SNORT
Dmitrii
Rozhkov
UNIX
administrator v ID Piter
rojkov@piter.com
29
ianuari 2001 || Biblioteka
LinuksTSentur
Kolkoto i
dobre da e zashtiten edin web-server ili shlyuz
kum Internet, vinagi sushtestvuva vuzmozhnost
za probiv v nego. I za sistemniiat
administrator shte e po-dobre da razbere
za tezi opiti oshte predi da e osushtestven
samiiat probiv. Zatova sredstvata,
pozvoliavashti ne samo otkrivaneto na
fakta na pronikvane v sistemata, no i
sposobni da preduprezhdavat za podobni
nahluvaniia, sa ot osobena vazhnost.
Sushtestvuvat
dva vida sistemi za otkrivane na
narushiteli
kum purvite spadat programite,
otkrivashti anomalii vuv funktsioniraneto
na sistemite, naprimer neobichaino goliamo
kolichestvo ednovremenno raboteshti
protsesi, uvelichen trafik prez interfeisite
na sistemata i drugi podobni. Kum vtorite
se otnasiat sistemite za otkrivane na
narushiteli, rabotata na koito se sustoi
v turseneto na predvaritelno izvestni
priznatsi na ataki. SHTo se otnasia do
programata Snort, tia smelo mozhe da bude
prichislena i kum dvata vida. Blagodarenie
na svoiata otvorena arhitektura, Snort mozhe
lesno da bude razshirena i dopulnena za
reshavane na razlichni zadachi.
Tazi
statiia
ne pretendira da e vseobhvatno rukovodstvo
po Snort, a e edin dosta svoboden prevod
na rukovodstvoto, napisano ot Martin Roesh,
smesen s moite sobstveni misli.
Izcherpatelna informatsiia za tova, kakvo
predstavliava Snort i kak da go izpolzvate,
mozhe da se nameri na http://www.snort.org/.
Kakvo
predstavliava Snort? Snort e mrezhova sistema
za otkrivane na narushiteli, sposobna
da izvurshva v realno vreme analiz na
trafika, predavan po kontroliraniia
interfeis, s tsel otkrivane na opiti za
probivi ili opiti za tursene na uiazvimosti
(takiva kato prepulvane na bufera,
skanirane na portove, CGI-ataki,
identifitsirane na operatsionnata sistema,
identifitsirane na versiite na izpolzvanite
mrezhovi uslugi i drugi takiva). Guvkavostta
i udobstvoto na Snort sa osnovani na
slednite tri faktora:
nalichie
na ezik za suzdavane na pravila,
izpolzvan za opisvane na svoistvata
na podozritelen i potentsialno opasen
trafik;
mehanizum
za izvestiavane pri otkrivane na ataka;
modulna
arhitektura na koda, analizirasht trafika,
osnovan na kontseptsiiata za dopulnitelno
vklyuchvani moduli.
Triabva da
otbelezhim, che protsedurite, dekodirashti
mrezhoviia trafik, rabotiat v kanalniia
prez mrezhoviia i transportniia do prilozhniia
sloi.
V momenta Snort poddurzha dekodirane za
protokolite Ethernet, SLIP i PPP.
Neka
razgledame nai-vazhniiat ot gledna tochka
na potrebitelia komponent ezika za
suzdavane na pravilata. Pravilata se
zadavat v konfiguratsionniia fail na
Snort, kato tehniiat sintaksis e dostatuchno
prost:
ACTION
PROTO IP_ADDR1 PORT1 DIRECTION IP_ADDR2 PORT2
[ (OPTIONS)
ACTION
Ima tri
osnovni direktivi, opredeliashti posledvashtite
deistviia pri otkrivane na mrezhov paket,
otgovariasht na niakoe ot pravilata pass,
log i alert.
Direktivata
pass oznachava paketa
prosto da bude ignoriran. Direktivata
log opredelia paketut
da bude podlozhen na protsedurata za
zapis, izbrana ot potrebitelia za posledvasht
zapis v dnevnika. I poslednata direktiva
alert
generira suobshtenie za otkrit paket,
koito udovletvoriava praviloto pak
po opredelen ot potrebitelia nachin i
sled tova predava paketa na protsedurata
za zapisvane v dnevnika za po-kusen
analiz.
Mogat da
se
izpolzvat oshte dve direktivi activate
i dynamic. Te
pozvoliavat
za niakakvo mnozhestvo paketi, udovletvoriavashti
niakakvo pravilo da bude povikano drugo
pravilo. Naprimer, mozhe
da se nalozhi pri otkrivane na paket s
iavni priznatsi za ataka s prepulvane na
bufera, da se generira suobshtenie za
atakata i da se zapishat v dnevnika
niakolko ot sledvashtite paketi za posledvasht
tehen analiz. Tazi funktsionalnost se
postiga sus suvmestnoto izpolzvane na
direktivite activate i
dynamic. Osven tova, ima
vuzmozhnost za suzdavane na sobstveni
direktivi, asotsiiraiki gi s edna ili
niakolko protseduri na zapis v dnevnika.
Naprimer, opredelenieto
ruletype redalert
{
type alert
output alert_syslog: LOG_AUTH
LOG_ALERT
output database: log, mysql,
user=snort
dbname= snort host= localhost
}
suzdava
nova direktiva redalert,
generirashta suobshtenie, koeto se predava
na syslog i zapisvashta
sled tova informatsiiata za otkritiia
paket v baza danni MySQL.
PROTO
V momenta,
za analiz sa dostupni
tri protokola i suotvetno, sa
dopustimi tri znacheniia na tozi parametur
tcp,
udp i icmp.
Vuzmozhno e v budeshte da se poiavi poddruzhka
i na arp, ipx,
igrp, gre,
rip,
ospf i drugi.
IP_ADDR
V Snort
niama
mehanizum za razpoznavane na imena (i
nadali shte se poiavi niakoga ot suobrazheniia
za proizvoditelnost), zatova e neobhodimo
za zadavane na hostovete da se izpolzvat
tehnite IP adresi. Klyuchovata duma any
pozvoliava zadavaneto na vsichki vuzmozhni
adresi, a za zadavane na podmrezhi se
izpolzva CIDR zapis.
Simvolut ! obrushta
obratno uslovieto !192.168.3.0/24
oznachava vseki neprinadlezhasht na
podmrezhata 192.168.3.0/24
IP adres. Osven tova mozhe da se zadavat
i spisutsi ot adresi, razdeliaiki gi sus
zapetaika i zatvariaiki gi v kvadratni
skobi naprimer [192.168.2.0/24,
192.169.3.54/32].
PORT
Posochvaneto
na portovete se izvurshva po sushtiia nachin,
kakto i pri ipchains. Osven edin edinstven
port, mozhe da zadavame i diapazon ot
portove, kato gi razdelim s dvoetochie,
naprimer 6000:6010
portove ot 6000 do 6010 vklyuchitelno, :1024
vsichki portove ot 1 do 1024, 1024:
vsichki portove ot 1024 do 65535. Kakto pri
zadavaneto na IP adresite, simvolut !
obrushta obratno uslovieto, a klyuchovata
duma any oznachava vsichki
portove.
DIRECTION
Tozi
operator
pozvoliava da opredelim posokata na
dvizhenie na paketa:
->
(ednostranno) praviloto shte se prilaga
samo vurhu paketi, idvashti ot IP_ADDR1 kum
IP_ADDR2;
(dvustranno) napravlenieto na dvizhenie
na paketa e bez znachenie.
OPTIONS
Zatvorenite
v krugli skobi parametri sa nezadulzhitelni
chasti ot praviloto i v sushtoto vreme sa
nai-vazhnata chast ot sistemata za otkrivane
na nahluvane. Parametrite mogat da
opredeliat teksta na suobshtenieto za
zaplaha ot nahluvane, d zadavat
dopulnitelni deistviia pri zadeistvane
na praviloto, kakto i dopulnitelni
usloviia za suotvetstvie na analiziranite
paketi na dadeno pravilo.
Parametrite
se otdeliat edin ot drug s tochka i zapetaia,
a klyuchovata duma na parametura se otdelia
ot negoviia argument s dvoetochie. Do
momenta sushtestvuvat 24 parametura, kato
tiahnoto kolichestvo se uvelichava s vsiaka
nova versiia na programata.
Parametrite,
zadavashti dopulnitelni usloviia na
suotvetstvie na praviloto sa:
ttl
zadava stoinostta na poleto TTL v
zaglavieto na IP paketa;
tos
zadava stoinostta na poleto TOS v
zaglavieto na IP paketa;
id
zadava stoinostta na poleto za
fragmentirane v zaglavnata chast na IP
paketa;
ipopts
zadava stoinostta na poleto na
parametrite na IP paketa;
fragbits
zadava bitovete na fragmentatsiia na
IP paketa;
dsize
zadava razmera na IP paketa;
flags
zadava uslovieto za nalichie ili
otsustvie na opredeleni TCP flagove;
seq
zadava nomera na segmenta na TCP paketa
v posledovatelnostta [ot TCP paketi];
ack
zadava stoinostta na poleto za
potvurzhdenie v TCP paketa;
itype
zadava stoinostta na poleto za tip
na ICMP paketa;
icode
zadava stoinostta na poleto za kod
na ICMP paketa;
icmp_id
zadava stoinostta na poleto ICMP ECHO
ID v ICMP paketa;
icmp_seq
zadava [poredniiat] nomer na ICMP ECHO
paketa v posledovatelnostta ot paketi;
content
zadava shablon za tursene v sudurzhanieto
na paketa, a ne v negovoto zaglavie
(shablona mozhe da se zadava kakto v
tekstov, taka i v shestnadesetichen vid);
content-list
tozi parametur e analogichen na
parametura content, s
izklyuchenie na tova, che spisuka s
tursenite shabloni se vzema ot fail;
offset
izpolzva se suvmestno s parametura
content za
opredeliane
na izmestvaneto v paketa, ot kudeto shte
se provezhda analiz na negovoto
sudurzhanie;
depth
analogichen e na parametura offset
i opredelia polozhenieto v paketa, do
kudeto shte se provezhda analiz na
sudurzhanieto mu;
nocase
izklyuchva chuvstvitelnostta kum
registura na bukvite pri analiza na
sudurzhanieto na paketa;
rpc
pozvoliava po-tochno zadavane na
harakteristikite na programnite ili
protsedurni izvikvaniia na RPC uslugite.
Kakto mozhe
da se zabelezhi, izbroenite parametri
pozvoliavat suzdavaneto na pravila za
prehvashtane prakticheski na vsiakakvi
paketi, koito mogat po niakakuv nachin da
zastrashat sigurnostta na sistemata. A
ako otchetem, che Snort mozhe da prehvashta
paketi i ot kanalniia sloi, to negovoto
izpolzvane e osobeno interesno na
hostove, zashtiteni sus zashtitni steni,
tui kato othvurlenite ot zashtitnata
stena paketi vse edno shte popadat v
negovoto polezrenie.
Parametrite,
stoinostite na koito imat smisul pri
tursene na suotvetstvie na analiziraniia
paket na vsichki usloviia sa:
msg
sudurzha teksta na suobshtenieto;
logto
zadava alternativen fail za zapis
v nego na sudurzhanieto na paketa;
session
tozi parametur pozvoliava vklyuchvaneto
na edna mnogo interesna vuzmozhnost na
Snort izvlichaneto na potrebitelskite
danni ot TCP sesiia, naprimer za sledvasht
analiz na tova, kakvi komandi e vuvezhdal
potrebitelia po vreme na telnet sesiia;
resp
ako paketa otgovaria na praviloto,
togava Snort shte izpulni edno ot posochenite
deistviia naprimer shte zatvori vruzkata,
izprashtaiki TCP-RST paket kum ediniia ot
hostovete;
react
shte blokira posochenite v praviloto
web saitove, zatvariaiki vruzkite s tiah
i/ili otpraviaiki predvaritelno napisano
suobshtenie kum brauzura, ot koito e
predpriet opita za dostigane na niakoi
ot posochenite saitove.
Po-dolu sa
pokazani niakoi primeri za suzdavane na
pravila.
log
tcp any any -> 192.168.1.0/24
6000:6010
Suglasno
tova pravilo, vsichki paketi, adresirani
do obiknoveno izpolzvanite ot sistemata
X Windows portove na hostove ot niakakva
podmrezha shte budat zapisvani v dnevnika.
alert
tcp !192.168.1.0/24 any -> 192.168.1.0/24
any (msg:"IDS004
- SCAN-NULL Scan";flags:0; seq:0;
ack:0;)
Tova pravilo
otkriva opitite za taka narechenoto
NULL-skanirane na portove.
alert
tcp !192.168.1.45/32 any ->
192.168.1.45/32 80
(msg:"IIS-_vti_inf"; flags:PA;
content:"_vti_inf.html";
nocase;)
Adresiranite
kum web survur paketi, sudurzhashti v sebe
si obrushtenie kum faila _vti_inf.html se
razglezhdat kato opit za izpolzvane na
edna ot uiazvimostite na Internet Information
Server i shte predizvikat pri otkrivane na
takiva paketi generirane na suobshtenie
za tova subitie, kato samiiat paket shte
bude zapisan v dnevnika.
alert
tcp any any any 6688
(msg:"Napster Client Data";
flags:PA; content:".mp3"; nocase;
resp: rst_all)
V sluchai
na otkrivane na obrushtenie kum Napster
survur, vruzkata se zatvaria prinuditelno.
Kakto se vizhda, s pomoshtta na Snort mozhe
da se organizira po-efektivna filtratsiia
na nezhelan trafik, otkolkoto ako se
zatvoriat suotvetnite portove s pomoshtta
na zashtitna stena, tui kato imame
vuzmozhnost da
vuvedem
dopulnitelno uslovie za sudurzhanieto
na paketite.
alert
tcp any 80 192.168.1.0/24 any
(content-list: "adults.txt";
msg: "Not for children!"; react:
block, msg;)
S tova
pravilo se blokira dostupa do web saitove,
adresite na koito sa opisani vuv faila
adults.txt.
Pri otkrivane
na zaiavka kum nezhelan survur, vruzkata
s nego se zatvaria i se generira suobshtenie
Not for children!, koeto osven kum
dnevnika,
se nasochva i kum brauzura. Po tozi
nachin, Snort mozhe da izpulniava funktsiite
na web filtur.
activate
tcp !192.168.1.0/24 any -> 192.168.1.0/24
143 (flags: PA;
content: "|E8C0FFFFFF|\bin|";
activates: 1; msg: "IMAP
buffer overflow!";) dynamic
tcp !192.168.1.0/24 any ->
192.168.1.0/24 143 (activated_by: 1; count:
50;)
Direktivata
activate ne
se otlichava
po nishto ot alert s
izklyuchenie na tova, che v sektsiiata za
parametri na pravilata na direktivata
activate
vinagi prisustva
praviloto activates,
prednaznacheno za izvikvane na drugo
pravilo za izpulnenie. Po tozi nachin
mogat da se izvikvat samo dynamic
pravila. Direktivata dynamic
ot svoia strana ne se otlichava po nishto
ot direktivata log. Tia
sushto e prednaznachena za zapis na
paketite v dnevnika, no ima dva
dopulnitelni parametura activated_by,
koito asotsiira pravilo dynamic
s pravilo activate i
count, koito
ukazva
kakvo kolichestvo paketi triabva da
obraboti praviloto, toest kolko paketa,
sledvashti sled prehvanatiia paket triabva
da budat zapisani v dnevnika. Pokazanoto
po-gore pravilo activate
analizira paketite za opiti za ataka
s prepulvane na bufera i v sluchai, che
otkrie takuv paket, izvikva pravilo
dynamic,
koeto da zapishe
v dnevnika sledvashtite 50 paketa. Ako
atakata e bila uspeshna, analiziraiki
sled neia tozi fail, mozhe da se ustanovi
kakvi tochno zagubi sa naneseni.
log
tcp any any 192.168.1.0/24 23
(session: printable;)
Podobno
pravilo vinagi e polezno, kogato se
nalaga da zapazim v dnevnika v chetliv
vid vsichko, koeto vuvezhda ili vizhda
potrebitelia po vreme na telnet, ftp, rlogin
ili
dazhe web sesiia.
Na saita
http://www.snort.org/ ima
suzdaden nabor ot gotovi pravila, koito
mozhe da izpolzvame za svoi sobstveni
tseli, kato pravilata sa razdeleni na
niakolko grupi:
BackDoor
Activity;
BackDoor
Attempts;
Backdoor
Sig. Based;
Exploits;
Finger;
FTP;
ICMP;
MISC;
NetBios;
RPC;
Rservices;
Scans;
SMTP;
Sysadmin;
TELNET;
Virus - SMTP
Worms;
Web-CGI;
Web-ColdFusion;
Web-FrontPage;
Web-IIS;
Web-Misc.
Kakto se
vizhda ot naimenovaniiata na grupite,
oblastta na prilozhenie na Snort e mnogo
shiroka. Za da ne se izchakva obnoviavaneto
na nabora pravila sled publikuvaneto
na nov, mnogo opasen eksploit, mozhe mnogo
burzo samostoiatelno da se sustavi novo
pravilo. Za tova e nuzhno da namerim v
Internet eksploita, da go izpolzvame sreshtu
host opitno zaiche, kato zapishem tseliia
trafik mezhdu atakuvashtiiat host i
hosta-zhertva. Sled tova, analiziraiki
dnevnika e neobhodimo da namerim unikalna
signatura na eksploita. Naprimer, v
sledvashtiia paket
052499-22:27:58.403313
192.168.1.4:1034 -> 192.168.1.3:143 TCP TTL:64 TOS:0x0 DF
***PA*
Seq: 0x5295B44E Ack: 0x1B4F8970 Win: 0x7D78 90 90 90 90 90 90
90 90
90 90 90 90 90 90 EB 3B ...............;
5E
89 76 08 31 ED 31 C9 31 C0 88 6E 07 89 6E 0C ^.v.1.1.1..n..n.
B0
0B 89 F3 8D 6E 08 89 E9 8D 6E 0C 89 EA CD 80 .....n....n.....
31
DB 89 D8 40 CD 80 90 90 90 90 90 90 90 90 90 1...@
...........
90
90 90 90 90 90 90 90 90 90 90 E8 C0 FF FF FF ................
2F
62 69 6E 2F 73 68 90 90 90 90 90 90 90 90 90 /bin/sh.........
redut
/bin/sh/ iavno izglezhda
podozritelen. Po tozi nachin, tozi red i
niakolkoto baita predi nego shte predstavliavat
signaturata na eksploita i novoto
pravilo za Snort shte izglezhda primerno po
tozi nachin:
alert
tcp any any -> 192.168.1.0/24 143 (content:"|E8C0
FFFF
FF|/bin/sh"; msg:"New IMAP Buffer Overflow
detected!";)
VUZMOZHNOSTI
ZA RAZSHIRENIE NA SNORT
V sustava
na paketa Snort vlizat kakto spetsifikatsii,
taka i preporuki za razrabotvaneto na
dopulnitelni moduli, prednaznacheni za
stranichni avtori. V momenta Snort podurzha
tri vida dopulnitelni moduli detektori,
preprotsesori i moduli za izvezhdane na
informatsiia.
Detektorite
sa prednaznacheni za otkrivane na niakakuv
unikalen aspekt na paketa, kato po tozi
nachin razshiriavat nabora ot vuzmozhni
parametri, opredeliashti usloviiata za
suotvetstvie na pravilata. Naprimer,
parametura flags, zadavasht
usloviiata za nalichie ili otsustvie v
paketa na konkretni TCP flagove, e
realiziran s pomoshtta na otkrivasht modul.
Preprotsesorut
se izvikva za izpulnenie sled dekodiraneto
na paketa i predi izpulnenieto na
detektora. CHrez negoviia mehanizum e
vuzmozhno da modifitsirame paketite,
naprimer za povtorno subirane na TCP
potoka, za defragmentatsiia na paketite,
za normalizatsiia na HTTP zaiavkite, kato e
vuzmozhen i dopulnitelen analiz izvun
osnovniia kod, kakto e vuzmozhno i
izpulnenieto na zadachi za subirane na
statistika.
V
chastnost,
protsedurata za opredeliane dali se
osushtestviava skanirane na portovete e
realizirana imenno s pomoshtta na
preprotsesor. Pod skanirane na portove
tozi preprotsesor razbira izprashtaneto
ot edin i susht IP adres na SYN-, FIN-, NULL-, SYNFIN-
ili XMAS paketi kum kontroliraniia host
na poveche ot P porta, za vreme po-malko
ot T ili kum edin port ednovremenno na
niakolko hosta. Sledvashtite versii na
Snort shte mogat da otkrivat i razpredeleno
skanirane na portove, kogato paketite
kum skaniranite hostove se izprashtat ot
niakolko atakuvashti hosta. Polzata ot
tozi preprotsesor e v tova, che pri otkrivane
na ataka niama nuzhda da se generira
suobshtenie za vseki paket, a mozhe da se
generira edno edinstveno suobshtenie za
tsialata ataka.
Mnogo
interesen modul e preprotsesorut SPADE na
firmata Silicon
Defence. SPADE e abreviatura na Statistical Packet
Anomaly Detection Engine Sistema
za otkrivane na statisticheski
anomalni paketi. Tozi modul e chast ot
proekta SPICE (Stealthy Portscan and Intrusion Correlation
Engine).
Spade
sledi
trafika, otkriva paketite, koito suglasno
niakakvi statisticheski kriterii se
priemat za anomalni i predava informatsiiata
za tiah na protsedurata za zapis v dnevnika.
Otdelianeto na anomalnite paketi mozhe
da stava po sledniia primeren nachin: na
vseki paket se dava otsenka za negovata
anomalnost, osnovana na istoriiata na
pregledaniia trafik. Za tazi tsel se
suzdava tablitsa s otsenkite na veroiatnostta
za poiava na razlichnite vidove paketi,
osnovana na chestotata im na poiava za
izvesten period ot vreme i vremeto na
poiava (na po-svezhite paketi se prisvoiava
po-goliamo teglo). Naprimer, za web survur
P(dip=198.168.1.1,
dport=80)= 0.3 i
P(dip=198.168.1.1,
dport=12543) =0.001.
Otsenkata
na anomalnostta se presmiata neposredstveno
ot veroiatnostta za poiava na paketa:
A(X)=
-log2(P(X))
Po tozi
nachin, anomalnostta na paket, nasochen
kum port 80 na host 198.168.1.1 shte bude 1,737, a
anomalnostta na paket, nasochen kum port
12543 na sushtiia host shte e 9,97.
Kolkoto e
po-visoka otsenkata na anomalnostta na
paketa, tolkova poveche vnimanie zasluzhava
toi, kato pri nadhvurliane na niakakuv
prag se generira suobshtenie za podozritelen
paket, a v perspektiva informatsiiata za
nego shte se podava i kum taka narecheniia
portscan-korelator za posledvasht analiz i
otkrivane na dobre maskirani ataki.
Ot versiia
1.7 e vuzmozhno ednovremennoto izpolzvane
za izvezhdane na informatsiia na niakolko
dopulnitelni modula:
alert_syslog
tozi modul, kakto se vizhda ot imeto
mu, izvezhda informatsiia v dnevnika prez
demona syslog. Sushtestvuva
vuzmozhnost da se nastroi nivoto na
zapisvane i prioriteta na suobshteniiata;
alert_fast
izvezhda v posochen fail informatsiia
za vuzmozhna ataka v kratuk, ednoredov
format;
alert_full
sushtoto, kakto pri alert_fast,
no v posocheniia fail se zapisva i
prehvanatiia paket. Dobra ideia e
polucheniiat po tozi nachin fail da bude
preglezhdan s pomoshtta na perl skripta
SnortSnarf
na veche spomenatata firma Silicone Defense.
Rezultatut ot rabotata na skripta e
mnogo podroben i udoben za izpolzvane
otchet;
alert_unixsock
sushtoto, kakto pri alert_full,
no tsialata informatsiia se predava v drug
protses prez Unix-soket. S tozi modul mozhe
lesno da bude organizirana aktivna
reaktsiia na sistemata sreshtu provezhdanata
ataka, naprimer blokirane na atakuvashtiia
host v tablitsata za marshrutizatsiia ili
chrez promiana vuv verigite na ipchains;
alert_smb
izprashta suobshtenie za atakata po
protokol WinPopup na opisanite
NETBIOS-hostove;
log_tcpdump
zapisva prehvanatite paketi vuv
fail s formata na programata
tcpdump;
database
mnogo interesen modul, pozvoliavasht
suhraniavaneto na tsialata informatsiia
za prehvanatite paketi v baza danni.
V momenta se poddurzhat bazite danni
PostgreSQL, MySQL, Oracle, a sushto taka i
ODBC-suvmestimi
bazi danni.
Na osnovata na informatsiiata, zapazena
v bazata danni, e mnogo udobno da se
suzdadat razlichni otcheti, naprimer,
za nai-dosadnite atakuvashti hostove,
za tipichni ataki, za nai-veroiatnoto
vreme za provezhdane na atakite i drugi
takiva;
XML
tozi modul beshe razraboten v
koordinatsionniia tsentur CERT kato chast
ot proekta AIRCERT. Negovata osnovna tsel
e suzdavane na tsiala infrastruktura za
otkrivane na pronikvaniia vutre v
lokalna mrezha, kudeto startiranite na
niakolko kompyutura kopiia na Snort izpulniavat
roliata na senzori.
Ot vsichko,
kazano po-gore, mozhe da napravim izvoda
za izklyuchitelno goliamata poleznost na
programata Snort. Vuv vseki sluchai,
izpolzvaneto na tazi programa shte napravi
zhivota na krakerite po-truden, koeto e
edna ot tselite na vseki sistemen
administrator.
Prevod:
Nikolai Angelov