شرح تركيب برنامج Snort

w@hb · 10-25-2007, 12:40 PM

السلام عليكم ورحمة الله وبركاته

هذا البرنامج قد يكون لم يسمع به الكثير لكنه من اهم البرامج بل ومن اقوى البرامج في نظام الحماية IDS | intrusion detection system

وهذا النظام يعتبر من اهم انظمة الحماية للسيرفرات :smartass:

مميزات Snort
• يقوم البرنامج بفحص الترافيك المستخدم في السيرفر
• يقوم البرنامج بفحص الايبيهات التي تتصفح السيرفر
• يقوم البرنامج بعمل سكان على بروتات السيرفر ومنع عمييات الاتصال الغير شرعية بها
• يقوم البرنامج بمراقبة برنامج apache
• والمزيد

هدف البرنامج عموما هو حماية السيرفر من :
• Dos / DDos Attack
• Network Flowding
• وما يشابهها

• للمزيد من المعلومات :
What is Snort? - a definition from Whatis.com
• موقع البرنامج :
Snort - the de facto standard for intrusion detection/prevention

شرح التركيب

قم بالدخول الى الشل

كود PHP:

  cd /usr/src
mkdir snort
cd snort

كود بلغة HTML:

wget \
> http://www.snort.org/dl/binaries/linux/snort-mysql-2.8.0-1.RH5.i386.rpm
> http://www.snort.org/dl/binaries/linux/snort-2.8.0-1.RH5.i386.rpm
> http://www.snort.org/dl/binaries/linux/snort-postgresql-2.8.0-1.RH5.i386.rpm

:excl: هذا الاصدار خاص بنظام RHEL5 / FC7 للحصول على البرامج التي توافق سيرفر اذهب الى هذا الرابط :
Snort - the de facto standard for intrusion detection/prevention
او :
Snort - the de facto standard for intrusion detection/prevention

بعد ذلك قم بتنفيذ هذا الامر :

كود PHP:

  rpm -ivh *.rpm

انتظر قليلا وسوف تشاهد شي مماثل لهذا :

كود PHP:

  [root@server ~]# rpm -ivh *.rpm
   1:snort  ################################ [100%]
   2:mysql  ################################ [100%]

هكذا تم تركيب البرنامج اذا ظهرت اخطاء ارجو طرحها في الموضوع :excl:

بعدها نقوم بتركيب rules القوانين :

كود PHP:

  cd /etc/snort
wget http://www.talkinweb.net/tools/snort/rules.tar.gz
tar -zxf rules.tar.gz

لتشغيل البرنامج قم بالتالي :

كود PHP:

  snort start

لعمل ريسترت للبرنامج

كود PHP:

  snort restart

لايقاف البرنامج

كود PHP:

  snort stop

هكذا انتهينا واصبح البرنامج معد للعمل
اي استفسار انا حاضر :bye1:

بحريني أملح · 01-08-2008, 09:08 AM

يعطيك العافيه

Fedora · 01-11-2008, 08:26 AM

وعليكم السلام ورحمة الله وبركاته

بارك الله فيك اخي الكريم .. شرح مميز للغايه .. واداه رائعه

انا الان اتعلمها . وفادني هالموضوع .. عندي سؤال بسيط ياليت احصل الاجابه لأني بحثت الكثير من خلال النت ولم اجد ..

انا اريد ان اعمل سنيفر على الايثرنت حقي .. بهذا الأمر :

كود PHP:

  snort -dvi eth0

تظهر لي نتائج كثيره .. لكن السؤال الان عرفت كيف استخدم الامر واشوف الباكج .. لكن اكيف افهم الحوسه الى موجوده بالنتائج :cry: رموز واشياء غير مفهومه لدي .. هل من الممكن ان تساعدني بتفسيرها دكتورنا .. النتائج هي :

كود PHP:

    [root@linux-server root]# snort -dvi eth0
  Version 2.0.0 (Build 72)
  By Martin Roesch (roesch@sourcefire.com, www.snort.org)
  10/29-11:08:19.902840 192.168.246.12:1025 -> 128.8.10.90:53
  UDP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:73 DF
  Len: 45
  AA E2 00 00 00 01 00 00 00 00 00 00 02 33 37 03  .............37.
  32 34 36 03 31 36 38 03 31 39 32 07 69 6E 2D 61  246.168.192.in-a
  64 64 72 04 61 72 70 61 00 00 0C 00 01           ddr.arpa.....
   
  =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
   
  10/29-11:08:20.852840 192.168.246.12 -> 192.168.246.37
  ICMP TTL:255 TOS:0x0 ID:13170 IpLen:20 DgmLen:40
  Type:13  Code:0  ID: 25124  Seq: 0  TIMESTAMP REQUEST
  62 24 00 00 02 63 E3 FD 00 00 00 00 00 00 00 00  b$...c..........
   
  =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
   
  10/29-11:08:20.852840 192.168.246.37 -> 192.168.246.12
  ICMP TTL:128 TOS:0x0 ID:17878 IpLen:20 DgmLen:40
  Type:14  Code:0  ID: 25124  Seq: 0  TIMESTAMP REPLY:
  Orig: 4259537666 Rtime: 40100906  Ttime: 40100906
  62 24 00 00 02 63 E3 FD 2A E4 63 02 2A E4 63 02  b$...c..*.c.*.c.
   
  =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
   
  10/29-11:08:21.852840 192.168.246.12 -> 192.168.246.37
  ICMP TTL:255 TOS:0x0 ID:13170 IpLen:20 DgmLen:40
  Type:13  Code:0  ID: 25124  Seq: 256  TIMESTAMP REQUEST
  62 24 01 00 02 63 E7 DF 00 00 00 00 00 00 00 00  b$...c..........
   
  =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
   
  10/29-11:08:21.852840 192.168.246.37 -> 192.168.246.12
  ICMP TTL:128 TOS:0x0 ID:17879 IpLen:20 DgmLen:40
  Type:14  Code:0  ID: 25124  Seq: 256  TIMESTAMP REPLY:
  Orig: 3756483330 Rtime: 40101890  Ttime: 40101890
  62 24 01 00 02 63 E7 DF 02 E8 63 02 02 E8 63 02  b$...c....c...c.
   
  =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

أتمنى ان افهمها طريقع مفصله يعني ايش الى طالع بالتفسير اذا امكن .. راح اكون شاكر ومقدر لك كثيرا

الى اللقاء

w@hb · 01-12-2008, 05:42 PM

10/29-11:08:20.852840 192.168.246.37 -> 192.168.246.12

: هذا تاريخ وقوع عملية الاتصال ومن اي اي بي تمت

Type:14 Code:0 ID: 25124 Seq: 0 TIMESTAMP REPLY:

: الوقت المستعرق للطلب

TIMESTAMP REPLY:

الوقت المستغرق للرد على الطلب

بالنسبة للبقية سوف ابحث لك عنها ان شاء الله

62 24 01 00 02 63 E7 DF 00 00 00 00 00 00 00 00 b$...c..........

: ما يعرف بـ Clone MAC Address وهو المعرف الخاص بك لدا ISP

Fedora · 01-12-2008, 06:52 PM

جزاك الله الف خير استاذي .. واضح الشرح .. وننتظر البقيه ..

وشكرا

الدليل · 05-22-2008, 11:26 PM

شكرا لك

ولو حبيت اطول وقت الحجب

هل يكون من هنا ؟

How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=100

w@hb · 05-23-2008, 04:08 PM

ليس هذا الخيار
المقصود بـ : NO_OF_CONNECTIONS=100
هو عدد الاتصالات التي تتم عبر ip واحد فقط عشان يعرف البرنامج انه هجوم Dos

اما بالنسبة لوقت الحجب فهوا دائم !
موفق

الدليل · 05-23-2008, 05:26 PM

جزاك الله خير على التوضيح

w@hb · 05-24-2008, 01:37 AM

اعتقد هذا الخيار خاص بـ Dos-delate ؟
في اخر ملف config تجد
BAN_PERIOD=100

قم بتغييرها الى ما تريد
Snort اقوى بكثير وهو فعال جدا وله القدرة على التمييز بين الهجومات وصدها صد تام باذن الله
اضافة الا انه يحتاج قوانين ويوجد 3 انواع منها
مجانية للزورا
مجانية للاعضاء
مدفوعة للاعضاء

10-25-2007, 12:40 PM	#1 (permalink)
w@hb د./ وهب بن اسحاق تاريخ التسجيل: Oct 2007 الدولة: Tunisia العمر: 17 المشاركات: 220	شرح تركيب برنامج Snort \| intrusion detection system السلام عليكم ورحمة الله وبركاته هذا البرنامج قد يكون لم يسمع به الكثير لكنه من اهم البرامج بل ومن اقوى البرامج في نظام الحماية IDS \| intrusion detection system وهذا النظام يعتبر من اهم انظمة الحماية للسيرفرات :smartass: مميزات Snort • يقوم البرنامج بفحص الترافيك المستخدم في السيرفر • يقوم البرنامج بفحص الايبيهات التي تتصفح السيرفر • يقوم البرنامج بعمل سكان على بروتات السيرفر ومنع عمييات الاتصال الغير شرعية بها • يقوم البرنامج بمراقبة برنامج apache • والمزيد هدف البرنامج عموما هو حماية السيرفر من : • Dos / DDos Attack • Network Flowding • وما يشابهها • للمزيد من المعلومات : What is Snort? - a definition from Whatis.com • موقع البرنامج : Snort - the de facto standard for intrusion detection/prevention شرح التركيب قم بالدخول الى الشل كود PHP: `cd /usr/src mkdir snort cd snort` كود بلغة HTML: wget \ > http://www.snort.org/dl/binaries/linux/snort-mysql-2.8.0-1.RH5.i386.rpm > http://www.snort.org/dl/binaries/linux/snort-2.8.0-1.RH5.i386.rpm > http://www.snort.org/dl/binaries/linux/snort-postgresql-2.8.0-1.RH5.i386.rpm :excl: هذا الاصدار خاص بنظام RHEL5 / FC7 للحصول على البرامج التي توافق سيرفر اذهب الى هذا الرابط : Snort - the de facto standard for intrusion detection/prevention او : Snort - the de facto standard for intrusion detection/prevention بعد ذلك قم بتنفيذ هذا الامر : كود PHP: `rpm -ivh .rpm` انتظر قليلا وسوف تشاهد شي مماثل لهذا : كود PHP: `[root@server ~]# rpm -ivh .rpm 1:snort ################################ [100%] 2:mysql ################################ [100%]` هكذا تم تركيب البرنامج اذا ظهرت اخطاء ارجو طرحها في الموضوع :excl: بعدها نقوم بتركيب rules القوانين : كود PHP: `cd /etc/snort wget http://www.talkinweb.net/tools/snort/rules.tar.gz tar -zxf rules.tar.gz` لتشغيل البرنامج قم بالتالي : كود PHP: `snort start` لعمل ريسترت للبرنامج كود PHP: `snort restart` لايقاف البرنامج كود PHP: `snort stop` هكذا انتهينا واصبح البرنامج معد للعمل اي استفسار انا حاضر :bye1: __________________ قريبا نقلة نوعية ....

01-11-2008, 08:26 AM	#3 (permalink)
Fedora عضو تاريخ التسجيل: Jan 2008 المشاركات: 33	وعليكم السلام ورحمة الله وبركاته بارك الله فيك اخي الكريم .. شرح مميز للغايه .. واداه رائعه انا الان اتعلمها . وفادني هالموضوع .. عندي سؤال بسيط ياليت احصل الاجابه لأني بحثت الكثير من خلال النت ولم اجد .. انا اريد ان اعمل سنيفر على الايثرنت حقي .. بهذا الأمر : كود PHP: `snort -dvi eth0` تظهر لي نتائج كثيره .. لكن السؤال الان عرفت كيف استخدم الامر واشوف الباكج .. لكن اكيف افهم الحوسه الى موجوده بالنتائج :cry: رموز واشياء غير مفهومه لدي .. هل من الممكن ان تساعدني بتفسيرها دكتورنا .. النتائج هي : كود PHP: [root@linux-server root]# snort -dvi eth0 Version 2.0.0 (Build 72) By Martin Roesch (roesch@sourcefire.com, www.snort.org) 10/29-11:08:19.902840 192.168.246.12:1025 -> 128.8.10.90:53 UDP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:73 DF Len: 45 AA E2 00 00 00 01 00 00 00 00 00 00 02 33 37 03 .............37. 32 34 36 03 31 36 38 03 31 39 32 07 69 6E 2D 61 246.168.192.in-a 64 64 72 04 61 72 70 61 00 00 0C 00 01 ddr.arpa..... =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 10/29-11:08:20.852840 192.168.246.12 -> 192.168.246.37 ICMP TTL:255 TOS:0x0 ID:13170 IpLen:20 DgmLen:40 Type:13 Code:0 ID: 25124 Seq: 0 TIMESTAMP REQUEST 62 24 00 00 02 63 E3 FD 00 00 00 00 00 00 00 00 b$...c.......... =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 10/29-11:08:20.852840 192.168.246.37 -> 192.168.246.12 ICMP TTL:128 TOS:0x0 ID:17878 IpLen:20 DgmLen:40 Type:14 Code:0 ID: 25124 Seq: 0 TIMESTAMP REPLY: Orig: 4259537666 Rtime: 40100906 Ttime: 40100906 62 24 00 00 02 63 E3 FD 2A E4 63 02 2A E4 63 02 b$...c...c..c. =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 10/29-11:08:21.852840 192.168.246.12 -> 192.168.246.37 ICMP TTL:255 TOS:0x0 ID:13170 IpLen:20 DgmLen:40 Type:13 Code:0 ID: 25124 Seq: 256 TIMESTAMP REQUEST 62 24 01 00 02 63 E7 DF 00 00 00 00 00 00 00 00 b$...c.......... =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 10/29-11:08:21.852840 192.168.246.37 -> 192.168.246.12 ICMP TTL:128 TOS:0x0 ID:17879 IpLen:20 DgmLen:40 Type:14 Code:0 ID: 25124 Seq: 256 TIMESTAMP REPLY: Orig: 3756483330 Rtime: 40101890 Ttime: 40101890 62 24 01 00 02 63 E7 DF 02 E8 63 02 02 E8 63 02 b$...c....c...c. =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ أتمنى ان افهمها طريقع مفصله يعني ايش الى طالع بالتفسير اذا امكن .. راح اكون شاكر ومقدر لك كثيرا الى اللقاء

01-12-2008, 05:42 PM	#4 (permalink)
w@hb د./ وهب بن اسحاق تاريخ التسجيل: Oct 2007 الدولة: Tunisia العمر: 17 المشاركات: 220	10/29-11:08:20.852840 192.168.246.37 -> 192.168.246.12 : هذا تاريخ وقوع عملية الاتصال ومن اي اي بي تمت Type:14 Code:0 ID: 25124 Seq: 0 TIMESTAMP REPLY: : الوقت المستعرق للطلب TIMESTAMP REPLY: الوقت المستغرق للرد على الطلب بالنسبة للبقية سوف ابحث لك عنها ان شاء الله 62 24 01 00 02 63 E7 DF 00 00 00 00 00 00 00 00 b$...c.......... : ما يعرف بـ Clone MAC Address وهو المعرف الخاص بك لدا ISP __________________ قريبا نقلة نوعية ....

05-22-2008, 11:26 PM	#6 (permalink)
الدليل عضو جديد تاريخ التسجيل: May 2008 المشاركات: 6	رد: شرح تركيب برنامج Snort \| intrusion detection system شكرا لك ولو حبيت اطول وقت الحجب هل يكون من هنا ؟ How many connections define a bad IP? Indicate that below. NO_OF_CONNECTIONS=100

05-23-2008, 04:08 PM	#7 (permalink)
w@hb د./ وهب بن اسحاق تاريخ التسجيل: Oct 2007 الدولة: Tunisia العمر: 17 المشاركات: 220	رد: شرح تركيب برنامج Snort \| intrusion detection system ليس هذا الخيار المقصود بـ : NO_OF_CONNECTIONS=100 هو عدد الاتصالات التي تتم عبر ip واحد فقط عشان يعرف البرنامج انه هجوم Dos اما بالنسبة لوقت الحجب فهوا دائم ! موفق __________________ قريبا نقلة نوعية ....

01-08-2008, 09:08 AM	#2 (permalink)
بحريني أملح عضو تاريخ التسجيل: Jan 2008 المشاركات: 54	يعطيك العافيه

01-12-2008, 06:52 PM	#5 (permalink)
Fedora عضو تاريخ التسجيل: Jan 2008 المشاركات: 33	جزاك الله الف خير استاذي .. واضح الشرح .. وننتظر البقيه .. وشكرا

05-23-2008, 05:26 PM	#8 (permalink)
الدليل عضو جديد تاريخ التسجيل: May 2008 المشاركات: 6	رد: شرح تركيب برنامج Snort \| intrusion detection system جزاك الله خير على التوضيح

05-24-2008, 01:37 AM	#9 (permalink)
w@hb د./ وهب بن اسحاق تاريخ التسجيل: Oct 2007 الدولة: Tunisia العمر: 17 المشاركات: 220	رد: شرح تركيب برنامج Snort \| intrusion detection system اعتقد هذا الخيار خاص بـ Dos-delate ؟ في اخر ملف config تجد BAN_PERIOD=100 قم بتغييرها الى ما تريد Snort اقوى بكثير وهو فعال جدا وله القدرة على التمييز بين الهجومات وصدها صد تام باذن الله اضافة الا انه يحتاج قوانين ويوجد 3 انواع منها مجانية للزورا مجانية للاعضاء مدفوعة للاعضاء __________________ قريبا نقلة نوعية ....

أدوات الموضوع
مشاهدة صفحة طباعة الموضوع أرسل هذا الموضوع إلى صديق
انواع عرض الموضوع
العرض العادي الانتقال إلى العرض المتطور الانتقال إلى العرض الشجري

LinkBacks (?) LinkBack to this Thread: http://www.talkinweb.com/topics/39/
أرسلت بواسطة	For	Type	التاريخ
شرح تركيب برنامج Snort \| intrusion detection system - مهارات سوفت	This thread	Refback	01-27-2008 04:17 PM
شرح تركيب برنامج Snort \| intrusion detection system - ::TRAIDNT FORUM::	This thread	Refback	11-07-2007 09:42 PM