Scribd Logo
Unggah

Selamat datang di Scribd!

  • Tutorial Snort

    Diunggah oleh

    Runi Runtu
    9 tayangan2 halaman
    informatika, step hacking

    Judul Asli

    tutorial snort

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    DOCX, PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini
    informatika, step hacking

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai DOCX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    9 tayangan2 halaman

    Tutorial Snort

    Diunggah oleh

    Runi Runtu
    informatika, step hacking

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai DOCX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 2

    Langkah-langkah penggunaan SNORT

    1.
    $ sudo snort -v
    Running in packet dump mode
    --== Initializing Snort ==-Initializing Output Plugins!
    pcap DAQ configured to passive.
    Acquiring network traffic from "eth0".
    Decoding Ethernet
    --== Initialization Complete ==-,,_
    -*> Snort! <*o" )~
    Version 2.9.0.5 (Build 135)
    ''''
    By
    Martin
    Roesch
    &
    The
    Snort
    http://www.snort.org/snort/snort-team
    Copyright (C) 1998-2011 Sourcefire, Inc., et al.
    Using libpcap version 1.1.1
    Using PCRE version: 8.12 2011-01-15

    Team:

    Commencing packet processing (pid=31839)


    06/05-12:07:03.524481 192.168.1.200:45263 -> 192.168.1.5:53
    UDP TTL:64 TOS:0x0 ID:63753 IpLen:20 DgmLen:73 DF
    Len: 45
    =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
    =+=+=+=+
    06/05-12:07:03.582863 192.168.1.5:53 -> 192.168.1.200:45263
    UDP TTL:255 TOS:0x0 ID:4887 IpLen:20 DgmLen:186 DF
    Len: 158
    ...
    ==================================================================
    =============
    Run time for packet processing was 27.619079 seconds
    Snort processed 19 packets.
    Snort ran for 0 days 0 hours 0 minutes 27 seconds
    Pkts/sec:
    0
    ==================================================================
    =============

    2. Untuk mencatat rekaman packet ke dalam file teks, Snort bisa dijalankan dengan
    memberikan perintah seperti
    snort -dev -l ./log

    3. Untuk menjalankan Snort sebagai daemon (background process yang terus


    berjalan)

    snort -d -l /var/log/snort.log -c /etc/snort.conf -D

    4. Gunakan preprocessor untuk memakai processor yang sudah disediakan oleh


    Snort. Sebagai contoh, untuk mendeteksi terjadinya port scanning, tambahkan
    konfigurasi berikut:
    preprocessor stream5_global:\
    track_tcp yes, track_udp yes, track_icmp yes
    preprocessor stream5_tcp:\
    policy first
    preprocessor stream5_udp
    preprocessor stream5_icmp
    preprocessor sfportscan:\
    proto { all } \
    scan_type { all } \
    sense_level { high }

    5. Konfigurasi di atas akan memakai preprocessor sfPortScan dari Source Fire.


    Syarat untuk memakai sfPortScan adalah menggunakan preprocessor Stream5.
    Sekarang, bila seseorang melakukan port scanning (yang merupakan tahap awal
    dalam serangan), misalnya dengan menggunakan tool Nmap:
    $ nmap -A -v 192.168.1.1

    Maka, Snort akan menghasilkan alert seperti berikut ini:


    [**] [122:1:0] (portscan) TCP Portscan [**]
    [Priority: 3]
    06/06-03:34:13.052153 192.168.1.49 -> 192.168.1.1
    PROTO:255 TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:158 DF

    Alert tersebut menunjukkan bahwa seseorang dari IP 192.168.1.49


    melakukan port scanning untuk komputer dengan IP 192.168.1.1

    Anda mungkin juga menyukai