2015-05-05
803
Для запуска Snort набираем команду в режиме терминала:
# snort -c /etc/snort/snort.conf -i eth0 –D
Эта команда запускает snort с использованием интерфейса eth0 в демо-режиме.
Убедимся, что все необходимые сервисы работают путем выполнения следующих команд:
# /etc/init.d/mysql status# /etc/init.d/apache2 status
# /etc/init.d/snort status
Запуск Snort в режиме сниффера
#snort -dev
Запуск Snort в режиме IDS
#snort –c /etc/snort/snort.conf
Написала правило для ICMP:
Запустила Snort в режиме IDS.
На виртуальную машину отправила 10 пакетов с TTL=100.
Snort никаких записей в логах не произвел.
Потом попробовала такое правило:
alert icmp any any -> any any (msg:"ICMP Packet"; sid:477; rev:3;), реакйии никакой.
Аналогичная ситуация со сканированием:
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SCAN SYN FIN";flags:SF; reference: arachnids,198; classtype:attempted-recon; sid:624; rev:1;)
Опять же ругался на classtype, после его удаления начал работать, но никаких записей в логах не было.
