نوشته‌شده در

ids – Suricata امضا نیست

من از سوریکاتا با اسکنرهای جدید و قوانین دیگر استفاده می کنم، قوانین در suricata.yaml بارگذاری می شوند، homenet و ext_net به درستی پیکربندی شده اند.
 برای تست تشخیص سوریکاتا از nmap -sS در دستگاهی استفاده کردم که در آن sudicata نصب شده بود و من هیچ تشخیصی نداشتم.
 برای nmap -sS قوانین استفاده شده در scan.rules alert tcp $ EXTERNAL_NET هر -> $ HOME_NET هر (msg: "ET SCAN NMAP -sS window 2048"؛ fragbits:! D؛ dsize: 0؛ پرچم ها: S، 12؛ ack: 0؛ پنجره: 2048؛ آستانه: نوع هر دو، track by_dst، count 1، seconds 60؛ مرجع: url؛ doc.emergingthreats.net / 2000537؛ class style: attempt-recon؛ sid: 2000537؛ rev: 8؛ metadata: created_at 2010_07_30، updated_at 2010_07_30؛)

alert ip $ EXTERNAL_NET هر -> $ HOME_NET هر (msg: "ET SCAN NMAP -sO"؛ dsize: 0؛ ip_proto: 21؛ آستانه: نوع هر دو، track by_dst، count 1، ثانیه 60؛ مرجع: url، doc.emergingthreats.net / 2000536؛ رده بندی: attempted-recon؛ sid: 2000536؛ rev: 7؛ metadata: created_at 2010_07_30؛ updated_at 2010_07_30؛)

alert tcp $ EXTERNAL_NET any – $ HOME_NET هر کدام (msg: "ET SCAN NMAP -sS window 1024"؛ fragbits:! D؛ dsize: 0؛ flags: S؛ 12؛ ack: 0؛ window: 1024؛ threshold: type both، track by_dst، count 1، ثانیه 60؛ مرجع: url، doc.emergingthreats.net / 2009582؛ کلاس: تلاش برای بازسازی؛ sid: 2009582؛ rev: 3 ؛ metadata: created_at 2010_07_30، updated_at 2010_07_30؛)

alert tcp $ EXTERNAL_NET any -> $ HOME_NET هر کدام (msg: "ET SCAN NMAP -sS window 3072"؛ fragbits:! D؛ dsize: 0؛ flags: S، 12؛ ack: 0؛ window: 3072؛ آستانه: نوع هر دو، track by_dst، count 1، seconds 60؛ reference: url، doc.emergingthreats.net / 2009583؛ class style: attempt-recon؛ sid: 2009583؛ rev: 3؛ metadata: create_at 2010_07_30، updated_at 2010_07_30؛)

alert tcp $ EXTERNAL_NET any -> $ HOME_NET هر کدام (msg: "ET SCAN NMAP -sS window 4096"؛ fragbits:! D؛ dsize: 0؛ flags: S، 12؛ ack: 0؛ پنجره: 4096؛ آستانه: نوع هر دو، مسیر by_dst، شمارش 1، ثانیه 60؛ مرجع: url، doc.emergingthreats.net / 2009584؛ کلاس: attempted-recon؛ sid: 2009584؛ rev: 2؛ metadata: created_at 2010_07_30 ، updated_at 2010_07_30؛)

نوشته‌شده در

شناسه – پیکربندی رابط شبکه مجازی به عنوان رابط sniffing

یک IDS Snort با سیستم عامل اوبونتو 16.04 با یک رابط اترنت فیزیکی (eno1) دارد. من دو اینترفیس شبکه مجازی را با استفاده از رابط eno1 پیکربندی کردم: eno1: 0 برای رابط sniffing و eno1: 1 برای رابط مدیریت، که با یک آدرس IP ثابت است پیکربندی شده است. مشکل من این است که فقط رابط مدیریت (eno1: 1) بالا است، در حالی که رابط کاربری sniffing (eno1: 0) پایین است همانطور که در خروجی زیر ifconfig نشان داده شده است: 

 eno1 Link encap: Ethernet HWaddr c4: 34: 6b: 61: d1: b3
          inet6 addr: fe80 :: c634: 6bff: ac61: d1b3 / 64 دامنه: لینک
          UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric: 1
          بسته های RX: 28019 خطا: 0 کاهش یافته: 0 بیش از حد: 0 قاب: 0
          بسته های TX: 1046 خطا: 0 کاهش یافته: 0 بیش از: 0 حامل: 0
          برخورد: 0 txqueuelen: 1000
          RX بایت: 3471780 (3.4 MB) TX بایت: 116452 (116.4 KB)
          وقفه: 20 حافظه: f7c00000-f7c20000

eno1: 1 link encap: اترنت HWaddr c4: 34: 6b: 61: d1: b3
          inet addr: 192.168.1.154 Bcast: 192.168.1.255 ماسک: 255.255.255.0
          UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric: 1
          وقفه: 20 حافظه: f7c00000-f7c20000

Lo Link Encap: Local Loopback
          inet addr: 127.0.0.1 ماسک: 255.0.0.0
          inet6 addr:: 1/128 زمینه: میزبان
          UP LOOPBACK RUNNING MTU: 65536 متریک: 1
          بسته های RX: 162 خطا: 0 کاهش یافته است: 0 overruns: 0 frame: 0
          بسته های TX: 162 خطا: 0 کاهش یافته: 0 بیش از: 0 حامل: 0
          برخورد: 0 txqueuelen: 1
          RX bytes: 12020 (12.0 KB) TX bytes: 12020 (12.0 KB)

در زیر تنظیمات برای رابط کاربری sniffing و مدیریت موجود در / etc / network / interfaces: 

 # sniffer interface
auto eno1: 0

iface eno1: 0 کتابچه راهنمای کاربر
        up ifconfig $ IFACE 0.0.0.0 بالا
        پی اچ پی لینک iF را تنظیم کنید $ IFACE promisc on
        پایین آی پی لینک مجموعه $ IFACE promisc کردن
        down ifconfig $ IFACE پایین

postto-ethtool -K eno1: 0 بازی کردن
postto-ethtool -K eno1: 0 lro off

# مدیریت رابط
auto eno1: 1

iface eno1: 1 inet static
        آدرس 192.168.1.154
        255.255.255.0 netmask
        پخش 192.168.1.255
        دروازه 192.168.1.2
        DNS-Nameservers 1.1.1.1

تنظیمات پیکربندی رابط کاربری Sniffing از این لینک استفاده شده است، اما رابط کاربری Sniffing بالا نمی رود. مشکل چیست؟

نوشته‌شده در

چگونه می توان امضا 3 را تحویل داد؟

من استفاده از snort 3 را با تمام قوانین comundity snort 3 در برابر علامت های pytbull انجام می دهم، اما snort حمله را تشخیص نمی دهد و همچنین امضا هماهنگ نیست، چگونه می توانم قوانین snort 3 ++ را برای تشخیص بهتر حمله تشخیص دهم؟

نوشته‌شده در

شناسه – آیا یک IPS می تواند حمله به یک روتر / فایروال آسیب پذیر را مسدود کند؟

در مورد آخرین اخبار مربوط به روترهای SOHO آسیب پذیر به حمله VPNFilter فکر می کنم: https://arstechnica.com/information-technology/2018/05/fbi-tells-router-users-to-reboot-now-to-kill نرم افزار-infected-500k-devices /.

از لحاظ تئوری، یک دستگاه (IPS) (Snort، Suricata، Cisco، Juniper، Barracuda، و غیره) که بین یک ISP / gateway و یک روتر / فایروال آسیب پذیر قرار گرفته است، می تواند این حمله را مسدود کند، با فرض یک امضای تطبیق در حال حاضر در پایگاه داده دستگاه نصب شده است؟

جالب توجه است، آیا هر کسی از هر شواهدی از این که یک IPS [19459005 را مسدود کرده است، آگاه است؟

یا حتی اگر مسدود کردن چنین حمله امکان داشت – آیا خیلی دیر شده بود اگر این واقعا یک حمله صفر روز بود؟

معمولا IPS به عنوان یک ابزار برای محافظت از کاربران نهایی از نرم افزارهای مخرب دیده می شود، هر چند که وبسایتهای بیشتر رمزگذاری شده اند، بعضی از آنها به عنوان مقداری شناخته شده اند، زیرا نمی تواند به راحتی چنین ترافیک رمزنگاری را بررسی کند. اما آیا هنوز می تواند مفید باشد برای جلوگیری از حمله به روتر / فایروال خود؟