التقاط الحزم باستخدام سنورت
الكاتب: صبري صالح | يوم: 25 يونيو, 2010 | التعليقات: 18 | القراءات: - عدد المشاهدات 22٬865
كلنا نعرف برنامج Snort على أنه IDS/IPS و هذا صحيح و لكن جزء من عمله هوSniffer و Logger . سنتطرق في هذا الموضوع الصغير لكيفية عمله كـ sniffer و Logger بشكل سريع و أترك الباقي لكم
ملاحظات هامة:
- قد تكون هذه الطريقة ليست الطريقة الأفضل لالتقاط البيانات, لكن أفضل دوما أن أعرف أكثر من طريقة لشيئ واحد.
- يحتاج الـ Snort برامج إضافية (LibPcap)
- يعمل Snort كـ sniffer مع طبقات كم طبقات الـ OSI وهن (2 – 7)
- يحتاج إلى صلاحيات الـ root لكي يحول وضع كارت الشبكة إلى Promiscuous mode
- بشكل افتراضي, يقوم بجمع البيانات العابرة خلال الكارت eth0
- يعيب الـ snort في وضع الـ Sniffer و الـ Logger عيب مهم و هو البطئ و قد يسقط/يفقد بعض البيانات و هو يوضح مقدار الحزم المفقودة بعد كل انتهاء العملية.
لنبدأ,,
#~ الـوضع Sniffer:
– لإلتقاط الـ TCP-headers فقط
snort -v
النتيجة
Running in packet dump mode --== Initializing Snort ==-- Initializing Output Plugins! *** *** interface device lookup found: eth0 *** Initializing Network Interface eth0 Decoding Ethernet on interface eth0 --== Initialization Complete ==-- ,,_ -*> Snort! <*- o" )~ Version 2.8.6 (Build 38) '''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team Copyright (C) 1998-2010 Sourcefire, Inc., et al. Using PCRE version: 6.6 06-Feb-2006 Not Using PCAP_FRAMES *** Caught Int-Signal Run time prior to being shutdown was 11.293919 seconds =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 06/25-13:17:36.995403 209.85.129.106 -> 192.168.1.10 ICMP TTL:51 TOS:0x0 ID:7196 IpLen:20 DgmLen:84 Type:0 Code:0 ID:48736 Seq:167 ECHO REPLY =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 06/25-13:17:37.867221 192.168.1.10 -> 209.85.129.106 ICMP TTL:63 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF Type:8 Code:0 ID:48736 Seq:168 ECHO =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 06/25-13:17:37.987125 209.85.129.106 -> 192.168.1.10 ICMP TTL:51 TOS:0x0 ID:7197 IpLen:20 DgmLen:84 Type:0 Code:0 ID:48736 Seq:168 ECHO REPLY =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ *** Caught Int-Signal Run time prior to being shutdown was 4.112018 seconds =============================================================================== Packet Wire Totals: Received: 5 Analyzed: 10 (200.000%) Dropped: 0 (0.000%) Outstanding: 18446744073709551611 (368934881474191032320.000%) ============================================================================== Breakdown by protocol (includes rebuilt packets): ETH: 10 (100.000%) ETHdisc: 0 (0.000%) VLAN: 0 (0.000%) IPV6: 0 (0.000%) IP6 EXT: 0 (0.000%) IP6opts: 0 (0.000%) IP6disc: 0 (0.000%) IP4: 10 (100.000%) IP4disc: 0 (0.000%) TCP 6: 0 (0.000%) UDP 6: 0 (0.000%) ICMP6: 0 (0.000%) ICMP-IP: 0 (0.000%) TCP: 2 (20.000%) UDP: 0 (0.000%) ICMP: 8 (80.000%) TCPdisc: 0 (0.000%) UDPdisc: 0 (0.000%) ICMPdis: 0 (0.000%) FRAG: 0 (0.000%) FRAG 6: 0 (0.000%) ARP: 0 (0.000%) EAPOL: 0 (0.000%) ETHLOOP: 0 (0.000%) IPX: 0 (0.000%) OTHER: 0 (0.000%) DISCARD: 0 (0.000%) InvChkSum: 0 (0.000%) S5 G 1: 0 (0.000%) S5 G 2: 0 (0.000%) Total: 10 =============================================================================== Action Stats: ALERTS: 0 LOGGED: 0 PASSED: 0 ===============================================================================
بالطبع, قمت بعملية بسيطة وقصيرة للتوضيح فقط
– لالتقاط حزم الطبقة 7 = Application Layer
snort -dv
النتيجة
Running in packet dump mode
--== Initializing Snort ==--
Initializing Output Plugins!
***
*** interface device lookup found: eth0
***
Initializing Network Interface eth0
Decoding Ethernet on interface eth0
--== Initialization Complete ==--
,,_ -*> Snort! <*- o" )~ Version 2.8.6 (Build 38) '''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team Copyright (C) 1998-2010 Sourcefire, Inc., et al. Using PCRE version: 6.6 06-Feb-2006 Not Using PCAP_FRAMES 06/25-13:38:00.532689 192.168.1.10 -> 209.85.129.106
ICMP TTL:63 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF
Type:8 Code:0 ID:48736 Seq:1390 ECHO
5F 88 24 4C 45 B1 09 00 08 09 0A 0B 0C 0D 0E 0F _.$LE...........
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F !"#$%&'()*+,-./
30 31 32 33 34 35 36 37 01234567
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
06/25-13:38:00.652912 209.85.129.106 -> 192.168.1.10
ICMP TTL:51 TOS:0x0 ID:8100 IpLen:20 DgmLen:84
Type:0 Code:0 ID:48736 Seq:1390 ECHO REPLY
5F 88 24 4C 45 B1 09 00 08 09 0A 0B 0C 0D 0E 0F _.$LE...........
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F !"#$%&'()*+,-./
30 31 32 33 34 35 36 37 01234567
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
06/25-13:38:01.528870 ARP who-has 192.168.1.1 tell 192.168.1.10
06/25-13:38:01.529098 ARP reply 192.168.1.1 is-at 0:1D:7E:B5:EE:50
06/25-13:38:01.533797 192.168.1.10 -> 209.85.129.106
ICMP TTL:63 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF
Type:8 Code:0 ID:48736 Seq:1391 ECHO
60 88 24 4C 5D B7 09 00 08 09 0A 0B 0C 0D 0E 0F `.$L]...........
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F !"#$%&'()*+,-./
30 31 32 33 34 35 36 37 01234567
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
06/25-13:38:01.653784 209.85.129.106 -> 192.168.1.10
ICMP TTL:51 TOS:0x0 ID:8101 IpLen:20 DgmLen:84
Type:0 Code:0 ID:48736 Seq:1391 ECHO REPLY
60 88 24 4C 5D B7 09 00 08 09 0A 0B 0C 0D 0E 0F `.$L]...........
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F !"#$%&'()*+,-./
30 31 32 33 34 35 36 37 01234567
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
*** Caught Int-Signal
Run time prior to being shutdown was 2.489102 seconds
===============================================================================
Packet Wire Totals:
Received: 3
Analyzed: 6 (200.000%)
Dropped: 0 (0.000%)
Outstanding: 18446744073709551613 (614891469123651764224.000%)
===============================================================================
Breakdown by protocol (includes rebuilt packets):
ETH: 6 (100.000%)
ETHdisc: 0 (0.000%)
VLAN: 0 (0.000%)
IPV6: 0 (0.000%)
IP6 EXT: 0 (0.000%)
IP6opts: 0 (0.000%)
IP6disc: 0 (0.000%)
IP4: 4 (66.667%)
IP4disc: 0 (0.000%)
TCP 6: 0 (0.000%)
UDP 6: 0 (0.000%)
ICMP6: 0 (0.000%)
ICMP-IP: 0 (0.000%)
TCP: 0 (0.000%)
UDP: 0 (0.000%)
ICMP: 4 (66.667%)
TCPdisc: 0 (0.000%)
UDPdisc: 0 (0.000%)
ICMPdis: 0 (0.000%)
FRAG: 0 (0.000%)
FRAG 6: 0 (0.000%)
ARP: 2 (33.333%)
EAPOL: 0 (0.000%)
ETHLOOP: 0 (0.000%)
IPX: 0 (0.000%)
OTHER: 0 (0.000%)
DISCARD: 0 (0.000%)
InvChkSum: 0 (0.000%)
S5 G 1: 0 (0.000%)
S5 G 2: 0 (0.000%)
Total: 6
===============================================================================
Action Stats:
ALERTS: 0
LOGGED: 0
PASSED: 0
===============================================================================
Snort exiting
– لتحديد كرت الشبكة استخدم مفتاح “ i ”
snort -dv -i eth2
– لالتقاط الحزم من الطبقة2= DatatLink إلى الطبقة 7 = Application Layer
snort -dev
النتيجة
Running in packet dump mode
--== Initializing Snort ==--
Initializing Output Plugins!
***
*** interface device lookup found: eth0
***
Initializing Network Interface eth0
Decoding Ethernet on interface eth0
--== Initialization Complete ==--
,,_ -*> Snort! <*- o" )~ Version 2.8.6 (Build 38) '''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team Copyright (C) 1998-2010 Sourcefire, Inc., et al. Using PCRE version: 6.6 06-Feb-2006 Not Using PCAP_FRAMES 06/25-13:48:02.876133 0:1D:7E:B5:EE:50 -> 0:11:95:E1:A4:B7 type:0x800 len:0x62
209.85.129.106 -> 192.168.1.10 ICMP TTL:51 TOS:0x0 ID:8524 IpLen:20 DgmLen:84
Type:0 Code:0 ID:48736 Seq:1992 ECHO REPLY
BA 8A 24 4C FE 7B 01 00 08 09 0A 0B 0C 0D 0E 0F ..$L.{..........
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F !"#$%&'()*+,-./
30 31 32 33 34 35 36 37 01234567
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
06/25-13:48:03.745957 0:11:95:E1:A4:B7 -> 0:1D:7E:B5:EE:50 type:0x800 len:0x62
192.168.1.10 -> 209.85.129.106 ICMP TTL:63 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF
Type:8 Code:0 ID:48736 Seq:1993 ECHO
BB 8A 24 4C 8B 80 01 00 08 09 0A 0B 0C 0D 0E 0F ..$L............
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F !"#$%&'()*+,-./
30 31 32 33 34 35 36 37 01234567
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
06/25-13:48:03.866865 0:1D:7E:B5:EE:50 -> 0:11:95:E1:A4:B7 type:0x800 len:0x62
209.85.129.106 -> 192.168.1.10 ICMP TTL:51 TOS:0x0 ID:1616 IpLen:20 DgmLen:84
Type:0 Code:0 ID:48736 Seq:1993 ECHO REPLY
BB 8A 24 4C 8B 80 01 00 08 09 0A 0B 0C 0D 0E 0F ..$L............
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F !"#$%&'()*+,-./
30 31 32 33 34 35 36 37 01234567
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
06/25-13:48:04.746714 0:11:95:E1:A4:B7 -> 0:1D:7E:B5:EE:50 type:0x800 len:0x62
192.168.1.10 -> 209.85.129.106 ICMP TTL:63 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF
Type:8 Code:0 ID:48736 Seq:1994 ECHO
BC 8A 24 4C 1E 85 01 00 08 09 0A 0B 0C 0D 0E 0F ..$L............
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F !"#$%&'()*+,-./
30 31 32 33 34 35 36 37 01234567
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
06/25-13:48:04.866976 0:1D:7E:B5:EE:50 -> 0:11:95:E1:A4:B7 type:0x800 len:0x62
209.85.129.106 -> 192.168.1.10 ICMP TTL:51 TOS:0x0 ID:8525 IpLen:20 DgmLen:84
Type:0 Code:0 ID:48736 Seq:1994 ECHO REPLY
BC 8A 24 4C 1E 85 01 00 08 09 0A 0B 0C 0D 0E 0F ..$L............
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F !"#$%&'()*+,-./
30 31 32 33 34 35 36 37 01234567
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
*** Caught Int-Signal
Run time prior to being shutdown was 2.886114 seconds
===============================================================================
Packet Wire Totals:
Received: 3
Analyzed: 5 (166.667%)
Dropped: 0 (0.000%)
Outstanding: 18446744073709551614 (614891469123651764224.000%)
===============================================================================
Breakdown by protocol (includes rebuilt packets):
ETH: 5 (100.000%)
ETHdisc: 0 (0.000%)
VLAN: 0 (0.000%)
IPV6: 0 (0.000%)
IP6 EXT: 0 (0.000%)
IP6opts: 0 (0.000%)
IP6disc: 0 (0.000%)
IP4: 5 (100.000%)
IP4disc: 0 (0.000%)
TCP 6: 0 (0.000%)
UDP 6: 0 (0.000%)
ICMP6: 0 (0.000%)
ICMP-IP: 0 (0.000%)
TCP: 0 (0.000%)
UDP: 0 (0.000%)
ICMP: 5 (100.000%)
TCPdisc: 0 (0.000%)
UDPdisc: 0 (0.000%)
ICMPdis: 0 (0.000%)
FRAG: 0 (0.000%)
FRAG 6: 0 (0.000%)
ARP: 0 (0.000%)
EAPOL: 0 (0.000%)
ETHLOOP: 0 (0.000%)
IPX: 0 (0.000%)
OTHER: 0 (0.000%)
DISCARD: 0 (0.000%)
InvChkSum: 0 (0.000%)
S5 G 1: 0 (0.000%)
S5 G 2: 0 (0.000%)
Total: 5
===============================================================================
Action Stats:
ALERTS: 0
LOGGED: 0
PASSED: 0
===============================================================================
Snort exiting
#~ الـوضع Logger:
- لا يفرق هذا الوضع عن سابقه إلا في أنه يقوم بتخزين المخرجات في ملف بامتداد معين أو بصيغة معينة للاستفادة منه لاحقا أو لفتحه ببرامج أخرى
- Snort يدعم الصيغ التالية: (pacap, ascii, binary)
- سنستخدم نفس المفاتيح المستخدمة في الـ Sniffing و سنضيف إليها إما ” K ” أو ” b “
– لالتقاط الحزم من الطبقة2= DatatLink إلى الطبقة 7 = Application Layer بصيغة الـ ASCII
snort -vde -K ascii -l ./log/
– لالتقاط الحزم من الطبقة2= DatatLink إلى الطبقة 7 = Application Layer بصيغة الـ Binary
snort -b -L FileName.snort.binary.1
ملاحظة: المسار الافتراضي للصيغة الثنائية هي
/var/log/snort/
حتى هنا أكون أنهيت ما أريد أن أعرضه
تحياتي واحترامي
المهندس صبري صالح. مهندس حماية شبكات و أنظمة و فحصها معالجة و تحليل الأحداث الأمنية و المسؤول عن تطبيق معايير الـ ISO 27001 , يعمل في بيئات متعددة المنصات. حاصل على عدة شهادات تقنية.
التعليقات:
اترك تعليقاً | عدد التعليقات: (18)
جاري التحميل ...
شكراً صبري على الشرح لكن دائماً أفضل Ettercap لعمل أي هجوم MITM ممكن توضح الفرق بينهم؟!
هلا بك أحمد,
أخوي الـ Ettercap يقوم بإخراج النتائج بشكل سهل و مرتب نيابة عن وجود الـ Plugins فيه لأنه مصمم أصلا لهذا الغرض
أما الـ Snort يعمل في الأصل IDS و يحتاج الـ Sniffing كوسيلة فقط
لهذا لا أقول فرق بل أقول أفضلية ,, فإن الـ ettercap أفضل في الـ Sniffing لأن الـ Snort أبطأ بكثير و قد ذكرت هذا في البداية
نورت أخوي أحمد
تحياتي واحترامي
بارك الله فيك أخي صبري … جهد رائع ما شاء الله تبارك الله
هل لك أن تفصّل هنا أكثر؟
<<<يعيب الـ snort في وضع الـ Sniffer و الـ Logger عيب مهم و هو البطئ و قد يسقط/يفقد بعض البيانات و هو يوضح مقدار الحزم المفقودة بعد كل انتهاء العملية.>>>
في أي وضع يكون البطئ؟ في وضع بايناري أم في وضع اسكي؟ أم في كلاهما؟ وما هو حجم البيانات الداخلة والذي عنده يبدأ سنورت بفقد بيانات؟
الأمر الآخر الذي أودّ أن أسأل عنه هو الاتي:
>>>يحتاج الـ Snort برامج إضافية (LibPcap, TCPdump)<<< Libcap مطلوبة لأي برنامج يدعم خاصيّة الشمّ (السنيفينج). ولكن هل tcpdump مطلوب؟
ما شاء الله اخوي صبري شرح جميل حقا ومهم
سأقوم بالتجربه حاليا
ليتم فهم الموضوع بصوره اعمق
دمت بود
مشكور يا الاخ الرائع المهندس صبري صالح
نعم تطبيق snort من افضل التطبيقات في مجال الحماية على مستوى الشبكة ويعتبر de facto في هذا المجال. في خاصية اخرى موجودة فيه اعجبتني كثيرا وهي:
تستطيع اعادة تكوين الملف (File Reconstruction) الذي قمت بارساله من خلال الباكجات التي التقطها من خلاله او ما يسمى ب Logs. هذه تعتبر مهمة جدا في عملية التحقيق في الجرائم (Forensic) بعد ان فشل التحقيق المبني على نظام التشغيل (Computer Forensic) بسبب ان الهاكر يمسح جميع الاثار فيه بعد الانتهاء من الاختراق. اما snort يمكنك وضعه في وضف Bridge مما يكون مخفيا على العامة. أكثر من يسخدم هذه الخاصية نظام التشغيل Honeywall (وهو نسخة محسنة من CentOS) المستخدم في كعنصر اساسي في Honeynet.
التعليمات التالية تنجز هذه المهمة:
1) لو فرضنا انك تريد اعداة تكوين ملف BackDoor.zip الذي رفعه الهاكر من خلال FTP قم بتعديل ملف snort.conf كما يلي:
log tcp any 21 (session:binary;)
2) قم بنسخ ملف xxxxxxx.log حتى لا تتلف اللوق الاصلي
3) نفذ التالي:
snort -v -c /etc/snort/snort.conf -r ../xxxxxxxx.log
-r : تعني اقرأ من الملف المحدد بعدها.
جرب حتى تضبط معك، وركز تحديدا على المنفذ (port) ان يكون صحيحا.
كل الود
# بشار:
أولا أسف على التأخر في الرد و سأخبرك بالأسباب إن شاء الله
ثانيا بالنسبة لسؤالك الأول:
إسقاط الحزم يأتي بسبب بطئ السنورت و سبب بطئه هو اعتماده على tcpdump في عملية الـ Sniffing
ما يثبت كلامي هو دليل تثبيت الـ Snort , ستجد فيه أنه يلزمك بتنصيب البرامج بالترتيب
1. Libpcap
2. tcpdum
3. Snort
لا أعرف صراحة ما مقدار الـحزم المطلوبة ليصل السنورت إلى مرحلة إسقاط الحزم لكن انظر في نهاية كل عملية Sniffing سترى التالي:
Dropped: 0 (0.000%)
في مثالنا هنا لم يسقط و لم يخسر شئ لأن مدة عملية الـ sniffing ثواني معدودة , أما لو طالت المدة (جرب 10 دقائق مثلا) ستجد حزم مفقودة
السؤال الثاني: إجابته في السؤال الأول و أضيف عليه
Libpcap كما قلت هي ضرورية لكل البرامج التي تعمل Sniffing ولكن ليس كل الـ Sniffing يشترط هذه الحزمة لأن الـ Libcap تخدم الـ Low Level Sniffing أي ما تحت الـ Presentation Layer Packets , هذه نقطة
الـ tcpdump يطلبه الـ snort بشكل أساسي نعم , لكن برامج الـ Sniffing الأخرى لا تعتمد عليه
دكتور ,, لو لم أجيبك فأخبرني بما هو غامض
نورتني :$
تحياتي و احترامي
# GeeKZ:
مرحبا أخوي حياك الله في أي و قت و جرب و ارجع اسأل لو نقص عليك شئ
==========
#Sudanese Hunter: أكثر ما يعجبني فيك أن إضافاتك دائما تفيد صاحب الموضوع قبل القراء أيضا
إن شاء الله سأقوم بتجربتها بإذن الله و سأضع ما أجد سواء في موضوع مستقل أو موضوع مربتط
بعد التأكد من المعلومة و مراجعتها ,,
الـ Snort لا يستخدم الـ Tcpdump لكي يعمل كــ Sniffer و يبدو أني فهمت المعلومة بشكل خاطئ
ملاحظة: قمت بتصحيح المعلومة في الموضوع لتحاشي الاتباس في المستقبل
أعتذر عن الخطأ , و شكرا لك د/بشار لتنبيهي
تحياتي و احترامي
حيك الله يا اخي من فضلك انا مبتدىء واريد المساعدة لاتمام رسالة الليسانس هدا العام في كيفية استعمل السنورت وما عمله وشكرا
الرجاء المساعدة لدي مشكلة في السنورت ودائما يأتيني نفس الخطاء التالي
Intializing Output Plugins!
ERROR:Failed to lookup interface: o’ F. please specify one with -i switch
Fatal Error,Quitting..
من خلال رسالة الخطأ نفسها يبدو أنك لم تستعمل أو توجه سنورت لمحول الشبكة الذي ستستخدمه.
جرب إضافة
-i eth0
C:\Snort\bin>snort -i eth0
Running in packet dump mode
–== Initializing Snort ==–
Initializing Output Plugins!
pcap DAQ configured to passive.
Acquiring network traffic from “eth0”.
ERROR: Can’t start DAQ (-1) – ÿ]▬♥!
Fatal Error, Quitting..
C:\Snort\bin>snort -i eth0-
Running in packet dump mode
–== Initializing Snort ==–
Initializing Output Plugins!
pcap DAQ configured to passive.
Acquiring network traffic from “eth0-“.
ERROR: Can’t start DAQ (-1) – ÿ]‼♥!
Fatal Error, Quitting..
بعد تجربة ما قلته لي كانت النتيجة كما كتبت
شكرا جزيلا على المساعدة وهدا SKYPE الخاص بي ادا اردت مساعدتي
Ziga 541
الرجاء لم استطع ايضا تحميل snort rules
my snort version is 2.9.0.4
اتمنى المساعدة قريبا لانني مقبل على رسالة تخرج والمطلوب مني فيها كيفية استخدام سنورت
عنوان رسالة التخرج هي(intrusion detection system(snort
اجركم على الله في سبيل العلم
أخي عبد العظيم , أنت تستخدم ويندوز ,,
بصراحة لا أعرف كيف ستكون التسمية للكروت في الويندوز
شكرا على المراسلة وانا أستخدم ويندوز7
السلام عليكم اصحاب التجمع الكريم اني طالب ماجستير ولدي سوال فيما يتعلق بالسنورت واتمنى يارب شخص ايجاوبني يارب وهو عن تلك الخطوات كيف اقوم بحلها .
Use the default rule set supplied in the website and see that it catches the ftp hack. Perform the hack on
your machine. Include the alert message generated in your report
2) Now develop rules for the following hacks:
a) Any packet of size > 100 bytes from network 10.0.0.0 /24 designated to port 80.
b) Any packet that contains the following string “Hello MCN1034”
c) Any packet that is designated to a service that is not running in your machine
d) Any packet with shell code