Gerenciamento de Rede com SNORT

Alguns comandos do Snort

Sniffer Mode

Mostra somente os cabeçalhos dos pacote TCP/IP na tela: 

# snort -v

Mostra somente os cabeçalhos do IP, TCP, UDP e ICMP:

# snort -vd 

Mostra todos os cabeçalhos e os dados contidos neles também: 

# snort -vde

Packet Logger Mode

O Snort gera um arquivo chamado log.txt de todos os pacotes vistos por ele. Considerando que o diretório "dirdolog" já existe, caso contrário deve-se criá-lo. 

# snort-dev-l/dirdolog/log.txt

Faz com que o Snort capture cabeçalhos TCP/IP, data link e dados relacionados ao host 192.168.1.0 (Classe C) e armazene o resultado no subdiretório log: 

Obs.: os dados recolhidos serão armazenados em arquivos correspondentes/nomeados com cada endereço IP capturado.

# snort -dev -l ./log -h 192.168.1.0/24

Snort executado com a opção (-b) faz a captura total dos pacotes ao invés de capturar somente cabeçalhos ou somente dados.

# snort -l ./log -b

Uma vez criado o arquivo com a opção (-b), pode-se usar qualquer sniffer que suporta formato binário tcpdump, tais como snort, tcpdump ou ethereal para manipular os dados recolhidos:

# snort -dv -r packet.log

De posse do arquivo binário gerado pela opção (-b), pode-se então criar novas filtragens do tipo BPF interface. No nosso exemplo estamos fazendo somente a filtragem dos pacotes de ICMP contido no arquivo binário.

# snort -dvr packet.log icmp

Network Intrusion Detection Mode - (NIDS)

O arquivo de configuração do Snort chama-se snort.conf. Este arquivo contém as regras e ações a serem tomadas para cada pacote recolhido e confrontado com ele. O resultado do NIDS será gerado no diretório /var/log/snort ou outro diretório previamente estipulado.

# snort -b -A fast -c snort.conf# snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf 

O arquivo snort.conf deve estar presente no diretório corrente ou deve ser digitado o diretório onde ele se encontra.

A opção -v acima faz com que o Snort mostre os resultados também no monitor. Isso causa com que o Snort fique um pouco lento, podendo até perder alguns pacotes por causa disso.

A opção -e serve para capturar cabeçalhos do data link layer.

Envia alertas para o syslog, opção (-s):

# snort -c snort.conf -l ./log -s -h 192.168.1.0/24

Cria arquivo log no diretório default e envia alertas.

# snort -c snort.conf -s -h 192.168.1.0/24

Gera arquivo de log no formato binário e envia alerta para o Windows Workstation:

# snort -c snort.conf -b -M WORKSTATIONS

Cria arquivo binário, usa alerta rápido e cria arquivo log no /var/log/snort:

# snort -c snort.conf -b -A fast -l /var/log/snort 

Gera arquivo de log no formato binário e usa alerta rápido:

# snort -b -A fast -c snort.conf

Gera arquivos no formato ASCII a partir de um arquivo no formato binário:

# snort -d -c snort.conf -l ./log -h 192.168.1.0/24 -r snort.log 

A opção (-O) simplesmente oculta seu endereço IP. Essa opção se torna muito útil nos casos em que queremos enviar arquivos de logs para newsgroup ou qualquer outro lugar publico.

# snort -d -v -r snort.log -O -h 192.168.1.0/24