Snort (Packet Logger) - part (3)

الحالة
مغلق و غير مفتوح للمزيد من الردود.

H4x0r

./ عضو
.:: اداري سابق ::.

السلام عليكم …
رح نكمل يهذا المقال باستخدام ادة snort المقال السابقة شفنا كيف ممكن نعمل Sniffer على الشبكة الان بدنا نعمل تسجيل لل traffic عشان نقدر نعمل investigation على packet رح نتعملم بعض السويتيز كمان يلي رح نستخدمها

Let’s run Snort in Logger Mode

1700575708612.png


Logging with parameter “-l”
First, start the Snort instance in packet logger mode; sudo snort -dev -l .
بمجرد إنشاء traffic، سيبدأ Snort في عرض الحزم وتسجيلها في logfile. يمكنك تكوين دتخزين في ملف الافتراضي في ملف snort.config. ومع ذلك، يمكنك استخدام السويتش “-l” لتعيين افي ملف جديد مستقل. يعد تحديد سجل جديد افضل لحاجات التحليل و التدقيق و التحقيق في traffic .

1700575714063.png


بعد هذا الامر لازم يطلع عنا ملف log …
1700575718067.png



Logging with parameter “-K ASCII”
Start the Snort instance in packet logger mode; sudo snort -dev -K ASCII
1700575730200.png
خلونا نشوف الملفات التي قام بأنشائها …
1700575824985.png

1700575828320.png


1700575738399.png


السجلات التي تم انشئها باستخدام سويتش “-K ASCII” مختلفة تمامًا. يوجد مجلدان بأسماء عناوين IP. دعونا ننظر فيها.
1700575767829.png


بمجرد إلقاء نظرة على المجلدات التي تم إنشاؤها، يمكننا أن نرى أن السجلات موجودة بتنسيق ASCII ومصنفة، لذلك من الممكن قراءتها دون استخدام Snort.

خلونا نفوت ع مجلد نشوف ما داخله
1700575838070.png


باختصار، يوفر وضع ASCII ملفات متعددة بتنسيق يمكن قراءته بواسطة ك انسان بدون الحاجة الى اداه لذلك من الممكن قراءة السجلات بسهولة باستخدام محرر النصوص. وعلى النقيض من تنسيق ASCII
1700575843829.png


Reading generated logs with parameter “-r”
Start the Snort instance in packet reader mode; sudo snort -r
1700575850748.png


لاحظ أن Snort يمكنه قراءة ومعالجة (يمكن لـ tcpdump وWireshark أيضًا التعامل مع تنسيق السجل هذا). ومع ذلك، يعني لو عندك traffic و بدك تعمل investigation باستخدام snort و بتقدر برضو تضيف rule عشان يلقط اي alarm خلونا نشوف شكل tcpdump و Wireshark بعملية التحليل من ملف …

tcpdump

1700575868422.png


Wireshark
1700575873401.jpeg


بقدر برضو استخدم مع السويتش r- مجموعة من السويتشز يلي تعرفنا عليهم من قبل و برضو بقدر اعمل فلترة مثلا اخليه يعرض حزم udp او tcp او port معياا …
  • sudo snort -r logname.log -X
  • sudo snort -r logname.log icmp
  • sudo snort -r logname.log tcp
  • sudo snort -r logname.log 'udp and port 53'
الان تعرفنا كيف ممكن نعمل sniff على الشبكة الموجود فيها و تعرفنا كيف نعمل تسجيل لا هاي traffic وتعرفنا كيف ممكن اقراء من الملف المسجل من ال traffic في المقال القادم رح نبلش نعمل rule و نعمل investigation
 

المرفقات

  • 1700575734650.png
    1700575734650.png
    23.1 KB · المشاهدات: 62
  • 1700575742462.png
    1700575742462.png
    37.9 KB · المشاهدات: 60
التعديل الأخير:

شو سبب عدم المقدرة على فتح الصور بالموقع
 

شو سبب عدم المقدرة على فتح الصور بالموقع
واجهنا مشكلة عند الإنتقال للتصميم الجدي للمنتدى
و نتج عنها مشاكل في عدد من المنشورات

ان شاء الله سيتم اصلاحها في أقرب وقت
 

الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى أسفل