H4x0r
./ عضو
السلام عليكم
في الجزء هذا رح نبلش نشتغل على الاداة يفترض انك نزلت الاداة هسا رح نبلش نمشي مع بعض خطوة بخطوة حتى نقدر نشتغل مع بعض …
اول اشي خلونا نتأكد انو الادة نازلة او لا عن طريق هذا الامر في terminal
اذا طلع عندك out معناها ال tool نازلة و الامور تمام
رح احط اول اشي بعض السويتشز يلي رح نستخدمها مع الاداة طبعا رح يكون في اشي بلغة الانجليزية و شرح بلغة العربية
قبل ما نبلش ، لازم نتأكد من صلاحية ملف التكوين الخاص بنا.
هنا يتم استخدام “-T” لاختبار التكوين، و"-c" لتعريف ملف التكوين (snort.conf).
لاحظ أنه من الممكن استخدام ملف تكوين إضافي من خلال الإشارة إليه بـ “-c”.
بمجرد أن نستخدم ملف التكوين رح تصير Snort أكثر قوة ملف التكوين هو ملف إدارة الكل في واحد لـ Snort.
تم تحديد القواعد والمكونات الإضافية وآليات الكشف والإجراءات الافتراضية وإعدادات الإخراج هنا من الممكن يكون عندك ملفات تكوين متعددة لأغراض وحالات مختلفة، لكن يمكن استخدام ملف واحد فقط في وقت التشغيل. وهذا الملف من نفس الاداة ممكن انتا تكتب ملفاتك حسب السيناريو او بيئة يلي بتشتغل فيها .
لاحظ أنه في كل مرة بتشغيل Snort، سيظهر تلقائيًا الشعار الافتراضي والمعلومات الأولية حول الإعداد الخاص بك يمكنك الغاء ظهور الشعار و المعلومات باستخدام → “-q”.
في الجزء هذا رح نبلش نشتغل على الاداة يفترض انك نزلت الاداة هسا رح نبلش نمشي مع بعض خطوة بخطوة حتى نقدر نشتغل مع بعض …
اول اشي خلونا نتأكد انو الادة نازلة او لا عن طريق هذا الامر في terminal
اذا طلع عندك out معناها ال tool نازلة و الامور تمام
رح احط اول اشي بعض السويتشز يلي رح نستخدمها مع الاداة طبعا رح يكون في اشي بلغة الانجليزية و شرح بلغة العربية
قبل ما نبلش ، لازم نتأكد من صلاحية ملف التكوين الخاص بنا.
هنا يتم استخدام “-T” لاختبار التكوين، و"-c" لتعريف ملف التكوين (snort.conf).
لاحظ أنه من الممكن استخدام ملف تكوين إضافي من خلال الإشارة إليه بـ “-c”.
بمجرد أن نستخدم ملف التكوين رح تصير Snort أكثر قوة ملف التكوين هو ملف إدارة الكل في واحد لـ Snort.
تم تحديد القواعد والمكونات الإضافية وآليات الكشف والإجراءات الافتراضية وإعدادات الإخراج هنا من الممكن يكون عندك ملفات تكوين متعددة لأغراض وحالات مختلفة، لكن يمكن استخدام ملف واحد فقط في وقت التشغيل. وهذا الملف من نفس الاداة ممكن انتا تكتب ملفاتك حسب السيناريو او بيئة يلي بتشتغل فيها .
لاحظ أنه في كل مرة بتشغيل Snort، سيظهر تلقائيًا الشعار الافتراضي والمعلومات الأولية حول الإعداد الخاص بك يمكنك الغاء ظهور الشعار و المعلومات باستخدام → “-q”.
خلونا نبلش نطبق بعض الامور بالاداة →
Let’s run Snort in Sniffer Mode
مثل tcpdump، في المقال الاول تكلمت حول انو ممكن تعمل وظيفة tcpdump (Sniffer ) .
يتم شرح السويتشز يلي بنستخدمها في وضع Sniffer ؛
لنبدأ باستخدام كل السوتش ونشوف الفرق بينها. يحتاج Snort إلى traffic نشطة ، لذلك نحتاج إلى إنشاء traffic عشان نشوف Snort أثناء العمل انا رح استخدم tryhackme عشان يكون في سيناريو جاهز يفي بالغرض. و رح نشرح كل سويتش شو بعمل و كيف ممكن اشغلو على الانترنت في البيئة الحالية :
Sniffing with parameter “-v”
Start the Snort instance in verbose mode (-v);
الان بدي اعمل traffic → (ICMP/HTTP)
لما اشغل snort و استخدم -v رح يبلش يعرض ال traffic بهذا الشكل :
زي ما انتا شايف في الإخراج يوفر وضع التنصت tcpdump مثل معلومات الإخراج بمجرد أن نقطع عملية sniffباستخدام CTRL+C، فإنه يتوقف ويلخص الحزم الي عمل عليه تنصت .
Sniffing with parameter “-d”
Start the Snort instance in dumping packet data mode (-d);
رح نشغل السويتش على نفس ال traffic خلونا نشوف شو بطلع نتائج :
رح يعرض packet data payload mode covers
Sniffing with parameter “-de”
Start the Snort instance in dump (-d) and link-layer header grabbing (-e) mode;
Sniffing with parameter “-X”
Start the Snort instance in full packet dump mode (-X);
هون زي ما انتو شايفين رح يعرض الحمولة كاملة
لاحظ أنه يمكنك استخدام السويتش بشكل مدمج ومنفصل على النحو التالي؛
مثل tcpdump، في المقال الاول تكلمت حول انو ممكن تعمل وظيفة tcpdump (Sniffer ) .
يتم شرح السويتشز يلي بنستخدمها في وضع Sniffer ؛
لنبدأ باستخدام كل السوتش ونشوف الفرق بينها. يحتاج Snort إلى traffic نشطة ، لذلك نحتاج إلى إنشاء traffic عشان نشوف Snort أثناء العمل انا رح استخدم tryhackme عشان يكون في سيناريو جاهز يفي بالغرض. و رح نشرح كل سويتش شو بعمل و كيف ممكن اشغلو على الانترنت في البيئة الحالية :
Sniffing with parameter “-v”
Start the Snort instance in verbose mode (-v);
sudo snort -vالان بدي اعمل traffic → (ICMP/HTTP)
لما اشغل snort و استخدم -v رح يبلش يعرض ال traffic بهذا الشكل :
زي ما انتا شايف في الإخراج يوفر وضع التنصت tcpdump مثل معلومات الإخراج بمجرد أن نقطع عملية sniffباستخدام CTRL+C، فإنه يتوقف ويلخص الحزم الي عمل عليه تنصت .
Sniffing with parameter “-d”
Start the Snort instance in dumping packet data mode (-d);
sudo snort -dرح نشغل السويتش على نفس ال traffic خلونا نشوف شو بطلع نتائج :
رح يعرض packet data payload mode covers
Sniffing with parameter “-de”
Start the Snort instance in dump (-d) and link-layer header grabbing (-e) mode;
snort -d -e orsnort -deSniffing with parameter “-X”
Start the Snort instance in full packet dump mode (-X);
sudo snort -Xهون زي ما انتو شايفين رح يعرض الحمولة كاملة
لاحظ أنه يمكنك استخدام السويتش بشكل مدمج ومنفصل على النحو التالي؛
- snort -v
- snort -vd
- snort -de
- snort -v -d -e
- snort -X
*ملاحظة : انا بفرض انو انتا عندك معلومات كافية في الشبكات و تحليل ال traffic بهذا المقال بمستعرض الادة بشكل مبسط حتى تكون كمرجع سهل و بسيط
الجزء الثالث [اضغط هنا]
الجزء الثالث [اضغط هنا]
التعديل الأخير بواسطة المشرف:
