"> var RULE_PATH c: snort rulesSO_RULE_PATH c: snort so_rulesPREPROC_RULE_PATH c: snort preproc_rulesdirectory c: snort lib snort_dynamicpreprocessorc: snort lib snort_dynamicengine sf_engine.dll
# dynamicdetection directory/usr/local/lib/snort_dynamicrules
Знаходимо подібні рядки в конфігураційному файлі і замінюємо тими які надані вище. Після цього пробуємо протестувати додаток. Запускаємо командний рядок і переходимо до каталогу додатки в розділ "bin". Введемо команду "snort-W"
В
Рис. 1.1. Перевірка роботи
Цією командою ми перевіряємо працездатність додатки переглядати наші інтерфейси. Переконавшись що їх більше одного, вибираємо той який підключений до робочої мережі, що б приступити до перехоплення пакетів і відстеження роботи IDS. br/>
З: Snort bin snort-i 3-c C: snort etc snort.conf-l C: snort log-A console
Розберемо тепер команду яку ми ввели. "- I 3" означає що ми будемо переглядати інтерфейс який має ID = 3 у списку наших інтерфейсів. Потім ми вказали шлях до файлу конфігурації і шлях до каталогу куди слід записувати "log" перехоплених пакетів. "-A console" позначає що тривожні пакети будуть виявлятися у нас в консолі. Якщо під час обробки виникають якісь неполадки усуваємо їх по ходу виявлення. Snort вказує рядок і вид помилки при складанні. Якщо все спрацювало, то ми нічого не побачимо до тих пір поки не спрацює одне з запущених правил. Що б задіяти одне з них спробуємо імітувати мережеву атаку і запустимо підозрілий пакет за нашої локальної мережі. Для цього наприклад відкриємо командний рядок і введемо наступне: "Ping 192.168.1.16". Snort перехопить спробу прослухати хост під адресою 192.168.1.16 24 і виведе повідомлення та інформацію про підозрілий дії в мережі. На жаль у подібних IDS систем є сильний недолік-це помилкові спрацьовування. У зв'язку з цим для того що б Snort був корисним і не вводив в оману, потрібно досить ємко і чітко прописувати правила і розмежовувати Популярні мережі, що б уникнути цих помилкових спрацьовувань. br/>В
Рис. 1.2. Висновок Alert повідомлень
Зараз у консолі, де працює наш IDS, з'являться повідомлення про підозрілий пакет, який нагадує "прослуховування". Це задіяне правило показало, що Snort повністю працездатний. Розглянемо режими його роботи і синтаксис правил для подальшої роботи. br/>
1.2 Режим аналізу пакетів
Режим який використовується скоріше для перевірки роботи ніж для фіксування атак. У цьому режимі Snort показує абсолютно всі пакети і залежно від опцій буде показувати або детальну інформацію або більш загальну. Обов'язковий ключ до написання є-v. Якщо він не буде зазначений, то Snort за замовчуванням буде запускатися в інших режимах і видавати помилк...
