مضى على الشبكة و يوم من العطاء.

  • تحذير: يجب على كل روّاد الشبكة تشغيل برامج الاختراق داخل الأنظمة الوهمية وهي بهدف التعلم وحماية الأعضاء والتوعية بها

Snort (Packet Logger) - part (3)

الحالة
مغلق و غير مفتوح للمزيد من الردود.
H4x0r

H4x0r

./ عضو

السمعة:

السلام عليكم

رح نكمل يهذا المقال باستخدام أداة snort

المقال السابق شفنا كيف ممكن نعمل Sniffer على الشبكة الان بدنا نعمل تسجيل لل traffic عشان نقدر نعمل investigation على packet رح نتعملم بعض السويتيز كمان يلي رح نستخدمها

Let’s run Snort in Logger Mode

1700575708612.png

Logging with parameter “-l”
First, start the Snort instance in packet logger mode; sudo snort -dev -l
أنقر للتوسيع...

بمجرد إنشاء traffic، سيبدأ Snort في عرض الحزم وتسجيلها في logfile. يمكنك تكوين دتخزين في ملف الافتراضي في ملف snort.config. ومع ذلك، يمكنك استخدام السويتش “-l” لتعيين في ملف جديد مستقل. يعد تحديد سجل جديد افضل لحاجات التحليل و التدقيق و التحقيق في traffic .

1700575714063.png


بعد هذا الامر لازم يطلع عنا ملف log …
1700575718067.png


Logging with parameter “-K ASCII”
Start the Snort instance in packet logger mode; sudo snort -dev -K ASCII
أنقر للتوسيع...

1700575730200.png

خلونا نشوف الملفات التي قام بأنشائها …
1700575824985.png

1700575828320.png


1700575738399.png


السجلات التي تم انشئها باستخدام سويتش “-K ASCII” مختلفة تمامًا. يوجد مجلدان بأسماء عناوين IP. دعونا ننظر فيها.
1700575767829.png


بمجرد إلقاء نظرة على المجلدات التي تم إنشاؤها، يمكننا أن نرى أن السجلات موجودة بتنسيق ASCII ومصنفة، لذلك من الممكن قراءتها دون استخدام Snort.


خلونا نفوت ع مجلد نشوف ما داخله
1700575838070.png


باختصار، يوفر وضع ASCII ملفات متعددة بتنسيق يمكن قراءته بواسطة ك انسان بدون الحاجة الى اداه لذلك من الممكن قراءة السجلات بسهولة باستخدام محرر النصوص. وعلى النقيض من تنسيق ASCII

1700575843829.png

Reading generated logs with parameter “-r”
Start the Snort instance in packet reader mode; sudo snort -r
أنقر للتوسيع...

1700575850748.png


لاحظ أن Snort يمكنه قراءة ومعالجة (يمكن لـ tcpdump وWireshark أيضًا التعامل مع تنسيق السجل هذا). ومع ذلك، يعني لو عندك traffic و بدك تعمل investigation باستخدام snort و بتقدر برضو تضيف rule عشان يلقط اي alarm خلونا نشوف شكل tcpdump و Wireshark بعملية التحليل من ملف …

tcpdump
1700575868422.png


Wireshark
1700575873401.jpeg


بقدر برضو استخدم مع السويتش r- مجموعة من السويتشز يلي تعرفنا عليهم من قبل و برضو بقدر اعمل فلترة مثلا اخليه يعرض حزم udp او tcp او port معين …
  • sudo snort -r logname.log -X
  • sudo snort -r logname.log icmp
  • sudo snort -r logname.log tcp
  • sudo snort -r logname.log 'udp and port 53'
الان تعرفنا كيف ممكن نعمل sniff على الشبكة الموجود فيها و تعرفنا كيف نعمل تسجيل لا هاي traffic وتعرفنا كيف ممكن اقراء من الملف المسجل من ال traffic في المقال القادم رح نبلش نعمل rule و نعمل investigation

الجزء الرابع [اضغط هنا]
 

المرفقات

  • 1700575734650.png
    1700575734650.png
    23.1 KB · المشاهدات: 175
  • 1700575742462.png
    1700575742462.png
    37.9 KB · المشاهدات: 173
التعديل الأخير بواسطة المشرف:
شو سبب عدم المقدرة على فتح الصور بالموقع
 
maco قال:
شو سبب عدم المقدرة على فتح الصور بالموقع
أنقر للتوسيع...
واجهنا مشكلة عند الإنتقال للتصميم الجدي للمنتدى
و نتج عنها مشاكل في عدد من المنشورات

ان شاء الله سيتم اصلاحها في أقرب وقت
 
الحالة
مغلق و غير مفتوح للمزيد من الردود.

آخر المشاركات

فانوس

رمضان

الأعضاء المتصلون

لا يوجد أعضاء متصلون الآن.
المجموع: 16 (الأعضاء: 0, الزوار: 16)

إحصائيات المنتدى

المواضيع
3,174
المشاركات
15,582
الأعضاء
4,885
آخر عضو مسجل
ahmed2025

إعلانات

عودة
أعلى