作者 主題: 請問snort的相關問題  (閱讀 6798 次)

0 會員 與 1 訪客 正在閱讀本文。

kaofupin

  • 可愛的小學生
  • *
  • 文章數: 16
    • 檢視個人資料
請問snort的相關問題
« 於: 2003-08-19 00:09 »
snort,各位前輩覺得好用嗎?有何要注意的?是否有詳細的使用手冊?哪裡可以看ㄉ?因為有些攻擊方式的英文,看都沒看過?不知從何學習起呢?

pontiff

  • 懷疑的國中生
  • **
  • 文章數: 44
    • 檢視個人資料
請問snort的相關問題
« 回覆 #1 於: 2003-08-20 11:17 »
Snort雖然是open source,但是已經是一個頗完整的架構。從封包的重組、判斷,到字串比對,甚至connection state,都有實做出來。
建議先裝windows版的snort,再裝一個IDSCenter管理介面,這樣很容易上手。
但是如果你是要學習怎麼找出signature,抱歉,我也幫不了你

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
請問snort的相關問題
« 回覆 #2 於: 2003-08-20 12:56 »
建議您到 http://www.snort.org 上看
上面的資料巳經很詳細了
想對 snort 熟一點, 除了網站上的資料外,
你將 tarball 解開後的文件及 contrib 都看過大概就可以學得很好了

至於 write snort rule 那是一定要看的, snort  網站上有教學,而且很詳盡
在看 write rule 的 document 前請先確定 TCP/IP Header 的相關基礎都有了
再來看,免得只有一招半式

至於找出或寫出 signature ,這需要您實際運作過,且有一定的經驗後才寫的好
功力好一點,也可以用來抓那個同仁寄出了什麼信,附件是什麼....

 IDS 不是萬能的~~多涉略一些文章, 較能了解 IDS 能做到什麼 ? 有什麼優缺點 ? 主機型/網路型/混合型  , signature 與 protocol 異常上的差別 ....

總之~
1. 要有心
2. 英文要看得懂
3. 要去管,要去看 alert , 不然裝來做什麼
4. 要注意 IDS 自身的安全性
5. 不要依賴 IDS
...

好好加油

kaofupin

  • 可愛的小學生
  • *
  • 文章數: 16
    • 檢視個人資料
請問snort的相關問題
« 回覆 #3 於: 2003-08-20 14:10 »
謝謝您,這是我覺得最專業、最中肯的建議~
因為初學,其實有一些東西都還不太懂,
但是主機偏偏一大堆入侵與攻擊的意圖,
我會好好學習的~

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
請問snort的相關問題
« 回覆 #4 於: 2003-08-20 14:26 »
若有問題可以隨時回板上來問~~
不過建議將問題縮小~~不要問一個大 topic , 大多數的狀況下即使別人會
也知道如何回答你,但是沒有時間也沒法回你的問題~~
我個人覺得 snort 吃蠻多系統資源 , 如果可以最好將 rule 調一下, 不要直接就用
download 下來的那個 rule list, preprocess 也是很重要的章節,不要只把重點
放在 alert rule 的部份, 如果可以的話,可以參照精華區中的文章,
將其做成 DB log 的型式,有助於你交叉分析.

另外一點點心得是,記得用 crontab 讓 snort 固定時間 kill ,再 run  一次,
我的感覺較不會佔那麼多 RAM, 且若當了也可以有個 restart 的時間點,
另一個心得是如果你的 snort sensor 的點多, 要去 monitor 該機器的 snort
 是否還 active, 最後的方法是寫上一條 你才會觸發的 rule, (log to db )
Ex:
alert icmp YOUR_SRC_IP any -> $HOME_NET any (msg:"I am alive";)

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
請問snort的相關問題
« 回覆 #5 於: 2003-08-20 17:57 »
引用
IDS 不是萬能的~~多涉略一些文章, 較能了解 IDS 能做到什麼 ? 有什麼優缺點 ? 主機型/網路型/混合型 , signature 與 protocol 異常上的差別 ....

http://www.securityfocus.com/cgi-bin/sfonline/ids_topics.pl
這裏有很多 IDS 相關的文章~有興趣的人可以參考看看

IDS 中文資料
http://www.csie.nctu.edu.tw/~sjhuang/ids.php
http://hk.tech.yahoo.com/021123/100/ny2w.html

網路安全資料
一大堆...
http://www.cert.org.tw/document/column/

多 K 一點~~每天都在學習  :P