Snort (Rule Structure) part (5)

[H4x0r]

السلام عليكم

سيكون هذا المقال الاخير بخصوص snort tool ممكن يكون دسم حبة و ان شاء الله رح اتركلك مجال للتطبيق طبعا كونو هذا الاخير خلينا نتفق انو هو تطبيق يعني لازم اطبق عشان تفهم و تبلش تبحث و تزيد معلوماتك

مقال تنزيل snort : Snort ( Installing on Kali Linux ) part (0)

Let’s Learn Snort Rules!

يجب أن تحتوي كل rules على نوع الإجراء والبروتوكول وعنوان IP المصدر والوجهة ومنفذ المصدر والوجهة وخيار. ، ،

ستستخدم Snort كمعرف IDS قبل أن تبدأ تتلعب بل قواعد بالوضع المضمن، يجب أن تكون على دراية بميزات وقواعد Snort.

من السهل فهم بنية قاعدة Snort بس من الصعب إنتاجها. لازم تكون على دراية بخيارات القاعدة والتفاصيل لإنشاء قواعد فعالة. يوصى بالتدرب على قواعد Snort وتفاصيل الخيارات لحالات الاستخدام المختلفة و بنهاية كل القواعد تبنيها بناء على البيئة .

لا يمكن معالجة القواعد بدون head . خيارات القاعدة هي أجزاء “اختيارية”. ومع ذلك، ممكن يكون من المستحيل اكتشاف الهجمات المعقدة دون استخدام خيارات القاعدة يعني لا تستغني عن اي اضافة ممكن تفيدك .

رح احط جداول مصدرها من try hack me رح فهمها جدا مفيد بعد هيك رح نبلش …

​

IP and Port Numbers​

الجدول هذا رح يعطيك امثلة وين تحط ip الوجهة و المصدر و المنفذ للقاعدة :

​

Direction​

يشير مشغل الاتجاه إلى تدفق اتجاه traffic الذي سيتم تصفيته بواسطة Snort.
يُظهر الجانب الأيسر من القاعدة المصدر، ويُظهر الجانب الأيمن الوجهة.​

• - > Source to destination flow.​
• <> Bidirectional flow
  ملاحظة فش اتجاه “->” في قواعد snort​

There are three main rule options in Snort

1- General Rule Options
2- Payload Rule Options
3- Non-Payload Rule Options

General Rule Options

Payload Detection Rule Options

Non-Payload Detection Rule Options

رح نحل task من try hack me
Use **"**task9.pcap".

1- Write a rule to filter IP ID “35369” and run it against the given pcap file. What is the request name of the detected packet?

هي الملف المطلوب اطبق عليه task-9 و ملف القواعد Sh3ll(hex).rules
المطلوب يعرف اسم الي بعث الطلب و اعطونا معلومة اعطونا ال ID خلونا اول اشي نشوف كيف شغل ID وين بكون موجود رح اعمل تحليل عادي بدون قواعد .​

sudo snort -A full -r task9.pcap​

زي ما انتو شايفين كل حزمة الها ID خلونا نكتب ال rules طبعا معنا ال ID اطلع فوق ع جدول بتلاقي اضافة “ID”

و اذا بتلاحظو في اكثر من بروتوكل مستخدم رح اعمل قاعدتين وحدة UDP و وحدة ICMP

هي كتبت القاعدتين خلونا نشغل هسا
المفروض بس يخلص الحزمة الي تطابق القاعدة يخزنلي ياها بالملف alarm​

snort -c Sh3ll(hex).rules -A full -l . -r task9.pcap​

هيك السؤال الاول تم

2- Create a rule to filter packets with Syn flag and run it against the given pcap file. What is the number of detected packets?
كم عدد الحزم يلي فيها Syn ؟

طبعا رح نستخدم tcp بكتابة القاعدة اوعك تحكي ليش ههههههه
​

alert tcp any any <> any any (msg: “FLAG TEST”; flags:S; sid: 100001; rev:1​

** ارجع للجداول اذا ما فهمت شو صار رح تربط الامور اكثر


3- Write rules to detect “all TCP port 80 traffic” packets in the given pcap file.​

alert tcp any 80<> any any (msg: “PORT 80 S”; sid: 100001; rev:1
alert tcp any any<> any 80 (msg: “PORT 80 D”; sid: 100001; rev:1​

4- Write a rule to detect failed FTP login attempts in the given pcap.​

alert tcp any 21<> any any (msg: “FTP Found”; content:“530 User” ; sid: 100001; rev:1
كل محاولة فاشلة لتسجيل الدخول إلى FTP تطالب برسالة افتراضية بالنمط؛ " User 530".​

5- Write a rule to detect successful FTP logins in the given pcap.​

alert tcp any 21<> any any (msg: “FTP Found”; content:“530 User” ; sid: 100001; rev:1
كل محاولة تسجيل دخول ناجحة إلى FTP تطالب برسالة افتراضية بالنمط؛ “User 230”.​

5- Write a rule to detect failed FTP login attempts with “Administrator” username but a bad password or no password.

الان اعتقد ان الجميع قد فهم مبدأ كتابة القواعد، والامثلة والجداول المرفقة واضحة و كل فترة رح ازيد على هذا المقال اسئلة و قواعد ان شاء الله

إن أحسنت فمن الله و إن اسأت فمن نفسي و الشيطان​