Snort | Phần mềm


Giới thiệu


Snort là công cụ phát hiện xâm nhập mạng và bảo vệ hệ thống có hiệu suất cao, sử dụng ít tài nguyên hệ thống. Ứng dụng này cũng có thể sử dụng như một công cụ sniffer và bộ ghi nhật ký hệ thống.


Phần mềm này kết hợp giữa thông tin trong cơ sở dữ liệu và thao tác quét để phát hiện ra những xâm nhập trái phép, đồng thời cung cấp những báo cáo phân tích và đưa ra cảnh báo ngay lập tức nếu phát hiện ra điểm bất thường trong hệ thống.


Để ứng dụng này có thể hoạt động đòi hỏi phải sử dụng tập lệnh, tính năng protocol của mạng và kiến thức IDS. Vì thế nếu bạn chưa quen với các thông tin trên thì sẽ cần dành thời gian để tìm hiểu cách thức phần mềm hoạt động.


Một khi đã thành thạo, bạn có thể sử dụng công cụ này để giám sát traffic mạng, hiển thị header các gói TCP/IP và lưu các gói này vào thư mục nhật ký hoặc một cơ sở dữ liệu nào đó (hỗ trợ MySQL, Oracle, Microsoft SQL ServerODBC).


Tuy nhiên, công dụng chính của phần mềm này là chức năng phát hiện xâm nhập hệ thống. Ứng dụng này sẽ phân tích traffic của mạng, phát hiện ra các sự kiện bất thường, và gửi thông báo về hệ thống để có hướng giải quyết.


Các quy tắc tùy chỉnh của người dùng trong phần mềm này tương tự như trong một ứng dụng tường lửa. Bạn có thể tùy chỉnh hành vi của Snort trong chế độ IDS: thiết lập hành vi bằng cách chỉnh sửa file cấu hình có chứa các quy tắc riêng của ứng dụng (cho kết nối email SMTP, SSH,...)


Chương trình này phân tích các gói dữ liệu gửi và nhận xem trong đó có chứa bất kì dấu vết đe dọa nào hay không. Những gói dữ liệu bất thường sẽ làm kích hoạt các nguyên tắc và sẽ được ghi lại trong định dạng ASCII hoặc binary.


Snort


Yêu cầu:


Winpcap 4.1.1


Cập nhật trong phiên bản mới:



  • Hỗ trợ xử lý cụ thể file trong quá trình tiền xử lý DCERPC đối với các file được truyền qua SMB

  • Thu và lưu trữ file - lưu lại file ngay khi dữ liệu di chuyển qua mạng thông qua một quá trình tiền xử lý mà cần sự hỗ trợ trong HTTP, FTP, SMTP, POP, IMAPSMB

  • Thêm tùy chọn = operators to byte_test rule

  • Cập nhật SMTP để phát hiện sự tấn công có xác thực của Cyrus SASL

  • Thêm chức năng quay lại toàn bộ một phiên làm việc


Thùy Vân






Đăng nhận xét

Mới hơn Cũ hơn