Snort creará,
a parte de la estructura de directorios, un archivo
alert.ids donde
almacenará las alertas generadas.
Hay varias maneras de configurar la salida de snort, es decir, las alertas, el modo en que se almacenarán estas en el archivo
alert.ids.
Snort dispone de
siete modos de alertas en la línea de ordenes:
completo, rápido, socket, syslog, smb (WinPopup), consola y ninguna.
FAST
El
modo Alerta Rápida nos devolverá
información sobre:
tiempo, mensaje de la alerta, clasificación , prioridad de la alerta, IP y puerto de origen y destino.
C:\Snort20\bin>snort -A fast -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf
09/19-19:06:37.421286 [
] [1:620:2] SCAN Proxy (8080) attempt []
[Classification: Attempted Information Leak] [Priority: 2] ...
... {TCP} 192.168.4.3:1382 -> 192.168.4.15:8080
FULL
El
modo de Alerta Completa nos devolverá
información sobre:
tiempo, mensaje de la alerta, clasificación, prioridad de la alerta, IP y puerto de origen / destino e información completa de las cabeceras de los paquetes registrados.
C:\Snort20\bin>snort -A full -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf
[
] [1:620:2] SCAN Proxy (8080) attempt []
[Classification: Attempted Information Leak] [Priority: 2]
09/19-14:53:38.481065 192.168.4.3:3159 -> 192.168.4.15:8080
TCP TTL:128 TOS:0x0 ID:39918 IpLen:20 DgmLen:48 DF
S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28
TCP Options (4) => MSS: 1456 NOP NOP SackOK
Información de la cabecera del paquete:
TCP TTL:128 TOS:0x0 ID:39918 IpLen:20 DgmLen:48 DF
S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28
TCP Options (4) => MSS: 1456 NOP NOP SackOK
SOCKET
Snort
manda las alertas a través de un socket, para que las escuche otra aplicación.
Está opción es para
Linux / UNIX.
# snort -A unsock -c snort.conf
CONSOLE
En
modo console el programa
imprime las alarmas en pantalla.
C:\Snort20\bin>snort -A console -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf
NONE
Se
desactivan las alarmas.
# snort -A none -c snort.conf
SMB
Permite a Snort
realizar llamadas al cliente de SMB (cliente de Samba, en Linux), y
enviar mensajes de alerta a hosts Windows (WinPopUp). Evidentemente este modo es
para sistemas Linux / UNIX.
Se ha de tener presente:
- Para activar este modo de alerta, se debe compilar Snort con el conmutador de habilitar alertas SMB (enable -smbalerts).
- Para usar esta característica enviando un WinPopUp a un sistema Windows, añadiremos a la línea de comandos de snort:
-M WORKSTATIONS
SYSLOG
El programa Snort
envía las alarmas al syslog.
C:\Snort20\bin>snort -A console -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf -s
Este modo dispone de varios parámetros, que estudiaremos más adelante.
EVENTLOG
Funcionando en este modo se
registra las alertas para visualizarse a través del visor de sucesos de un sistema windows. Esta opción
se activará mediante
-E y
sólo para Win32.
PROXIMAMENTE
En
próximos capítulos avanzaremos en la
creación de reglas snort, explicando todas las opciones y seguiremos con Snort
en línea de comandos con la configuración del archivo
snort.conf.
