги у разі вторгнення (атаки переповнення буфера, отруєння DNS, відбитки пальців ОС, сканування портів та багато іншого), надаючи організації більшу видимість мережевого трафіку та полегшуючи дотримання правил безпеки.

Встановлення Snort

Перш ніж встановлювати Snort, є кілька програмних продуктів або пакетів з відкритим кодом, які слід встановити спочатку, щоб отримати найкращі результати від цієї програми.

Libpcap: Снайфер пакетів, такий як Wireshark, який використовується для збору, моніторингу та аналізу мережевого трафіку. Для встановлення libpcap, використовуйте такі команди, щоб завантажити пакет з офіційного веб-сайту, розпакувати пакет, а потім встановити його:

[захищено електронною поштою]: ~ $ wget http: // www.tcpdump.org / release / libpcap-1.9.1.дьоготь.gz
[захищено електронною поштою]: ~ $ tar -xzvf libpcap-
[захищено електронною поштою]: ~ $ cd libpcap-
[електронна пошта захищена]: ~ $ ./ налаштувати
[захищено електронною поштою]: ~ $ sudo make
[захищено електронною поштою]: ~ $ make install

OpenSSH: Інструмент безпечного підключення, який забезпечує захищений канал, навіть через незахищену мережу, для віддаленого входу через ssh протоколу. OpenSSH використовується для віддаленого підключення до систем з правами адміністратора. OpenSSH можна встановити за допомогою наступних команд:

[захищено електронною поштою]: ~ $ wget http: // ftp.openbsd.org / pub / OpenBSD / OpenSSH /
портативний / openssh-8.3p1.дьоготь.gz
[захищено електронною поштою]: ~ $ tar xzvf openssh-
[захищено електронною поштою]: ~ $ cd openssh-
[електронна пошта захищена]: ~ $ ./ налаштувати
[захищено електронною поштою]: ~ $ sudo make install

MySQL: Найпопулярніший безкоштовний і з відкритим кодом SQL база даних. MySQL використовується для зберігання попереджених даних від Snort. Бібліотеки SQL використовуються віддаленими машинами для зв'язку та доступу до бази даних, де зберігаються записи журналу Snort. MySQL можна встановити за допомогою наступної команди:

[захищено електронною поштою]: ~ $ sudo apt-get install mysql

Веб-сервер Apache: Найбільш використовуваний веб-сервер в Інтернеті. Apache використовується для відображення консолі аналізу через веб-сервер. Його можна завантажити з офіційного веб-сайту тут: http: // httpd.апаш.орг /, або за допомогою наступної команди:

[захищено електронною поштою]: ~ $ sudo apt-get install apache2

PHP: PHP - це мова сценаріїв, що використовується при веб-розробці. Для запуску консолі Analysis необхідний механізм розбору PHP. Її можна завантажити з офіційного веб-сайту: https: // www.php.мережа / завантаження.php, або за допомогою таких команд:

[захищено електронною поштою]: ~ $ wget https: // www.php.net / distributions / php-7.4.9.дьоготь.bz2
[захищено електронною поштою]: ~ $ tar -xvf php-.дьоготь
[захищено електронною поштою]: ~ $ cd php-
[захищено електронною поштою]: ~ $ sudo make
[захищено електронною поштою]: ~ $ sudo make install

OpenSSL: Використовується для захисту зв'язку через мережу, не турбуючись про те, що сторонні отримують або контролюють надіслані та отримані дані. OpenSSL забезпечує криптографічну функціональність веб-сервера. Її можна завантажити з офіційного веб-сайту: https: // www.openssl.орг /.
Stunnel: Програма, яка використовується для шифрування довільного мережевого трафіку або з'єднань всередині SSL і працює поряд OpenSSL. Стуннель можна завантажити з офіційного веб-сайту: https: // www.стюнель.орг /, або його можна встановити за допомогою наступних команд:

[захищено електронною поштою]: ~ $ wget https: // www.стюнель.org / downloads / stunnel-5.56-андроїд.застібку-блискавку
[захищено електронною поштою]: ~ $ tar xzvf stunnel-
[захищено електронною поштою]: ~ $ cd stunnel-
[електронна пошта захищена]: ~ $ ./ налаштувати
[захищено електронною поштою]: ~ $ sudo make install

КИСЛОТА: Абревіатура для Контроль аналізу для виявлення вторгнень. ACID - це пошуковий інтерфейс, що підтримується запитами, який використовується для пошуку відповідних IP-адрес, заданих шаблонів, конкретної команди, корисного навантаження, підписів, конкретних портів тощо., з усіх зареєстрованих попереджень. Він забезпечує поглиблену функціональність аналізу пакетів, дозволяючи ідентифікувати, що саме намагався здійснити зловмисник, та тип корисного навантаження, використовуваного в атаці. КИСЛОТА можна завантажити з офіційного веб-сайту: https: // www.сей.cmu.edu / about / divisions / cert / index.cfm.

Тепер, коли встановлені всі необхідні базові пакети, Хроп можна завантажити з офіційного веб-сайту, сопіти.орг, і може бути встановлений за допомогою наступних команд:

[захищено електронною поштою]: ~ $ wget https: // www.сопіти.org / downloads / snort / snort-2.9.16.1.дьоготь.gz
[захищено електронною поштою]: ~ $ tar xvzf snort-
[захищено електронною поштою]: ~ $ cd snort-
[електронна пошта захищена]: ~ $ ./ налаштувати
[захищено електронною поштою]: ~ $ sudo make && --enable-source-fire
[захищено електронною поштою]: ~ $ sudo make install

Далі запустіть таку команду, щоб перевірити, чи встановлено Snort та версію Snort, яку ви використовуєте:

[захищено електронною поштою]: ~ $ snort --
,,_ - *> Хроп! <*-
o ") ~ Номер версії"
Авторське право (C) 1998-2013 Sourcefire, Inc., та ін.
Використання libpcap версії 1.8.1
Використання версії PCRE: 8.39 2016-06-14
Використання версії ZLIB: 1.2.11

Після успішної установки в системі повинні бути створені такі файли:

/ usr / bin / snort: Це двійковий виконуваний файл Snort.

/ usr / share / doc / snort: Містить документацію Snort та сторінки.

/ etc / snort: Містить усі набори правил Хроп і це також його файл конфігурації.

Використання Snort

Щоб використовувати Snort, спочатку потрібно налаштувати Домашня мережа значення та надайте йому значення IP-адреси мережі, яку ви захищаєте. IP-адресу мережі можна отримати за допомогою наступної команди:

[захищено електронною поштою]: ~ $ ifconfig

З результатів скопіюйте значення адреса інету потрібної мережі. Тепер відкрийте файл конфігурації Snort / etc / snort / snort.конф використовуючи таку команду:

[захищено електронною поштою]: ~ $ sudo vim / etc / snort / snort.конф

Ви побачите такий вивід:

Знайдіть рядок “Ipvar HOME_NET." Перед ipvar HOME_NET, напишіть скопійовану раніше IP-адресу та збережіть файл. Перед бігом Хроп, інша справа, яку ви повинні зробити, - це запустити мережу в безладному режимі. Ви можете зробити це, використовуючи таку команду:

[захищено електронною поштою]: ~ $ / sbin / ifconfig - -promisc

Тепер ви готові до бігу Хроп. Щоб перевірити його статус і протестувати файл конфігурації, використовуйте таку команду:

[захищено електронною поштою]: ~ $ sudo snort -T -i -c / etc / snort / snort.конф
4150 Читання правил сопіння
3476 правил виявлення
0 правил декодера
0 правил попереднього процесора
3476 опціональних ланцюжків, з’єднаних у 290 заголовків ланцюгів
0 Динамічні правила
+++++++++++++++++++++++++++++++++++++++++++++++++++
+-------------------[Підрахунок портів правила]---------------------------------------
| tcp udp icmp ip
| src 151 18 0 0
| dst 3306 126 0 0
| будь-який 383 48 145 22
| nc 27 8 94 20
| s + d 12 5 0 0
+----------------------------------------------------------------------------
+-----------------------[виявлення-фільтр-конфігурація]------------------------------
| cap-memory: 1048576 байт
+-----------------------[правила виявлення-фільтра]-------------------------------
| жоден
-------------------------------------------------------------------------------
+-----------------------[rate-filter-config]-----------------------------------
| cap-memory: 1048576 байт
+-----------------------[рейтинг-фільтр-правила]------------------------------------
| жоден
-------------------------------------------------------------------------------
+-----------------------[event-filter-config]----------------------------------
| cap-memory: 1048576 байт
+-----------------------[фільтр подій-глобальний]----------------------------------
| жоден
+-----------------------[event-filter-local]-----------------------------------
| gen-id = 1 sig-id = 3273 type = Відстеження порогових значень = src count = 5 секунд = 2
| gen-id = 1 sig-id = 2494 type = Обидва відстеження = dst count = 20 секунд = 60
| gen-id = 1 sig-id = 3152 type = Відстеження порогів = src count = 5 секунд = 2
| gen-id = 1 sig-id = 2923 type = Порогове відстеження = dst count = 10 секунд = 60
| gen-id = 1 sig-id = 2496 type = Обидва відстеження = dst count = 20 секунд = 60
| gen-id = 1 sig-id = 2275 type = Відстеження порогів = dst count = 5 секунд = 60
| gen-id = 1 sig-id = 2495 type = Обидва відстеження = dst count = 20 секунд = 60
| gen-id = 1 sig-id = 2523 type = Обидва відстеження = dst count = 10 секунд = 10
| gen-id = 1 sig-id = 2924 type = Відстеження порогів = dst count = 10 секунд = 60
| gen-id = 1 sig-id = 1991 type = Відстеження обмежень = src count = 1 секунда = 60
+-----------------------[придушення]------------------------------------------
| жоден
-------------------------------------------------------------------------------
Правило порядку застосування: активація-> динамічна-> пропуск-> падіння-> пропуск-> відхилення-> попередження-> журнал
Перевірка конфігурацій препроцесора!
[Пам'ять відповідності шаблону на основі портів]
+- [Підсумок Aho-Corasick] -------------------------------------
| Формат зберігання: Full-Q
| Кінцевий автомат: DFA
| Розмір алфавіту: 256 символів
| Sizeof State: Змінна (1,2,4 байта)
| Екземпляри: 215
| 1 байт: 204
| 2 байтові стани: 11
| Стани 4 байтів: 0
| Персонажі: 64982
| Штати: 32135
| Переходи: 872051
| Щільність штату: 10.6%
| Візерунки: 5055
| Штатні матчі: 3855
| Пам'ять (МБ): 17.00
| Візерунки: 0.51
| Списки матчів: 1.02
| DFA
| 1 байт: 1.02
| 2 байтові стани: 14.05
| Стани 4 байтів: 0.00
+----------------------------------------------------------------
[Кількість шаблонів, усічених до 20 байт: 1039]
pcap DAQ налаштований на пасивний.
Отримання мережевого трафіку з "wlxcc79cfd6acfc".
--== Ініціалізація завершена ==--
,,_ - *> Хроп! <*-
o ") ~ Номер версії
Авторське право (C) 1998-2013 Sourcefire, Inc., та ін.
Використання libpcap версії 1.8.1
Використання версії PCRE: 8.39 2016-06-14
Використання версії ZLIB: 1.2.11
Механізм правил: SF_SNORT_DETECTION_ENGINE Версія 2.4
Об'єкт попереднього процесора: SF_IMAP, версія 1.0
Об'єкт попереднього процесора: SF_FTPTELNET, версія 1.2
Об'єкт попереднього процесора: SF_REPUTATION Версія 1.1
Об'єкт попереднього процесора: SF_SDF, версія 1.1
Об'єкт попереднього процесора: SF_SIP, версія 1.1
Об'єкт попереднього процесора: SF_SSH, версія 1.1
Об'єкт попереднього процесора: SF_GTP, версія 1.1
Об'єкт попереднього процесора: SF_SSLPP, версія 1.1
Об'єкт попереднього процесора: SF_DCERPC2, версія 1.0
Об'єкт попереднього процесора: SF_SMTP, версія 1.1
Об'єкт попереднього процесора: SF_POP, версія 1.0
Об'єкт попереднього процесора: SF_DNS, версія 1.1
Об'єкт попереднього процесора: SF_DNP3, версія 1.1
Об'єкт попереднього процесора: SF_MODBUS, версія 1.1
Snort успішно перевірив конфігурацію!
Хропіть на виході

Хропіть набори правил

Найбільша сила Росії Хроп лежить у його наборах правил. Snort має можливість використовувати велику кількість наборів правил для моніторингу мережевого трафіку. В останній версії, Хроп поставляється з 73 різні типи і більше 4150 правила виявлення аномалій, що містяться в папці “/ Etc / snort / rules."

Ви можете переглянути типи наборів правил у Snort, використовуючи таку команду:

[захищено електронною поштою]: ~ $ ls / etc / snort / rles
відповіді на атаку.правила community-smtp.правила icmp.правила шелкода.правила
задні двері.правила community-sql-injection.правила imap.правила smtp.правила
поганий рух.правила спільноти-вірусу.інформація про правила.правила snmp.правила
чат.правила веб-атаки спільноти.правила місцеві.правила sql.правила
спільнота-бот.правила community-web-cgi.правила різне.правила telnet.правила
видалено спільнотою.правила спільнота-веб-клієнт.правила мультимедіа.правила tftp.правила
громада-дос.правила спільноти-веб-дос.правила mysql.правила вірусу.правила
спільнота-експлуатувати.правила community-web-iis.правила netbios.правила веб-атак.правила
спільнота-ftp.правила спільноти-веб-різне.правила nntp.правила web-cgi.правила
спільнота-гра.правила спільноти-web-php.правила оракула.правила веб-клієнта.правила
спільнота-icmp.правила ddos.правила інших ідентифікаторів.правила web-coldfusion.правила
спільнота-imap.правила видалено.правила p2p.правила веб-сторінки.правила
громада-недоречна.правила днс.правила політики.правила web-iis.правила
спільнота-поштовий клієнт.правила дос.правила pop2.правила веб-різне.правила
спільнота-різне.правила експериментальні.правила pop3.правила web-php.правила
спільнота-ннтп.правила експлуатації.правила порно.правила x11.правила
громада-оракул.правила пальця.правила rpc.правила
спільнота-політика.правила ftp.правила rпослуг.правила
громада-глоток.правила icmp-info.правила сканування.правила

За замовчуванням під час запуску Хроп у режимі системи виявлення вторгнень усі ці правила розгортаються автоматично. Давайте зараз перевіримо ICMP набір правил.

Спочатку використовуйте наступну команду для запуску Хроп в IDS режим:

[захищено електронною поштою]: ~ $ sudo snort -Консоль -i
-c / etc / snort / snort.конф

Ви побачите кілька виходів на екрані, залишайте так.

Тепер ви пінгуєте IP-адресу цієї машини з іншої машини, використовуючи таку команду:

[захищено електронною поштою]: ~ $ ping

Проведіть його п’ять-шість разів, а потім поверніться до машини, щоб побачити, виявляє це Snort IDS чи ні.

08 / 24-01: 21: 55.178653 [**] [1: 396: 6] Недосяжна фрагментація призначення ICMP
Необхідний і встановлений біт DF [**] [Класифікація: Різна діяльність] [Пріоритет: 3]
ICMP ->
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] Недосяжна фрагментація призначення ICMP
Потрібний і встановлений біт DF [**] [Класифікація: Різна діяльність] [Пріоритет: 3]
ICMP ->
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] Недосяжна фрагментація призначення ICMP
Необхідний і встановлений біт DF [**] [Класифікація: Різна діяльність] [Пріоритет: 3]
ICMP -> адреса>
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] Недосяжна фрагментація призначення ICMP
Необхідний і встановлений біт DF [**] [Класифікація: Різна діяльність] [Пріоритет: 3]
ICMP -> ip адреса>
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] Недосяжна фрагментація призначення ICMP
Необхідний і встановлений біт DF [**] [Класифікація: Різна діяльність] [Пріоритет: 3]
ICMP -> адреса>
08 / 24-01: 21: 55.178653 [**] [1: 396: 6] Недосяжна фрагментація призначення ICMP
Потрібний і встановлений біт DF [**] [Класифікація: Різна діяльність] [Пріоритет: 3]
ICMP -> адреса>

Тут ми отримали попередження про те, що хтось виконує сканування пінгу. Це навіть забезпечило IP-адреса машини зловмисника.

Тепер ми підемо до IP адресу цієї машини у браузері. У цьому випадку ми не побачимо жодного сповіщення. Спробуйте підключитися до ftp сервер цієї машини, використовуючи іншу машину як зловмисника:

[захищено електронною поштою]: ~ $ ftp

Ми все одно не побачимо жодного сповіщення, оскільки ці набори правил не додаються до правил за замовчуванням, і в цих випадках жодне попередження не генерується. Це коли ви повинні створити свій власний набори правил. Ви можете створювати правила відповідно до власних потреб і додавати їх у “/ Etc / snort / rules / local.правила " файл, а потім сопіти автоматично використовуватиме ці правила під час виявлення аномалій.

Створення правила

Тепер ми створимо правило для виявлення підозрілого пакета, надісланого в порту 80 так що попередження журналу генерується, коли це відбувається:

# alert tcp any any -> $ HOME_NET 80 (msg: "Пакет HTTP знайдений"; sid: 10000001; rev: 1;)

Існує дві основні частини написання правила, тобто.e., Заголовок правила та параметри правила. Далі наведено розбивку правила, яке ми щойно написали:

Заголовок
Сповіщення: Дія, зазначена для виявлення пакету, що відповідає опису правила. Є кілька інших дій, які можна вказати замість попередження відповідно до потреб користувача, тобто.e., реєструвати, відхиляти, активувати, скидати, передавати, тощо.
TCP: Тут ми повинні вказати протокол. Існує кілька типів протоколів, які можна вказати, тобто.e., tcp, udp, icmp, тощо., відповідно до потреб користувача.
Будь-який: Тут можна вказати вихідний мережевий інтерфейс. Якщо будь-який вказано, Snort перевірить наявність усіх вихідних мереж.
->: Напрямок; у цьому випадку він встановлюється від джерела до пункту призначення.
$ HOME_NET: Місце, де знаходиться пункт призначення IP-адреса вказано. У цьому випадку ми використовуємо той, який налаштовано в / etc / snort / snort.конф файл на початку.
80: Порт призначення, на якому ми чекаємо мережевого пакета.
Варіанти:
Повідомлення: Сповіщення, яке буде сформовано, або повідомлення, яке відображатиметься у разі захоплення пакета. У цьому випадку встановлено значення “Пакет HTTP знайдено."
sid: Використовується для унікального та систематичного визначення правил Snort. Перший 1000000 номери зарезервовані, тому ви можете почати з 1000001.
Рев: Використовується для простого обслуговування правил.

Ми додамо це правило в “/ Etc / snort / rules / local.правила " файл і перевірте, чи може він виявити HTTP-запити через порт 80.

[захищено електронною поштою]: ~ $ echo “alert tcp any any -> $ HOME_NET 80 (msg:" HTTP Packet
знайдено "; sid: 10000001; rev: 1;)" >> / etc / snort / rules / local.правила

Ми всі готові. Тепер ви можете відкрити Хроп в IDS режим, використовуючи таку команду:

[захищено електронною поштою]: ~ $ sudo snort -Консоль -i wlxcc79cfd6acfc
-c / etc / snort / snort.конф

Перейдіть до IP-адреса цієї машини з браузера.

Хроп тепер може виявити будь-який пакет, надісланий на порт 80, і покаже попередження “Знайдено пакет HTTP ” на цьому екрані.

08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Пакет HTTP знайдений [**]
[Пріоритет: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Пакет HTTP знайдений [**]
[Пріоритет: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Пакет HTTP знайдений [**]
[Пріоритет: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Пакет HTTP знайдений [**]
[Пріоритет: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Пакет HTTP знайдений [**]
[Пріоритет: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Пакет HTTP знайдений [**]
[Пріоритет: 0] TCP: 52008 -> 35.222.85.5:80
08 / 24-03: 35: 22.979898 [**] [1: 10000001: 0] Пакет HTTP знайдений [**]
[Пріоритет: 0] TCP: 52008 -> 35.222.85.5:80

Ми також створимо правило виявлення ftp спроби входу:

# alert tcp any any -> any 21 (повідомлення: "Пакет FTP знайдений"; sid: 10000002;)

Додайте це правило до “Місцевий.правила " файл, використовуючи таку команду:

[захищено електронною поштою]: ~ $ echo “попередження tcp будь-яке будь -> попередження tcp будь-яке будь -> будь-яке 21
(msg: "Пакет FTP знайдений"; sid: 10000002; rev: 1;) ”>> / etc / snort / rules / local.правила

Тепер спробуйте увійти в систему з іншої машини і подивіться на результати програми Snort.

08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Знайдено пакет FTP [**] [Пріоритет: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Знайдено пакет FTP [**] [Пріоритет: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Знайдено пакет FTP [**] [Пріоритет: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Знайдено пакет FTP [**] [Пріоритет: 0]
TCP: 52008 -> 35.222.85.5:21
08 / 24-03: 35: 22.979898 [**] [1: 10000002: 0) Знайдено пакет FTP [**] [Пріоритет: 0]
TCP: 52008 -> 35.222.85.5:21

Як видно вище, ми отримали попередження, що означає, що ми успішно створили ці правила для виявлення аномалій на порту 21 і порт 80.

Висновок

Системи виявлення вторгнень подібно до Хроп використовуються для моніторингу мережевого трафіку для виявлення випадків, коли зловмисний користувач здійснює атаку, перш ніж вона може зашкодити мережі або вплинути на неї. Якщо зловмисник виконує сканування портів у мережі, атаку можна виявити разом із кількістю зроблених спроб, зловмисником IP адреса та інші деталі. Хроп використовується для виявлення всіх типів аномалій, і він постачається з великою кількістю вже налаштованих правил, а також можливістю для користувача писати власні правила відповідно до своїх потреб. Залежно від розміру мережі, Хроп їх можна легко налаштувати та використовувати, не витрачаючи нічого, порівняно з іншими платними комерційними оголошеннями Системи виявлення вторгнень. Захоплені пакети можна проаналізувати далі, використовуючи інструмент пошуку пакетів, як Wireshark, для аналізу та розбиття того, що відбувалося у свідомості зловмисника під час атаки, та типів сканувань або виконуваних команд. Хроп це безкоштовний інструмент з відкритим вихідним кодом і простий у налаштуванні, і це може бути чудовим вибором для захисту будь-якої середньої мережі від атак.