tify"> Правило не обов'язково в собі повинно містити контент якого або сайту або мережевого програми. Існують цілі збірки інформації щодо написання правил, для цієї мережевої IDS, починаючи від можливості обмеження певних портів, закінчуючи перевіркою на наявність певних сегментів в пакеті. p align="justify"> Є один мінус докладного і чітко сформульованого правила, воно буде сильно навантажувати мережу і кожен пакет, відповідно для завантажених великих локальних мереж це може викликати деякі труднощі.
2.5 Написання plug-in для Snort
Для того що б написати plug-in для Snort буде потрібно завантажити вихідний код з офіційного сайту snort.org, потім потрібно розархівувати отриманий пакет і потрапити в каталог templates, де утримується чотири файлу: sp_template. c, sp_template.h, spp_template.c, spp_template.h. Перші два файли використовуються для складання доповнення, а наступні два файли для препроцесорів. Після створення доповнення потрібно його інтегрувати в Snort, щоб він використовував його після компіляції. Інтеграція складається з трьох кроків. p align="justify">) Змінити plugbase.h і вставити рядок
# include
) Змінити plugbase.c файл і у функції InitPlugins () додати назву функції після інших.
) Відкрити файл Makefile.am і додати імена файлів у список імен в рядок "snort_sources". Після цього виконуємо "Automake". p align="justify"> Аналогічні дії виробляємо для файлів препроцесорів. Якщо після зроблених змін Snort заробив і доповнення успішно запущено, отже, воно інтегроване. p align="justify"> 2.6 Додаткові утиліти для системи Snort
Analysis Console for Intrusion Databases (ACID) - аналітична система, що надає Web-інтерфейс (використовується PHP) для перегляду результатів аналізу лог-файлів брандмауерів, NIDS, мережевих диагностирующих програм. Версія 0.9.6. працює в середовищі всіх ОС, що підтримують PHP (Linux, * BSD, Windows, Solaris). Ліцензія - GNU GPL. br/>В
Рис. 2.2. Інтерфейс програми ACID
Detection Exchange Architecture (IDEA) - система розподіленого контролю безпеки мережі. Поточна версія - 1.0.2. Використовуючи архітектуру клієнт-сервер, вона пов'язує безліч NIDS-систем, об'єднуючи їх дані в інформаційний базис і забезпечуючи аналіз в режимі реального часу. IDEA реалізована як сістемонезавісімая програма, яка застосовує технологію Java. Поширюється за ліцензією GNU GPL. br/>В
Рис. 2.3. Інтерфейс програми IDEA
- програма, що працює спільно зі Snort і забезпечує при виявленні вторгнення попередження у режимі реального часу. Поточна версія - 1.0.3. Операційні системи: Unix, Windows NT. Ліцензія - GNU GPL. br/>В
Рис. 2.4. Інтерфейс програми RazorBack
SnortConf - графічна оболо...
