banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Làm sao để viết được snort rule  XML
  [Question]   Làm sao để viết được snort rule 03/03/2009 15:14:38 (+0700) | #1 | 171727
coolie
Member

[Minus]    0    [Plus]
Joined: 16/03/2008 02:14:20
Messages: 13
Offline
[Profile] [PM]
Em đang tìm hiểu về snort. Trong snort cái phần quan trọng nhất là làm sao để có thể viết được rule và tạo signature, nhưng em lại gà mờ phần này quá
Ví dụ một rule nó như thế này:

Code:
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"DDOS Stacheldraht client check gag"; icmp_id:668; itype:0; content:"gesundheit!"; metadata:policy balanced-ips drop, policy security-ips drop; reference:arachnids,194; reference:cve,2000-0138; classtype:attempted-dos; sid:236; rev:9;)


Em chỉ hiểu đượccấu trúc của nó như sau:
alert: Rule action
icmp: Protocol
msg: message thông báo
sid: cái signature trong thư mục signatures của snort

Còn những thành phần khác: icmp_id, itype, content, reference,.....em không làm sao hiểu được nó ở đâu ra và có ý nghĩa như thế nào. Khi viết rule liệu có nhất thiết phải có đủ những thành phần này không.
Nhất là phần content, theo em cái phần content là content của packet mà snort capture được, nhưng làm sao để biết được content của một packet để viết rule bây giờ.
Về phần sid, làm sao để có thể tạo signature của kiểu tấn công trên nhỉ.
Hic, rắc rối quá. Làm sao để có thể tạo được một rule đơn giản bây giờ?
Ai giúp em những thắc mắc này với.
Ví dụ như em muốn alert khi có một người dùng trong mạng của mình download quá 100MB từ 1h-2h liệu có được không nhỉ smilie
[Up] [Print Copy]
  [Question]   Re: Làm sao để viết được snort rule 03/03/2009 18:17:55 (+0700) | #2 | 171736
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Vào /book/fw-ids.html download cuốn Snort 2.1 Intrusion Detection, Second Edition để đọc và thực hành. Đừng đọc lướt, đừng vội tạo ra rules mà phải đọc và hiểu snort có khả năng nào, nó đóng vai trò gì. Sau đó mới xem đến rule. Chú trọng phần cấu trúc của rule và lý do tại sao một rule có những phần khác nhau. Thông suốt rồi mới nghĩ đến chuyện tạo rule.

Tuy nhiên, nếu không nắm vững giao thức mạng và đặc biệt giao thức mạng cụ thể của cái mình muốn tạo rule: sẽ không thể tạo được rule. Snort là công cụ nhưng mình không hiểu sẽ đưa cái gì vào công cụ để nó thực hiện cho mình thì chẳng có gì để thực hiện cả.


Ví dụ như em muốn alert khi có một người dùng trong mạng của mình download quá 100MB từ 1h-2h liệu có được không nhỉ 


Không. Hỏi câu này chứng tỏ không hiểu về snort và chưa hiểu về giao thức mạng.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Làm sao để viết được snort rule 04/03/2009 07:01:05 (+0700) | #3 | 171816
vnexpl0it
Member

[Minus]    0    [Plus]
Joined: 16/02/2009 17:51:52
Messages: 5
Offline
[Profile] [PM] [WWW] [Yahoo!]

coolie wrote:

Còn những thành phần khác: icmp_id, itype, content, reference,.....em không làm sao hiểu được nó ở đâu ra và có ý nghĩa như thế nào. Khi viết rule liệu có nhất thiết phải có đủ những thành phần này không.
Nhất là phần content, theo em cái phần content là content của packet mà snort capture được, nhưng làm sao để biết được content của một packet để viết rule bây giờ.
Về phần sid, làm sao để có thể tạo signature của kiểu tấn công trên nhỉ.
Hic, rắc rối quá. Làm sao để có thể tạo được một rule đơn giản bây giờ?
Ai giúp em những thắc mắc này với.
Ví dụ như em muốn alert khi có một người dùng trong mạng của mình download quá 100MB từ 1h-2h liệu có được không nhỉ smilie  


- Tất nhiên là không nhất thiết phải có tất cả các thành phần đó trong rule roài. Đó có thể coi là Option thôi smilie . Ví dụ content thường là sử dụng để phát hiện nội dung kiểu như virus, shell,... có trong các gọi tin nên thường dùng trong các luật phát hiện các cuộc tấn công smilie

- Mình thử lấy ví dụ một luật chặn việc gói tin ping lớn hơn 100MB nhé :

Alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg : “NAY THI PING NAY”; dsize : > 100MB ; reference: hvaonline.net)

Nếu là download như bạn muốn thì thường sẽ là TCP, cổng 80!

- Có Plugin cho phép cấu hình rule bằng GUI. Nhưng mà theo mình dùng tay cho PRO smilie

Lâu roài không đụng đến cái này, bạn nói đến nhớ lại thì tham gia nói leo, có gì không đúng thì các bác đừng cười nhá smilie
[Up] [Print Copy]
  [Question]   Re: Làm sao để viết được snort rule 05/03/2009 15:53:40 (+0700) | #4 | 171986
coolie
Member

[Minus]    0    [Plus]
Joined: 16/03/2008 02:14:20
Messages: 13
Offline
[Profile] [PM]
Thanks các anh, em đã hiểu ra được nhiều thứ. Những thuật từ như dsize, metadata, classtype, reference,....em tham khảo ở tài liệu nào bây giờ nhỉ.
Em có dùng wireshark và windump capture các packet để xem content của nó, nhưng em không rõ phần nào là content của nó để add vào rule?
Đây là packet capture khi em ping google.com



[Up] [Print Copy]
  [Question]   Re: Làm sao để viết được snort rule 05/03/2009 17:34:34 (+0700) | #5 | 171988
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

coolie wrote:
Thanks các anh, em đã hiểu ra được nhiều thứ. Những thuật từ như dsize, metadata, classtype, reference,....em tham khảo ở tài liệu nào bây giờ nhỉ.
Em có dùng wireshark và windump capture các packet để xem content của nó, nhưng em không rõ phần nào là content của nó để add vào rule?
Đây là packet capture khi em ping google.com



 


Bồ đọc tài liệu tôi cho ở trên chưa vậy?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Làm sao để viết được snort rule 05/03/2009 18:18:07 (+0700) | #6 | 171989
[Avatar]
bichdu
Member

[Minus]    0    [Plus]
Joined: 11/09/2007 04:35:53
Messages: 26
Offline
[Profile] [PM] [Yahoo!]
Chắc chắn là chưa. Mà có thể còn chưa biết Snort là gì. IDPS là gì nữa cơ. smilie
Tiện thể cho em hỏi em muốn xây dựng một IPS đơn giản, thì cần ít nhất là bao nhiêu lâu? Em chỉ có thể làm vào các buổi tối thôi.
[Up] [Print Copy]
  [Question]   Re: Làm sao để viết được snort rule 06/03/2009 13:42:05 (+0700) | #7 | 172110
coolie
Member

[Minus]    0    [Plus]
Joined: 16/03/2008 02:14:20
Messages: 13
Offline
[Profile] [PM]

conmale wrote:

coolie wrote:
Thanks các anh, em đã hiểu ra được nhiều thứ. Những thuật từ như dsize, metadata, classtype, reference,....em tham khảo ở tài liệu nào bây giờ nhỉ.
Em có dùng wireshark và windump capture các packet để xem content của nó, nhưng em không rõ phần nào là content của nó để add vào rule?
Đây là packet capture khi em ping google.com



 


Bồ đọc tài liệu tôi cho ở trên chưa vậy? 


Hic, Bây giờ em mới biết smilie . Đúng là tài liệu hay. Thanks anh nhìu lắm smilie
[Up] [Print Copy]
  [Question]   Re: Làm sao để viết được snort rule 13/03/2009 04:33:18 (+0700) | #8 | 173003
coolie
Member

[Minus]    0    [Plus]
Joined: 16/03/2008 02:14:20
Messages: 13
Offline
[Profile] [PM]
Em dùng wireshark để đọc content của packet nhưng vẫn không biết làm thế nào để xác định được cái content nào thuộc byte thứ bao nhiêu để có thể đặt option offset và depth cho rule.
Ai có thể cho em một ví dụ cụ thể được không ạ?
[Up] [Print Copy]
  [Question]   Re: Làm sao để viết được snort rule 14/03/2009 00:51:11 (+0700) | #9 | 173098
coolie
Member

[Minus]    0    [Plus]
Joined: 16/03/2008 02:14:20
Messages: 13
Offline
[Profile] [PM]
Ai chỉ giùm em với :-s
[Up] [Print Copy]
  [Question]   Re: Làm sao để viết được snort rule 15/03/2009 10:55:37 (+0700) | #10 | 173253
Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
coolie,

Có 2 cách để tìm offset: 1. Cách "nông dân" là đếm số lượng byte từ đầu gói tin đến chỗ cần thiết. Mỗi cái 0x__ là một byte. Cứ thế mà đếm smilie Cách hai là sử dụng cột số đầu tiên khi sử dụng wireshark. Cột đầu tiên đã đếm số byte offset theo từng 16bytes (0x10) so với đầu gói tin.

khoai
[Up] [Print Copy]
  [Question]   Làm sao để viết được snort rule 24/10/2009 00:25:40 (+0700) | #11 | 196496
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Giới thiệu với mọi người một công cụ để check snort rules: http://leonward.wordpress.com/dumbpig/
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Làm sao để viết được snort rule 09/11/2010 16:39:02 (+0700) | #12 | 224557
genius1611
Member

[Minus]    0    [Plus]
Joined: 01/07/2010 01:24:55
Messages: 12
Offline
[Profile] [PM]
Lôi pic cũ này lên vì ngại lập pic cũ quásmilie
Em viết 1 rules đơn giản như sau để test snort:
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"Test snort"smilie
Sau khi em khởi động lại snort theo lệnh :service snortd restart thì bị lỗi khi start
Vậy các bác cho em hỏi ngoài chỉnh sửa rules ở trong icmp.rules thì chúng ta còn phải chỉnh sửa thay đổi ở đâu nữa không ạ smilie(
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|