Buscar Más buscado

Taller de Sistemas de detección de intrusiones SNORT - Alert. Ids: Fichero de alerta generado por SNORT

13 - Alert. Ids: Fichero de alerta generado por SNORT

[editar]
Tutorial creado por Alfon. Extraido de: http://www.nautopia.net
16 de Diciembre de 2005
< anterior | 1 ... 11 12 13 14 15 16 17 ... 23 | siguiente >

El fichero Alert.ids es el archivo donde se almacenarán las alertas y registros de paquetes generados por Snort. Tiene un formato ASCII plano, fácilmente editable por cualquier procesador de textos.

Alert.ids está ubicado en el directorio /log dentro de la carpeta donde se realizó la instalación, normalmente C:\Snort.

*En este directorio también se almacenarán otros ficheros, como los relacionados a salidas o registros del preprocesador de scan de puertos o los registros de alertas asociados a la dirección IP que generó la alerta.

Para mejor comprensión de las alertas generadas por Snort, podemos configurar desde IDSCenter dos tipos de alertas:

  1. Set alert mode FAST o Alerta Rápida
  2. Set alert mode FULL o Alerta Completa

El modo Alerta Rápida nos devolverá información sobre: tiempo, mensaje de la alerta, clasificación , prioridad de la alerta, IP y puerto de origen y destino.

El modo de Alerta Completa nos devolverá información sobre: tiempo, mensaje de la alerta, clasificación, prioridad de la alerta, IP y puerto de origen/destino e información completa de las cabeceras de los paquetes registrados.

Para configurar estos dos modos:

Panel Log setting > Logging parameters

Marcamos en "Set alert mode (desactivate with Snort MySQL...)" y a continuación entre Full y Fast. Terminada la operación Aplicamos la regla ("Apply") y "Start Snort".

Veamos dos ejemplos:

Se trata de dos simples accesos a un servidor proxy ubicado en el puerto 8080 de la máquina destino IP: 192.168.4.15 por parte del host IP: 192.168.4.3 que realiza la conexión mediante el puerto 1382 en el primer caso y 3159 en el segundo.

Snort clasifica o describe esta alerta como un intento de pérdida de información, clasificado como prioridad 2.

  • Modo Alerta Rápida:

09/19-19:06:37.421286 [**] [1:620:2] SCAN Proxy (8080) attempt [**]
[Classification: Attempted Information Leak] [Priority: 2] ...
... {TCP} 192.168.4.3:1382 -> 192.168.4.15:8080

  • Modo Alerta Completa:

[**] [1:620:2] SCAN Proxy (8080) attempt [**]

[Classification: Attempted Information Leak] [Priority: 2]

09/19-14:53:38.481065 192.168.4.3:3159 -> 192.168.4.15:8080

TCP TTL:128 TOS:0x0 ID:39918 IpLen:20 DgmLen:48 DF

******S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28

TCP Options (4) => MSS: 1456 NOP NOP SackOK

Información de la cabecera del paquete:

TCP TTL:128 TOS:0x0 ID:39918 IpLen:20 DgmLen:48 DF

******S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28

TCP Options (4) => MSS: 1456 NOP NOP SackOK

[editar]
< anterior | 1 ... 11 12 13 14 15 16 17 ... 23 | siguiente >

Opinar
5 opiniones

excelente

la verdad coincido con Pedro Chohen es un gran aporte.
Muy bueno

Buen manual y completo para comenzar en el uso de esta herramienta
Excelente

Excelente Manual muy detallado, gracias
Muy bueno.

Muy buen tutorial y quien dijo
que es poco explicito que no le eche la culpa a los demas de ser tan cerrado
ojala hubieran mas de este tipo
de verdad muy bueno.
Ids.

Un buen curso para estar en internet y gratis. Tendrían que haber más de estos.

Tutoriales relacionados con 'Taller de Sistemas de detección de intrusiones SNORT'

Taller de Sistemas de detección de intrusiones SNORT
Vamos a ver cómo funciona Snort en todas sus facetas, instalación y configuración (sistemas Windows),... Más »
Taller de TcpDump / WinDump: Analizando la Red
Una de las actividades más comunes en la administación de una red o administración de... Más »

Anuncios Google

Autor y licencia de 'Taller de Sistemas de detección de intrusiones SNORT'


Tutorial de Alfon. Extraido de: http://www.nautopia.net CopyLeft
Debe reconocer los créditos de la obra de la manera especificada por el autor o el licenciador.
Este contenido ha sido recopilado por el equipo de Wikilearning. Todo el contenido recopilado se ha obtenido respetando y comunicando en nuestro site la licencia de cada fuente.
Wikilearning tiene permiso expreso por escrito de los autores para publicar los contenidos que ha extraído de otras webs, incluyendo su uso comercial.