PLD-doc/book/pl_book__uslugi/pl_uslugi__snort.sec
ciesiel
cvs w pld-linux.org
Nie, 10 Paź 2004, 13:15:09 CEST
Author: ciesiel
Date: Sun Oct 10 11:15:05 2004
New Revision: 4735
Modified:
PLD-doc/book/pl_book__uslugi/pl_uslugi__snort.sec
Log:
- otagowanie
- jeszcze nie sprawdzone (nie dodawac do mastera)
Modified: PLD-doc/book/pl_book__uslugi/pl_uslugi__snort.sec
==============================================================================
--- PLD-doc/book/pl_book__uslugi/pl_uslugi__snort.sec (original)
+++ PLD-doc/book/pl_book__uslugi/pl_uslugi__snort.sec Sun Oct 10 11:15:05 2004
@@ -17,9 +17,11 @@
<title>Wymagania</title>
<para>
Przed instalacją Snorta warto zaopatrzyć się w bazę
- danych (w opisie wykorzystano MySQL) i serwer Apache z
- obsługą PHP. W bazie będą składowane logi, a za
- wygodny interfejs do przeglądania alarmów posłuży ACID
+ danych (w opisie wykorzystano <productname>MySQL</productname>)
+ i serwer <productname>Apache</productname> z
+ obsługą <productname>PHP</productname>. W bazie będą składowane logi, a za
+ wygodny interfejs do przeglądania alarmów posłuży
+ <productname>ACID</productname>
(ang. Analysis Console for Intrusion Databases).
</para>
</section>
@@ -53,11 +55,12 @@
# mysql -D snort_archive -u mysql -p < /usr/share/doc/acid-{wersja}/create_acid_tbls_mysql.sql</screen>
<para>
Następnie (najprościej przy użyciu popularnego narzędzia
- phpMyAdmin) tworzymy użytkownika i nadajemy mu prawa dla
+ <productname>phpMyAdmin</productname>) tworzymy użytkownika i nadajemy mu prawa dla
stworzonych baz.
</para>
<para>
- Przechodzimy do edycji pliku /etc/acid_conf.php, w którym
+ Przechodzimy do edycji pliku
+ <filename>/etc/acid_conf.php</filename>, w którym
dodajemy parametry dla połączenia się z bazami.
</para>
<screen>[...]
@@ -94,7 +97,7 @@
<para>
Do działania jako sieciowy system wykrywania włamań, Snort
potrzebuję sprecyzowania zasad funkcjonowania całości w
- głównym pliku konfiguracyjnym snort.conf. W starszych wersjach
+ głównym pliku konfiguracyjnym <filename>snort.conf</filename>. W starszych wersjach
systemu, wszystkie opcje, łącznie z regułami ataków znajdowały
się w jednym pliku. Ciągła rozbudowa Snorta, rosnąca liczba
sygnatur i ogólna funkcjonalność, wymusiła rozdzielenie
@@ -105,10 +108,10 @@
</para>
<screen>include: ścieżka_do_pliku/nazwa</screen>
<para>
- Bazy reguł charakteryzują się nazwą pliku z końcówką .rules,
+ Bazy reguł charakteryzują się nazwą pliku z końcówką
+ <filename>.rules</filename>,
pierwszy człon nazwy zawiera rodzaj usługi lub typ ataku,
- którego dotyczy dany zestaw. Pozostałymi plikami
- konfiguracyjnymi są:
+ którego dotyczy dany zestaw.
</para>
<para>
Pozostałymi plikami konfiguracyjnymi są:
@@ -116,7 +119,7 @@
<itemizedlist>
<listitem>
<para>
- classification.config - zawierający
+ <filename>classification.config</filename> - zawierający
klasyfikatory rodzajów ataków z
nadanym priorytetem zagrożenia, tak
jak poniżej:
@@ -127,7 +130,7 @@
</listitem>
<listitem>
<para>
- reference.config - posiadający skróty
+ <filename>reference.config</filename> - posiadający skróty
adresów do stron organizacji z bazą
opisów ataków, np.:
</para>
@@ -136,28 +139,29 @@
</listitem>
<listitem>
<para>
- threshold.conf - metody łagodzenia
+ <filename>threshold.conf</filename> - metody łagodzenia
licznych, fałszywych alarmów,
</para>
</listitem>
<listitem>
<para>
- unicode.map - zestaw kodowanych znaków
- unicode, na potrzeby preprocesora
- http_inspect.
+ <filename>unicode.map</filename> - zestaw kodowanych znaków
+ unicode, na potrzeby preprocesora http_inspect.
</para>
</listitem>
</itemizedlist>
<para>
Główny plik konfiguracyjny można podzielić na cztery sekcje.
- Pierwsza, odpowiedzialna jest za ustalanie zmiennych var,
+ Pierwsza, odpowiedzialna jest za ustalanie zmiennych
+ <emphasis>var</emphasis>,
wykorzystywanych w składni reguł ataków.
</para>
<para>
Przyjmijmy że docelowo Snort ma monitorować dwie podsieci o
adresach 192.168.1.0/24 i 192.168.2.0/24, jego pliki
konfiguracyjne znajdują się bezpośrednio w katalogu
- /etc/snort, a regułki w /etc/snort/rules.
+ <filename>/etc/snort</filename>, a regułki w
+ <filename>/etc/snort/rules</filename>.
</para>
<screen># Adres sieci lokalnej
var HOME_NET [192.168.1.0/24,192.168.2.0/24]
@@ -180,7 +184,8 @@
var RULE_PATH /etc/snort/rules</screen>
<para>
W tej samej sekcji znajduje się zestaw parametrów
- uruchomieniowych, zaczynających się od wyrażenia config (pełna
+ uruchomieniowych, zaczynających się od wyrażenia
+ <option>config</option> (pełna
ich lista znajduję się w dokumentacji):
</para>
<screen># wybor interfejsu do nasłuchu (jeden demon Snorta
@@ -195,12 +200,12 @@
Oto przykłady ustawień preprocesorów:
</para>
<para>
- Frag2:
+ <emphasis role="strong">Frag2:</emphasis>
</para>
<screen># detect_state_problems . zwraca alarm przy pokrywaniu sie fragmentow.
preprocessor frag2: detect_state_problems</screen>
<para>
- Stream4, Stream4_reassemble:
+ <emphasis role="strong">Stream4, Stream4_reassemble:</emphasis>
</para>
<screen># disable_evasion_alerts . brak alarmow przy nakladaniu sie pakietow TCP,
# detect_scans . detektor prob cichego skanowania,
@@ -211,7 +216,7 @@
# ports . lista portow, na ktorych ma dzialac reasemblacja.
preprocessor stream4_reassemble: both ports [ 21 25 80 143 110 ]</screen>
<para>
- Http_inspect:
+ <emphasis role="strong">Http_inspect:</emphasis>
</para>
<screen># iis_unicode_map . wskazuje plik z kodowaniem unicode i wybiera standardowe.
preprocessor http_inspect: global is_unicode_map unicode.map 1252
@@ -232,8 +237,8 @@
grupy w danej sieci objętej ochroną.
</para>
<para>
- RPC_decode, Back Orfice, Telnet_decode, Arpspoof, Performance
- Monito:
+ <emphasis role="strong">RPC_decode, Back Orfice, Telnet_decode, Arpspoof, Performance
+ Monito:</emphasis>
</para>
<screen># alert_fragments . wlacza alarm, przy fragmentowaniu pakietow RPC,
# Domyślne porty: 111 i 32771.
@@ -248,7 +253,7 @@
# time . aktualizacja danych co 10s.
preprocessor perfmonitor: console flow events time 10</screen>
<para>
- Flow i Flow-portscan:
+ <emphasis role="strong">Flow i Flow-portscan:</emphasis>
</para>
<screen># stats_interval . zapisywanie statystyk, 0 - wylaczone,
# hash . wybor metody mieszania.
@@ -268,7 +273,7 @@
src-ignore-net [xxx.xxx.xxx.xxx/xx, xxx.xxx.xxx.xxx/xx] \
dst-ignore-net [xxx.xxx.xxx.xxx/xx]</screen>
<para>
- Trzecia sekcja snort.conf, zawiera metody konfiguracji modułów
+ Trzecia sekcja <filename>snort.conf</filename>, zawiera metody konfiguracji modułów
wyjściowych, czyli różnych sposobów logowania wyników i tzw.
akcji reguł. Na potrzeby tego opisu wymieniony będzie tylko
przykład logowania do bazy MySQL.
@@ -290,8 +295,8 @@
<para>
Czwarta, ostatnia część, głównego pliku konfiguracyjnego,
zawiera odniesienia do zestawów reguł i wcześniej już
- opisanych plików, classification.config, reference.config,
- threshold.conf (przykład poniżej).
+ opisanych plików, <filename>classification.config, reference.config,
+ threshold.conf</filename> (przykład poniżej).
</para>
<screen>include classification.config
include reference.config
@@ -329,180 +334,181 @@
<itemizedlist>
<listitem>
<para>
- attack-responses - odpowiedzi usług na próbę
- ataku;
+ <emphasis role="strong">attack-responses</emphasis> -
+ odpowiedzi usług na próbę ataku;
</para>
</listitem>
<listitem>
<para>
- backdoor - działalność tzw. tylnych drzwi,
+ <emphasis role="strong">backdoor</emphasis> - działalność tzw. tylnych drzwi,
trojanów, rootkitów;
</para>
</listitem>
<listitem>
<para>
- bad-traffic - nieprawidłowy ruch, np. na port
+ <emphasis role="strong">bad-traffic</emphasis> - nieprawidłowy ruch, np. na port
0;
</para>
</listitem>
<listitem>
<para>
- chat - aktywność różnego rodzaju
+ <emphasis role="strong">chat</emphasis> - aktywność różnego rodzaju
komunikatorów;
</para>
</listitem>
<listitem>
<para>
- ddod, dos - zmasowane ataki Distributed Denial
+ <emphasis role="strong">ddod, dos</emphasis> - zmasowane ataki Distributed Denial
of Service (rozproszony atak typu - blokada
usługi);
</para>
</listitem>
<listitem>
<para>
- deleted - regły przestarzałe, wykasowane;
+ <emphasis role="strong">deleted</emphasis> -
+ reguły przestarzałe, wykasowane;
</para>
</listitem>
<listitem>
<para>
- dns - ataki na usługę Domain Name System;
+ <emphasis role="strong">dns</emphasis> - ataki na usługę Domain Name System;
</para>
</listitem>
<listitem>
<para>
- experimental - zestaw eksperymentalnych reguł;
+ <emphasis role="strong">experimental</emphasis> - zestaw eksperymentalnych reguł;
</para>
</listitem>
<listitem>
<para>
- exploit - programy mające na celu
+ <emphasis role="strong">exploit</emphasis> - programy mające na celu
wykorzystywanie błędów w oprogramowaniu;
</para>
</listitem>
<listitem>
<para>
- icmp-info, icmp - komunikaty ICMP z różnych
+ <emphasis role="strong">icmp-info, icmp</emphasis> - komunikaty ICMP z różnych
programów, testujących ruch;
</para>
</listitem>
<listitem>
<para>
- imap, pop2, pop3, smtp - ataki na systemy
+ <emphasis role="strong">imap, pop2, pop3, smtp</emphasis> - ataki na systemy
pocztowe;
</para>
</listitem>
<listitem>
<para>
- info - próby logowania na usługi Telnet, Ftp;
+ <emphasis role="strong">info</emphasis> - próby logowania na usługi Telnet, Ftp;
</para>
</listitem>
<listitem>
<para>
- local - zestaw własnych reguł;
+ <emphasis role="strong">local</emphasis> - zestaw własnych reguł;
</para>
</listitem>
<listitem>
<para>
- misc - różne, dotyczące usług CVS, MS
+ <emphasis role="strong">misc</emphasis> - różne, dotyczące usług CVS, MS
Terminal, BOOT, UPnP itd.;
</para>
</listitem>
<listitem>
<para>
- multimedia - strumienie audio, wideo;
+ <emphasis role="strong">multimedia</emphasis> - strumienie audio, wideo;
</para>
</listitem>
<listitem>
<para>
- mysql, sql, oracle - ataki na znane serwer baz
+ <emphasis role="strong">mysql, sql, oracle</emphasis> - ataki na znane serwer baz
danych;
</para>
</listitem>
<listitem>
<para>
- netbios - anomalia związane z protokołem
+ <emphasis role="strong">netbios</emphasis> - anomalia związane z protokołem
Netbios/SMB;
</para>
</listitem>
<listitem>
<para>
- nntp - ataki na serwer grup dyskusyjnych;
+ <emphasis role="strong">nntp</emphasis> - ataki na serwer grup dyskusyjnych;
</para>
</listitem>
<listitem>
<para>
- other-ids - działalność innych systemów IDS;
+ <emphasis role="strong">other-ids</emphasis> - działalność innych systemów IDS;
</para>
</listitem>
<listitem>
<para>
- p2p - aktywność programów Peer to Peer;
+ <emphasis role="strong">p2p</emphasis> - aktywność programów Peer to Peer;
</para>
</listitem>
<listitem>
<para>
- policy - próby ataków na usługi policy ftp
+ <emphasis role="strong">policy</emphasis> - próby ataków na usługi policy ftp
itp.
</para>
</listitem>
<listitem>
<para>
- porn - aktywność stron portnograficznych;
+ <emphasis role="strong">porn</emphasis> - aktywność stron pornograficznych;
</para>
</listitem>
<listitem>
<para>
- rpc - ataki na usługi Remote Procedure Call;
+ <emphasis role="strong">rpc</emphasis> - ataki na usługi Remote Procedure Call;
</para>
</listitem>
<listitem>
<para>
- finger, rservices, telnet - ataki na dość
+ <emphasis role="strong">finger, rservices, telnet</emphasis> - ataki na dość
słabo zabezpieczone usługi uniksowe: finger,
rlogin, rsh, rexec, telnet;
</para>
</listitem>
<listitem>
<para>
- scan - różnego rodzaju techniki skanowania
+ <emphasis role="strong">scan</emphasis> - różnego rodzaju techniki skanowania
portów;
</para>
</listitem>
<listitem>
<para>
- shellcode - wykorzystanie nieprawidłowego kodu
+ <emphasis role="strong">shellcode</emphasis> - wykorzystanie nieprawidłowego kodu
do prób przepełnienia bufora;
</para>
</listitem>
<listitem>
<para>
- snmp - ataki na usługi SNMP;
+ <emphasis role="strong">snmp</emphasis> - ataki na usługi SNMP;
</para>
</listitem>
<listitem>
<para>
- tftp, ftp - zdarzenia związane z przesyłaniem
+ <emphasis role="strong">tftp, ftp</emphasis> - zdarzenia związane z przesyłaniem
plików poprzez serwer ftp;
</para>
</listitem>
<listitem>
<para>
- virus - transfer poczty z podejrzanym
+ <emphasis role="strong">virus</emphasis> - transfer poczty z podejrzanym
załącznikiem;
</para>
</listitem>
<listitem>
<para>
- web-attacks, web-misc, web-client, web-cgi,
+ <emphasis role="strong">web-attacks, web-misc, web-client, web-cgi,
web-php, web-coldfusion, web-frontpage,
- web-iis - ataki na różnego typu serwery WWW,
+ web-iis</emphasis> - ataki na różnego typu serwery WWW,
przeważnie z wykorzystaniem błędów w skryptach
cgi, php;
</para>
</listitem>
<listitem>
<para>
- x11 - aktywności sesji serwera XFree86.
+ <emphasis role="strong">x11</emphasis> - aktywności sesji serwera XFree86.
</para>
</listitem>
</itemizedlist>
@@ -522,7 +528,8 @@
<title>Instalacja Oinkmaster</title>
<para>
Ściągamy archiwum tar, rozpakowujemy, skrypt wgrywamy do
- katalogu /usr/local/bin, a konfig do /etc:
+ katalogu <filename>/usr/local/bin</filename>, a konfig do
+ <filename>/etc</filename>:
</para>
<screen># wget --passive-ftp \
ftp://ftp.it.su.se/pub/users/andreas/oinkmaster/oinkmaster-1.0.tar.gz
@@ -541,7 +548,8 @@
http://www.bleedingsnort.com/bleeding.rules.tar.gz</screen>
<para>
Aby aktualizacja odbywała się automatycznie, w katalogu
- /etc/cron.daily tworzymy plik uprules.
+ <filename>/etc/cron.daily</filename> tworzymy plik
+ <filename>uprules</filename>.
</para>
<screen># touch /etc/cron.daily/uprules
# chmod 700 /etc/cron.daily/uprules</screen>
@@ -608,42 +616,44 @@
<itemizedlist>
<listitem>
<para>
- Sniffer Mode - wychwytuje wszystkie pakiety w
+ <emphasis role="strong">Sniffer Mode</emphasis> - wychwytuje wszystkie pakiety w
danym segmencie sieci i przedstawia ich
zawartość na ekranie. Najprostszym sposobem
użycia tego trybu jest uruchomienie programu z
- parametrem -v w wyniku, czego Snort będzie
+ parametrem <option>-v</option> w wyniku, czego Snort będzie
wyświetlać informacje o nagłówkach IP,
TCP/UDP/ICMP. Do uzyskania bardziej
szczegółowych danych o wychwyconych pakietach,
- służą parametry -d (aby monitorować ładunek
- pakietów) i -e (dodatkowe nagłówki warstwy
+ służą parametry <option>-d</option> (aby monitorować ładunek
+ pakietów) i <option>-e</option> (dodatkowe nagłówki warstwy
łącza danych). Parametry można łączyć razem,
- bez znaczenia jest ich kolejność (np. snort
- -ved). Aby zakończyć pracę w tym trybie należy
+ bez znaczenia jest ich kolejność (np.
+ <command>snort -ved</command>). Aby zakończyć pracę w tym trybie należy
użyć sekwencji klawiszy CTRL+C.
</para>
</listitem>
<listitem>
<para>
- Packet Logger Mode - logowanie pakietów
+ <emphasis role="strong">Packet Logger Mode</emphasis> - logowanie pakietów
poprzez zapis na dysku. Czynność ta odbywa się
- po użyciu opcji -l, którą wskazujemy katalog,
+ po użyciu opcji <option>-l</option>, którą wskazujemy katalog,
gdzie Snort będzie zapisywać w odpowiednio
nazwanych podkatalogach i plikach, zawartość
zebranych pakietów. Program potrafi także
zapisywać dane w formie binarnej tak jak robi
- to znany sniffer tcpdump. Służy do tego opcja
- -b, po jej użyciu nie trzeba stosować
- dodatkowych kombinacji parametrów -ved,
+ to znany sniffer
+ <productname>tcpdump</productname>. Służy do tego opcja
+ <option>-b</option>, po jej użyciu nie trzeba stosować
+ dodatkowych kombinacji parametrów
+ <option>-ved</option>,
ponieważ format tcpdump, określa to, co ma być
- logowane (np. snort -b -l ./log). Uzyskane w
+ logowane (np. <command>snort -b -l ./log</command>). Uzyskane w
ten sposób informacje, można wykorzystać do
późniejszej analizy za pomocą programów
rozpoznających format binarny tcpdump (np.
- Ethereal). Oczywiście można tą samą czynność
+ <productname>Ethereal</productname>). Oczywiście można tą samą czynność
wykonać z wykorzystaniem Snorta, używając
- opcji -r, po czym przetworzyć sczytane pakiety
+ opcji <option>-r</option>, po czym przetworzyć sczytane pakiety
dostępnymi trybami.
Snort czytając swoje dzienniki (tak samo
działając w trybie sniffera) przyjmuje
@@ -653,12 +663,13 @@
chcemy obserwować (np. określić adres hosta,
protokół, port). Jeśli np. interesuje nas
tylko ruch na porcie 80 można uruchomić Snorta
- poleceniem: snort -r /var/log/snort/snort.log
+ poleceniem: <command>snort -r /var/log/snort/snort.log</command>
port www, jeśli chcemy wyświetlić tylko
- odpowiedzi serwera www: snort -vde src port
- www. Aby ignorować cały ruch z sieci np.
- 192.168.1.0 na port 80: snort -vde not ( src
- net 192.168.1 and dst port 80 ).
+ odpowiedzi serwera www:
+ <command>snort -vde src port www</command>.
+ Aby ignorować cały ruch z sieci np.
+ 192.168.1.0 na port 80:
+ <command>snort -vde not ( src net 192.168.1 and dst port 80)</command>.
Połączenie Snorta z filtrami BPF znacznie
zwiększa wydajność całego systemu, gdyż
filtrowanie BPF odbywa się w warstwie łącza
@@ -668,8 +679,9 @@
dość dokładnie "zawęzić" obszar poszukiwań.
Filtry BPF można również zapisać w oddzielnym
pliku i załadować w trakcie uruchamiania
- Snorta parametrem -F: snort -r snort.log -F
- plik_z_bdf. Więcej na temat możliwości
+ Snorta parametrem <option>-F</option>:
+ <command>snort -r snort.log -F plik_z_bdf</command>.
+ Więcej na temat możliwości
oferowanych przez BPF można poczytać na
stronach podręcznika zarówno Snorta, jak i
Tcpdump.
@@ -677,18 +689,21 @@
</listitem>
<listitem>
<para>
- Network Intrusion Detection Mode - sieciowy
- system wykrywania włamań. Jest najbardziej
+ <emphasis role="strong">Network Intrusion Detection Mode</emphasis>
+ - sieciowy system wykrywania włamań. Jest najbardziej
skomplikowanym trybem działania programu. Za
- pomocą parametru -c, wskazujemy plik
+ pomocą parametru <option>-c</option>, wskazujemy plik
konfiguracyjny, w którym określane są zasady
badania przechwyconego ruchu sieciowego,
ustawienia preprocesorów, a także zestaw
sygnatur ataków. Aby program działał w tle
- jako demon, należy użyć opcji -D (np. snort -d
- -D -c snort.conf). Reszta operatorów i ich
+ jako demon, należy użyć opcji
+ <option>-D</option> (np.
+ <command>snort -d -D -c snort.conf</command>).
+ Reszta operatorów i ich
opisy, jakie można wykorzystać przy starcie
- programu, przedstawia parametr -h.
+ programu, przedstawia parametr
+ <option>-h</option>.
</para>
</listitem>
</itemizedlist>
@@ -719,7 +734,7 @@
<itemizedlist>
<listitem>
<para>
- Frag2 - defragmentuje i normalizuje dane
+ <emphasis role="strong">Frag2</emphasis> - defragmentuje i normalizuje dane
przychodzące w postaci fragmentów, co utrudnia
ukrywanie ataków prowadzonych za pomocą
nieprawidłowo sfragmentowanych pakietów IP. W
@@ -739,7 +754,7 @@
</listitem>
<listitem>
<para>
- Stream4 - rozwija model detekcji oparty na
+ <emphasis role="strong">Stream4</emphasis> - rozwija model detekcji oparty na
testowaniu pojedynczych pakietów umożliwiając
śledzenie sesji (stanu połączenia) TCP i
składanie (reasemblacji) strumieni TCP, co nie
@@ -768,7 +783,7 @@
</listitem>
<listitem>
<para>
- Flow i Flow-Portscan - posiada mechanizm
+ <emphasis role="strong">Flow i Flow-Portscan</emphasis> - posiada mechanizm
śledzenia połączeń, zapisując całość do
tablicy stanów w celu dalszego przetwarzania.
Na tej podstawie flow-portscan wykrywa próby
@@ -789,13 +804,15 @@
</listitem>
<listitem>
<para>
- HTTP Inspect - jest ogólnym dekoderem
+ <emphasis role="strong">HTTP Inspect</emphasis> - jest ogólnym dekoderem
protokołu HTTP na poziomie warstwy
aplikacyjnej. Za pomocą ustalonego bufora
wynajduje odpowiednią składnie HTTP i ją
normalizuje. HTTP Inspekt działa w obydwu
- trybach jednocześnie: client requests (pol.
- zapytania klienta) i server responses (pol.
+ trybach jednocześnie: <emphasis>client
+ requests</emphasis> (pol.
+ zapytania klienta) i <emphasis>server
+ responses</emphasis> (pol.
odpowiedzi serwera). Mnoga liczba dostępnych
opcji w konfiguracji preprocesora, umożliwia
dostosowanie ustawień do konkretnego typu
@@ -813,7 +830,7 @@
</listitem>
<listitem>
<para>
- Portscan Detector - wykrywa próby skanowania
+ <emphasis role="strong">Portscan Detector</emphasis> - wykrywa próby skanowania
portów, polegające na przekroczeniu pewnej
progowej liczby prób połączeń z różnymi
portami w określonym przedziale czasu. Ze
@@ -828,21 +845,21 @@
</listitem>
<listitem>
<para>
- Telnet Decode - usuwa z sesji TELNET i FTP
+ <emphasis role="strong">Telnet Decode</emphasis> - usuwa z sesji TELNET i FTP
binarne ciągi mogące utrudnić wyszukiwanie z
udziałem sygnatur ataków.
</para>
</listitem>
<listitem>
<para>
- RPC Decode - normalizuje żądania po protokole
+ <emphasis role="strong">RPC Decode</emphasis> - normalizuje żądania po protokole
RPC, utrudniając ukrywanie podejrzanych
pakietów za pomocą mniejszych operacji.
</para>
</listitem>
<listitem>
<para>
- Back Orifice detektor - wyszukuje w pakietach
+ <emphasis role="strong">Back Orifice detektor</emphasis> - wyszukuje w pakietach
UDP próby połączeń konia trojańskiego Back
Orifice i próbuje złamać zabezpieczające je
słabe kodowanie.
@@ -850,13 +867,13 @@
</listitem>
<listitem>
<para>
- Arpspoof - wykrywa podejrzane pakiety ARP,
+ <emphasis role="strong">Arpspoof</emphasis> - wykrywa podejrzane pakiety ARP,
mogące sygnalizować próby ARP spoofingu.
</para>
</listitem>
<listitem>
<para>
- Performance Monitor - udostępnia wszelkiego
+ <emphasis role="strong">Performance Monitor</emphasis> - udostępnia wszelkiego
rodzaju statystyki liczbowe, odnośnie ilości
przeanalizowanych pakietów, zużycia procesora
itp. Całość wyświetlana jest na ekranie
@@ -896,7 +913,8 @@
informacji do dziennika (log), ogłoszenia alarmu (alert),
alarmowania i podjęcia do działania innej dynamicznej reguły
(activate) i pozostanie w spoczynku do czasu aktywowania przez
- regułę activate, po czym działanie jako reguła log (dynamic).
+ regułę <emphasis>activate</emphasis>, po czym działanie jako reguła
+ <emphasis>log</emphasis> (dynamic).
</para>
<para>
Sygnatury Snorta zazwyczaj składają się z dwóch głównych
@@ -921,7 +939,7 @@
<para>
W sygnaturach można umieszczać zmienne zdefiniowane jako
adresy sieci (wg CIDR) lub porty zapisane w pliku
- konfiguracyjnym snort.conf:
+ konfiguracyjnym <filename>snort.conf</filename>:
</para>
<screen>log tcp $EXTERNAL_NET -> $HOME_NET 110</screen>
<para>
@@ -949,7 +967,7 @@
</para>
<screen>alert tcp any any -> 192.168.1.0/24 80 (content: "/cgi-bin/phf"; msg: "PHF probe!";)</screen>
<para>
- Opcji content można użyć nawet kilka razy w jednej regule.
+ Opcji <option>content</option> można użyć nawet kilka razy w jednej regule.
Pozwala to na wyszukiwanie wielu różnych ciągów znaków w
obrębie przesyłanych treści.
</para>
@@ -975,8 +993,10 @@
"|E8C0FFFFFF|bin|;activates: 1; msg: "IMAP buffer overflow!";)
dynamic tcp any any -> $HOME_NET 143 (activated_by: 1; count: 50;)</screen>
<para>
- Opcje activates i activated_by wiążą reguły activate i
- dynamic. W powyższym przykładzie wykrycie ataku typu buffer
+ Opcje <option>activates</option> i
+ <option>activated_by</option> wiążą reguły
+ <option>activate</option> i
+ <option>dynamic</option>. W powyższym przykładzie wykrycie ataku typu buffer
overflow na serwer IMAP powoduje uruchomienie kolejnej,
dynamicznej reguły, która zbiera treść następnych 50 pakietów
(opcja count) w celu późniejszej analizy. Druga opcja w reguły
@@ -985,11 +1005,13 @@
bezużyteczna.
</para>
<para>
- Następne godne uwagi parametry, to resp i react wspierają
- mechanizm elastycznego reagowania na atak. Opcja resp może
+ Następne godne uwagi parametry, to
+ <option>resp</option> i <option>react</option> wspierają
+ mechanizm elastycznego reagowania na atak. Opcja
+ <option>resp</option> może
doprowadzić do zerwania połączenia, np. poprzez wysłanie do
atakującego komunikatu ICMP o niedostępności trasy do
- zaatakowanego komputera, natomiast react służy do blokowania
+ zaatakowanego komputera, natomiast <option>react</option> służy do blokowania
dostępu do usług związanych z WWW.
</para>
</section>
Więcej informacji o liście dyskusyjnej pld-doc