Snort
IDS یا سیستم تشخصی نفوذ عبارت است از یک سامانه برای کشف و شناسایی ترافیک مخرب به منظور محافظت از آن.
IPS نیز عملکردی شبیه به IDS دارد اما در صورت کشف خرابکاری بلافاصله عکس العمل نشان داده و دسترسی مهاجم را مسدود میکند.
این دو سیستم ذکر شده دارای 3 نوع مختلف می باشند.
نسخه اولیه آن در سال 1998 توسط martin roesch ساخته شده است و هم اکنون توسعه آن در اختیار تیم Sourcefire است همچنین قابل ذکر است که امتیاز ابزار سال 2013 در اختیار کمپانی سیسکو قرار گرفته است.
هسته اصلی ابزار بر روی کتابخانه libpcap پایه گذاری شده است، این کتابخانه برای شنود و آنالیز ترافیک سطح شبکه دربستر TCP/IP استفاده میگردد.
ابزار برای سیستم های fedora , Centos , FreeBSD و ویندوز قابل نصب است. برای دانلود می توان به سایت snort.org مراجعه کرد.
اسنورت در سه حالت مجزا عمل میکند:
بهترین نتیجه در ابزار snort زمانی حاصل میگردد که قوانین و الگو های آن جدیدترین نسخه باشد. برای داشتن بهترین و جدیدترین قوانین و الگوها باید می توان از پلاگین pulled pork استفاده کرد.
امکانات
شرح تعدادی از امکانات ابزار :
برای نصب ابزار در لینوکس به شرح زیر است:
ابتدا آخرین نسخه DAQ را از سایت دانلود میکنیم
wget https://www.snort.org/downloads/snort/daq-xtar.gz
سپس آنرا از حالت فشرده خارج نموده و نصب میکنیم:
در مرحله بعدی فایل اصلی ابزار را از این لینک دانلود کرده و به روش بالا نصب میکنیم.
برای بازدهی بهتر میتوان از قوانین آماده شده توسط دیگر شرکت ها استفاده کرد.
IDS یا سیستم تشخصی نفوذ عبارت است از یک سامانه برای کشف و شناسایی ترافیک مخرب به منظور محافظت از آن.
IPS نیز عملکردی شبیه به IDS دارد اما در صورت کشف خرابکاری بلافاصله عکس العمل نشان داده و دسترسی مهاجم را مسدود میکند.
این دو سیستم ذکر شده دارای 3 نوع مختلف می باشند.
- مبتنی بر میزبان
- مبتنی بر نرم افزار
- مبتنی بر شبکه
نسخه اولیه آن در سال 1998 توسط martin roesch ساخته شده است و هم اکنون توسعه آن در اختیار تیم Sourcefire است همچنین قابل ذکر است که امتیاز ابزار سال 2013 در اختیار کمپانی سیسکو قرار گرفته است.
هسته اصلی ابزار بر روی کتابخانه libpcap پایه گذاری شده است، این کتابخانه برای شنود و آنالیز ترافیک سطح شبکه دربستر TCP/IP استفاده میگردد.
ابزار برای سیستم های fedora , Centos , FreeBSD و ویندوز قابل نصب است. برای دانلود می توان به سایت snort.org مراجعه کرد.
اسنورت در سه حالت مجزا عمل میکند:
- حالت Sniff : این حالت فقط بسته های کارت شبکه سرور را برای کنترل ترافیک ورودی و خروجی بررسی میکند.
- Packet Logger: در این حالت امکان ذخیره سازی ترافیک ورودی و خروجی نیز فراهم می گردد.
- Network Intrusion detect: به منظور قرار دادن ابزار در حالت تشخیص و جلوگیری از نفوذ باید از این حالت استفاده کرد.
بهترین نتیجه در ابزار snort زمانی حاصل میگردد که قوانین و الگو های آن جدیدترین نسخه باشد. برای داشتن بهترین و جدیدترین قوانین و الگوها باید می توان از پلاگین pulled pork استفاده کرد.
امکانات
شرح تعدادی از امکانات ابزار :
- پردازش قوی بسته های شبکه
- طراحی ماژولار
- دارای بیش از 200 پلاگین
- پشتیبانی از hyperscan
- بازنویسی بسته های TCP
- تجزیه کننده قوانین و دستورات
- قابلیت تعریف قوانین برای سرویس های خاص
- بازرسی کامل HTTP
- کنترل و بازرسی کارایی سرور
- قابلیت استفاده از نقشه شبکه
- پشتیبانی از پروکسی
برای نصب ابزار در لینوکس به شرح زیر است:
ابتدا آخرین نسخه DAQ را از سایت دانلود میکنیم
wget https://www.snort.org/downloads/snort/daq-xtar.gz
سپس آنرا از حالت فشرده خارج نموده و نصب میکنیم:
کد:
1- tar -xvzf daq-x.tar.gz [FONT=Courier New]2- [/FONT]cd daq-x [FONT=Courier New]3- [/FONT]./configure
برای بازدهی بهتر میتوان از قوانین آماده شده توسط دیگر شرکت ها استفاده کرد.
نظر