Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
957
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
2014
(Total:
185
)
-
▼
diciembre
(Total:
38
)
- MegaChat: el nuevo Skype con cifrado seguro de Kim...
- Hackean Modems USB 4G y tarjetas SIM usando mensaj...
- Lizard Squad para los ataques DDos a PSN y XBOX Li...
- Hackean la web de AEDE en protesta contra el canon
- El proveedor de hosting DinaHosting sufre un ataqu...
- Kodi 14 Helix, el MediaCenter libre y multiplatafo...
- Un adolescente de 17 años de Londres se declara cu...
- SMB Worm Tool es la herramienta usada en el ataque...
- Publican el código fuente de The Open Bay como Ope...
- Disponible John the Ripper 1.8.0-jumbo-1
- Vídeo demostración de BadUSB con USBdriveby en Mac...
- ShadowCrypt, una extensión de Chrome para cifrar c...
- La extensión de Chrome para cifrar e-mails llega a...
- Vulnerabilidad Misfortune Cookie - La galleta de l...
- La ICANN fue objeto de un ataque de spear phishing
- El FBI utilizó Metasploit para descubrir a usuario...
- Análisis del ransomware TorrentLocker
- Disponible Wifislax 4.10 versión Final
- Detenido a un exdirectivo de Intereconomía por con...
- UFONet - DDoS via WebAbuse - v0.4b "Infection"
- Google Zeitgeist 2014: Lo más buscado en Google
- CryptPHP el malware que afecta a WordPress, Drupal...
- Recopilación de más de 100 libros sobre programaci...
- Snort++ aka Snort 3.0 - Network intrusion preventi...
- ODROID-C1, una alternativa a la Raspberry Pi
- msfpayload y msfencode desaparecerán de Metasploit
- Conferencias de seguridad en Santander: Sh3llCON -...
- thepiratebay.cr NO es el nuevo dominio de The Pira...
- Adobe Flash Player 16 ya se encuentra disponible
- Lizard Squad amenaza con tirar Xbox Live el día de...
- Los vídeos más vistos de YouTube en 2014
- Un redada policial en Suecia deja sin servicio a T...
- Poodle también afecta a TLS 1.2
- Alerta por infecciones masivas por e-mail falso de...
- Solucionada grave vulnerabilidad CSRF en Paypal
- La red temática Criptored cumple 15 años
- (PoC) Proof of Concept Wordpress y Drupal (CVE-201...
- Samurai Web Testing Framework 3.0: LiveDVD para au...
- ► septiembre (Total: 18 )
-
▼
diciembre
(Total:
38
)
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
346
)
ransomware
(
337
)
vulnerabilidad
(
295
)
Malware
(
259
)
Windows
(
239
)
android
(
239
)
tutorial
(
232
)
cve
(
231
)
manual
(
217
)
software
(
201
)
hardware
(
189
)
linux
(
123
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
84
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
50
)
youtube
(
50
)
adobe
(
43
)
firmware
(
41
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Loki es un sistema de agregación de logs creado por GrafanaLabs, es escalable horizontalmente, puede contar con alta disponibilidad y está i...
-
Si estos días vas a cualquiera de las plataformas de venta que hay en internet y buscas un USB probablemente te encuentras con no pocos con ...
Snort++ aka Snort 3.0 - Network intrusion prevention and detection system (IDS/IPS)
martes, 16 de diciembre de 2014
|
Publicado por
el-brujo
|
Editar entrada
Snort es un detector de intrusos
basado en red Es un
software muy flexible que ofrece capacidades de almacenamiento de sus
bitácoras tanto en archivos de texto como en bases de datos abiertas
como lo es MySQL.
Implementa un motor de detección de ataques y barrido de puertos que
permite registrar, alertar y responder ante cualquier anomalía
previamente definida. Así mismo existen herramientas de terceros para
mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos.
Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux
Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.
Algunas de las características deseables para un IDS son:
Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.
Then do one of the following:
Notas:
It does not yet have much on the how and why, but it does have all the currently available configuration, etc. Some key changes to rules:
Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux
Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.
Algunas de las características deseables para un IDS son:
- Deben estar continuamente en ejecución con un mínimo de supervisión.
- Se deben recuperar de las posibles caídas o problemas con la red.
- Debe poderse analizar él mismo y detectar si ha sido modificado por un atacante.
- Debe utilizar los mínimos recursos posibles.
- Debe estar configurado acorde con la política de seguridad seguida por la organización.
- Debe de adaptarse a los cambios de sistemas y usuarios y ser fácilmente actualizable.
Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.
Project = Snort++
Binary = snort
Version = 3.0.0-a1
Novedades
- Diseño fácil de usar
- Queríamos que sea lo más fácil posible para que la gente aprenda y ejecutar Snort - eso significa que la memoria no más de configuración, los puertos, los argumentos, etc.
- Construido en Documentación
- Built-in de configuración
- Error y apoyo error Multi
- Verificación de la configuración en el arranque (no más tener que ejecutar "-T" para el modo de prueba)
- Más sencillo lenguaje de reglas
- Estamos haciendo que sea más sencillo para escribir reglas.
- tampones Sticky
- Tampones HTTP personalizado
- Auto-Detección de todos los protocolos
- De línea de comandos Shell
- Seguro a localhost
- Permite a alguien para volver a cargar una configuración
- Le permite pausar y reanudar la detección
- Multiproceso y de varios núcleos
- Todo el nuevo diseño para multithreading, manteniendo una única configuración persistente para muchos hilos.
Descargas
Hay dos versiones disponibles, uno para autotools y el otro para cmake:snort-3.0.0-a1-130-auto.tar.gz snort-3.0.0-a1-130-cmake.tar.gz
Instalando Snort
export my_path=/path/to/snorty tar zxf snort-tarball cd snort-3.0.0*
Then do one of the following:
- con autotools
./configure --prefix=$my_path make -j 8 install
- Con cmake y make, run configure_cmake.sh.
./configure_cmake.sh --prefix=$my_path cd build make -j 8 install
Notas:
- If you can do src/snort -V you built successfully.
- If you are familiar with cmake, you can run cmake/ccmake instead of configure_cmake.sh.
- cmake --help will list any available generators, such as Xcode. Feel free to use one, however help with those will be provided in a later post.
SNORT en funcionamiento
Entorno:export LUA_PATH=$my_path/include/snort/lua/\?.lua\;\; export SNORT_LUA_PATH=$my_path/etc/snort
- Snort++ proporciona mucha ayuda desde la línea de comandos. Ejemplos:
$my_path/bin/snort --help $my_path/bin/snort --help-module suppress $my_path/bin/snort --help-config | grep thread
- Examinnar un dump de pcap:
$my_path/bin/snort -r pcap $my_path/bin/snort -K text -d -e -q -r pcap
- Verificar la configuración, con o sin reglas:
$my_path/bin/snort -c $my_path/etc/snort/snort.lua $my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules
- Run IDS mode. In the following, replace a.pcap with your favorite. pcaps/ is a directory with one or more *.pcap files:
$my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules \ -r a.pcap -A alert_test -n 100000
- Let's suppress 1:2123. We could edit the conf or just do this:
$my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules \ -r a.pcap -A alert_test -n 100000 --lua "suppress = { { gid = 1, sid = 2123 } }"
- Go whole hog on a directory with multiple packet threads:
$my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules \ --pcap-filter \*.pcap --pcap-dir pcaps/ -A alert_fast --max-packet-threads 8
Documentación
$my_path/share/doc/snort/snort_manual.pdf $my_path/share/doc/snort/snort_manual.html $my_path/share/doc/snort/snort_manual/index.html
It does not yet have much on the how and why, but it does have all the currently available configuration, etc. Some key changes to rules:
- you must use comma separated content sub options like this: content:"foo", nocase;
- buffer selectors must appear before the content and remain in effect until changed
- pcre buffer selectors were deleted
- check the manual for more on Snort++ vs Snort
- check the manual reference section to understand how parameters are defined, etc.
- snort2lua, a tool to convert Snort 2.X conf and rules to the new form
- a new HTTP inspector, new_http_inspect - incomplete but off to a good start
- a binder, for mapping configuration to traffic
- a wizard for port-independent configuration
- improved rule parsing - arbitrary whitespace, C style comments, #begin/#end comments
- local and remote command line shell
Dependencias
- autotools or cmake to build from source
- g++ >= 4.8 or other C++11 compiler
- daq from http://www.snort.org for packet IO
- dnet from http://code.google.com/p/libdnet/ for network utility functions
- LuaJIT from http://luajit.org for configuration and scripting
- pcap from http://www.tcpdump.org for tcpdump style logging
- pcre from http://www.pcre.org for regular expression pattern matching
- zlib from http://www.zlib.net for decompression
- pkgconfig from http://www.freedesktop.org to build the example plugins
COMANDOS DE SNORT
Los siguientes son los comandos que se pueden utilizar en Snort para obtener las diferentes funcionalidades:- -A Set alert mode: fast, full, console, or none //(alert file alerts only)//
- -b Log packets in tcpdump format //(much faster!)//
- -c
Use Rules File - -C Print out payloads with character data only //(no hex)//
- -d Dump the Application Layer
- -e Display the second layer header info
- -E Log alert messages to NT Eventlog. //(Win32 only)//
- -f Turn off fflush() calls after binary log writes
- -F
Read BPF filters from file - -h
Home network = - -i
Listen on interface - -I Add Interface name to alert output
- -k
Checksum mode //(all,noip,notcp,noudp,noicmp,none)// - -l
Log to directory - -L
Log to this tcpdump file - -n
Exit after receiving packets - -N Turn off logging (alerts still work)
- -o Change the rule testing order to Pass|Alert|Log
- -O Obfuscate the logged IP addresses
- -p Disable promiscuous mode sniffing
- -P
Set explicit snaplen of packet //(default: 1514)// - -q Quiet. Don't show banner and status report
- -r
Read and process tcpdump file - -R
Include 'id' in snort_intf .pid file name - -s Log alert messages to syslog
- -S
Set rules file variable n equal to value v - -T Test and report on the current Snort configuration
- -U Use UTC for timestamps
- -v Be verbose
- -V Show version number
- -W Lists available interfaces. //(Win32 only)//
- -w Dump 802.11 management and control frames
- -X Dump the raw packet data starting at the link layer
- -y Include year in timestamp in the alert and log files
- -z Set assurance mode, match on established sesions //(for TCP)//
Enviar por correo electrónico
Escribe un blog
Compartir con Twitter
Compartir con Facebook
Compartir en Pinterest
Etiquetas:
herramientas
,
ids
,
internet
,
ips
,
Networking
,
redes
,
security
,
sniffer
,
sysadmin
,
tools
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.