- •Компьютерные преступления методические указания к выполнению практических занятий по учебной дисциплине
- •090301 «Компьютерная безопасность»
- •2.1.1 Классификации механизмов защиты программного обеспечения (по)
- •2.1.2 Исследование программы Denoiser
- •2.1.3 Физические и виртуальные адреса
- •2.1.3 Вопросы для самоконтроля
- •2.2.1 Восстановление с помощью fsck
- •2.2.3 Вопросы для самоконтроля
- •2.3 Практическая работа №3: «Изучение работы Snort - свободной сетевой системы предотвращения вторжений (ips)»
- •2.3.1 Общие положения
- •2.3.2 Установка Snort (Windows xp)
- •2.3.3 Режим снифера
- •2.3.4 Режим регистратора пакетов
- •2.3.5 Режим обнаружения сетевых вторжений
- •2.3.6 Создание собственных правил Snort
- •2.3.7 Написание контекстных правил (подключение препроцессоров)
- •2.3.8 Подключение препроцессора Portscan
- •2.3.9 Вопросы для самоконтроля
- •2.4 Практическая работа №4 «Анализ антивирусного программного обеспечения»
- •2.4.1 Общие положения
- •2.4.2 Классификация антивирусных продуктов
- •2.4.3 Выполнение практической работы
- •2.4.4 Вопросы для самоконтроля
- •2.5 Практическая работа № 5: «Стеганография. Использование программ скрытого шифрования»
- •2.5.1 Основные понятия и определения стеганографии
- •2.5.2 Методы, технологии, алгоритмы
- •2.5.3. Практическая реализация
- •2.5.3.1 Работа с s-Tools
- •2.5.4 Программа ImageSpyer
- •1. Общие положения 1
- •1.1 Цель и задачи практических занятий 1
- •2.3.1 Общие положения 21
- •2.4.1 Общие положения 37
- •Компьютерные преступления методические указания к выполнению практических занятий по учебной дисциплине
- •090301 «Компьютерная безопасность»
- •394026 Воронеж, Московский просп., 14
2.3.2 Установка Snort (Windows xp)
1. Запустите файл Snort_2_9_2_1_Installer.exe и следуете процедуре установки, оставив все настройки по умолчанию
2. После установки замените C:\Snort\etc\snort.config на snort.config из папки с установочным файлом
3. Запустите командную строку (cmd) от имени администратора и перейдите в каталог
cd C:\Snort\bin
4. Выполните команду (см. рис. 10)
snort –W
в случае успешной установки будет выведен список сетевых устройств
Рис. 10. Результат выполнения команды snort –W
5. Краткую справку о синтаксисе командной строки snort можно получить выполнив команду
snort -?
2.3.3 Режим снифера
В режиме анализа пакетов, Snort просто читает пакеты, приходящие из сети, и выводит их на экран. Указателем режима снифера является наличие в командной строке snort опций -v, -d или -e. Опция -v разрешает вывести IP-, TCP-, UDP- и ICMP-заголовки пакетов. Опция -d – данные пакетов. Опция -e – Ethernet-заголовки. Опции могут быть заданы в любой форме, например: "snort -vde", "snort -d -ev" и "snort -e -v -d".
Выполните, что бы получить заголовки пакетов
snort –v
подробный вывод, включающий заголовки канального уровня
snort –vde
заголовки и данные TCP-пакетов
snort -vd tcp
то же самое, но для ICMP-пакетов
snort -v -d icmp
Snort будет собирать информацию до тех пор, пока вы его не прервете. Для завершения захвата пакетов нажмите Ctrl-C. После нажатия Ctrl-C будет выведен отчет о захваченных пакетах (см. рис. 11).
Рис. 11. Отчет о захваченных пакетах
Что бы прервать захват пакетов, после получения определенного числа пакетов, например 10, выполните (см. рис. 12)
snort -v -n 10
Рис. 12. Результат выполнения команды snort -v -n 10
2.3.4 Режим регистратора пакетов
Режим регистратора пакетов позволяет вам записывать поток информации на диск. Это полезно при проведении анализа за определенный интервал времени или проверки изменений в настройках и политике безопасности. Указателем режима регистратора пакетов является наличие в командной строке опции –l. Так же нужно указать существующий каталог для логов[6]
snort -dev -l C:\Snort\log
В каталоге log (см. рис.13) появится файл с информацией о пакетах, который будет сохранен в формате tcpdump.
Рис. 13. Каталог log
Для того чтобы прочитать информацию из snort.log.1331245353 введите команду (см. рис. 14)
snort –dev –r C:\Snort\log\snort.log.1331245353
Рис. 14. Окно информации из snort.log.1331245353
2.3.5 Режим обнаружения сетевых вторжений
Третий режим Snort, это режим обнаружения сетевых вторжений (Network Intrusion Detection, NIDS). Snort работает с предварительно заданными шаблонами вредоносного трафика, называемыми правилами (rules), которые позволяют определить, какой трафик в сети является вредоносным, а какой - нет. Это похоже на антивирусные программы, так как правила нужно периодически обновлять. Snort может обнаружить только известные атаки, так что необходимо регулярно обновлять базы правил.
Правила имеют достаточно простой синтаксис
<action> <protocol> <first host> <first port> <direction> <second host> <second port> (<rule options>;)