SNORT

Dmitrii Rozhkov

UNIX administrator v ID „Piter“

rojkov@piter.com

29 ianuari 2001 || Biblioteka LinuksTSentur

Kolkoto i dobre da e zashtiten edin web-server ili shlyuz kum Internet, vinagi sushtestvuva vuzmozhnost za probiv v nego. I za sistemniiat administrator shte e po-dobre da razbere za tezi opiti oshte predi da e osushtestven samiiat probiv. Zatova sredstvata, pozvoliavashti ne samo otkrivaneto na fakta na pronikvane v sistemata, no i sposobni da preduprezhdavat za podobni nahluvaniia, sa ot osobena vazhnost.

Sushtestvuvat dva vida sistemi za otkrivane na narushiteli1 – kum purvite spadat programite, otkrivashti anomalii vuv funktsioniraneto na sistemite, naprimer neobichaino goliamo kolichestvo ednovremenno raboteshti protsesi, uvelichen trafik prez interfeisite na sistemata i drugi podobni. Kum vtorite se otnasiat sistemite za otkrivane na narushiteli, rabotata na koito se sustoi v turseneto na predvaritelno izvestni priznatsi na ataki. SHTo se otnasia do programata Snort, tia smelo mozhe da bude prichislena i kum dvata vida. Blagodarenie na svoiata otvorena arhitektura, Snort mozhe lesno da bude razshirena i dopulnena za reshavane na razlichni zadachi.

Tazi statiia ne pretendira da e vseobhvatno rukovodstvo po Snort, a e edin dosta svoboden prevod na rukovodstvoto, napisano ot Martin Roesh2, smesen s moite sobstveni misli. Izcherpatelna informatsiia za tova, kakvo predstavliava Snort i kak da go izpolzvate, mozhe da se nameri na http://www.snort.org/.

Kakvo predstavliava Snort? Snort e mrezhova sistema za otkrivane na narushiteli, sposobna da izvurshva v realno vreme analiz na trafika, predavan po kontroliraniia interfeis, s tsel otkrivane na opiti za probivi ili opiti za tursene na uiazvimosti (takiva kato prepulvane na bufera, skanirane na portove, CGI-ataki, identifitsirane na operatsionnata sistema, identifitsirane na versiite na izpolzvanite mrezhovi uslugi i drugi takiva). Guvkavostta i udobstvoto na Snort sa osnovani na slednite tri faktora:

• nalichie na ezik za suzdavane na pravila, izpolzvan za opisvane na svoistvata na podozritelen i potentsialno opasen trafik;

• mehanizum za izvestiavane pri otkrivane na ataka;

• modulna arhitektura na koda, analizirasht trafika, osnovan na kontseptsiiata za dopulnitelno vklyuchvani moduli.

Triabva da otbelezhim, che protsedurite, dekodirashti mrezhoviia trafik, rabotiat v kanalniia prez mrezhoviia i transportniia do prilozhniia sloi3. V momenta Snort poddurzha dekodirane za protokolite Ethernet, SLIP i PPP4.

Neka razgledame nai-vazhniiat ot gledna tochka na potrebitelia komponent – ezika za suzdavane na pravilata. Pravilata se zadavat v konfiguratsionniia fail na Snort, kato tehniiat sintaksis e dostatuchno prost:

ACTION PROTO IP_ADDR1 PORT1 DIRECTION IP_ADDR2 PORT2 [ (OPTIONS)

ACTION

Ima tri osnovni direktivi, opredeliashti posledvashtite deistviia pri otkrivane na mrezhov paket, otgovariasht na niakoe ot pravilata – pass, log i alert.

Direktivata pass oznachava paketa prosto da bude ignoriran. Direktivata log opredelia paketut da bude podlozhen na protsedurata za zapis, izbrana ot potrebitelia za posledvasht zapis v dnevnika. I poslednata direktiva – alert generira suobshtenie za otkrit paket, koito udovletvoriava praviloto – pak po opredelen ot potrebitelia nachin i sled tova predava paketa na protsedurata za zapisvane v dnevnika za po-kusen analiz.

Mogat da se izpolzvat oshte dve direktivi – activate i dynamic. Te pozvoliavat za niakakvo mnozhestvo paketi, udovletvoriavashti niakakvo pravilo da bude povikano drugo pravilo. Naprimer, mozhe da se nalozhi pri otkrivane na paket s iavni priznatsi za ataka s prepulvane na bufera, da se generira suobshtenie za atakata i da se zapishat v dnevnika niakolko ot sledvashtite paketi za posledvasht tehen analiz. Tazi funktsionalnost se postiga sus suvmestnoto izpolzvane na direktivite activate i dynamic. Osven tova, ima vuzmozhnost za suzdavane na sobstveni direktivi, asotsiiraiki gi s edna ili niakolko protseduri na zapis v dnevnika. Naprimer, opredelenieto

ruletype redalert

{

type alert

output alert_syslog: LOG_AUTH LOG_ALERT

output database: log, mysql, user=snort dbname= snort host= localhost

}

suzdava nova direktiva redalert, generirashta suobshtenie, koeto se predava na syslog i zapisvashta sled tova informatsiiata za otkritiia paket v baza danni MySQL.

PROTO

V momenta, za analiz sa dostupni tri protokola i suotvetno, sa dopustimi tri znacheniia na tozi parametur – tcp, udp i icmp. Vuzmozhno e v budeshte da se poiavi poddruzhka i na arp, ipx, igrp, gre, rip, ospf i drugi.

IP_ADDR

V Snort niama mehanizum za razpoznavane na imena (i nadali shte se poiavi niakoga – ot suobrazheniia za proizvoditelnost), zatova e neobhodimo za zadavane na hostovete da se izpolzvat tehnite IP adresi. Klyuchovata duma any pozvoliava zadavaneto na vsichki vuzmozhni adresi, a za zadavane na podmrezhi se izpolzva CIDR zapis.

Simvolut ! obrushta obratno uslovieto – !192.168.3.0/24 oznachava vseki neprinadlezhasht na podmrezhata 192.168.3.0/24 IP adres. Osven tova mozhe da se zadavat i spisutsi ot adresi, razdeliaiki gi sus zapetaika i zatvariaiki gi v kvadratni skobi – naprimer [192.168.2.0/24, 192.169.3.54/32].

PORT

Posochvaneto na portovete se izvurshva po sushtiia nachin, kakto i pri ipchains. Osven edin edinstven port, mozhe da zadavame i diapazon ot portove, kato gi razdelim s dvoetochie, naprimer 6000:6010 – portove ot 6000 do 6010 vklyuchitelno, :1024 – vsichki portove ot 1 do 1024, 1024: – vsichki portove ot 1024 do 65535. Kakto pri zadavaneto na IP adresite, simvolut ! obrushta obratno uslovieto, a klyuchovata duma any oznachava vsichki portove.

DIRECTION

Tozi operator pozvoliava da opredelim posokata na dvizhenie na paketa:

• -> (ednostranno) – praviloto shte se prilaga samo vurhu paketi, idvashti ot IP_ADDR1 kum IP_ADDR2;

• (dvustranno) – napravlenieto na dvizhenie na paketa e bez znachenie.

OPTIONS

Zatvorenite v krugli skobi parametri sa nezadulzhitelni chasti ot praviloto i v sushtoto vreme sa nai-vazhnata chast ot sistemata za otkrivane na nahluvane. Parametrite mogat da opredeliat teksta na suobshtenieto za zaplaha ot nahluvane, d zadavat dopulnitelni deistviia pri zadeistvane na praviloto, kakto i dopulnitelni usloviia za suotvetstvie na analiziranite paketi na dadeno pravilo.

Parametrite se otdeliat edin ot drug s tochka i zapetaia, a klyuchovata duma na parametura se otdelia ot negoviia argument s dvoetochie. Do momenta sushtestvuvat 24 parametura, kato tiahnoto kolichestvo se uvelichava s vsiaka nova versiia na programata.

Parametrite, zadavashti dopulnitelni usloviia na suotvetstvie na praviloto sa:

• ttl – zadava stoinostta na poleto TTL v zaglavieto na IP paketa5;

• tos – zadava stoinostta na poleto TOS v zaglavieto na IP paketa;

• id – zadava stoinostta na poleto za fragmentirane v zaglavnata chast na IP paketa;

• ipopts – zadava stoinostta na poleto na parametrite na IP paketa;

• fragbits – zadava bitovete na fragmentatsiia na IP paketa;

• dsize – zadava razmera na IP paketa;

• flags – zadava uslovieto za nalichie ili otsustvie na opredeleni TCP flagove;

• seq – zadava nomera na segmenta na TCP paketa v posledovatelnostta [ot TCP paketi];

• ack – zadava stoinostta na poleto za potvurzhdenie v TCP paketa;

• itype – zadava stoinostta na poleto za tip na ICMP paketa;

• icode – zadava stoinostta na poleto za kod na ICMP paketa;

• icmp_id – zadava stoinostta na poleto ICMP ECHO ID v ICMP paketa;

• icmp_seq – zadava [poredniiat] nomer na ICMP ECHO paketa v posledovatelnostta ot paketi;

• content – zadava shablon za tursene v sudurzhanieto na paketa, a ne v negovoto zaglavie (shablona mozhe da se zadava kakto v tekstov, taka i v shestnadesetichen vid);

• content-list – tozi parametur e analogichen na parametura content, s izklyuchenie na tova, che spisuka s tursenite shabloni se vzema ot fail;

• offset – izpolzva se suvmestno s parametura content za opredeliane na izmestvaneto v paketa, ot kudeto shte se provezhda analiz na negovoto sudurzhanie;

• depth – analogichen e na parametura offset i opredelia polozhenieto v paketa, do kudeto shte se provezhda analiz na sudurzhanieto mu;

• nocase – izklyuchva chuvstvitelnostta kum registura na bukvite pri analiza na sudurzhanieto na paketa;

• rpc – pozvoliava po-tochno zadavane na harakteristikite na programnite ili protsedurni izvikvaniia na RPC uslugite.

Kakto mozhe da se zabelezhi, izbroenite parametri pozvoliavat suzdavaneto na pravila za prehvashtane prakticheski na vsiakakvi paketi, koito mogat po niakakuv nachin da zastrashat sigurnostta na sistemata. A ako otchetem, che Snort mozhe da prehvashta paketi i ot kanalniia sloi, to negovoto izpolzvane e osobeno interesno na hostove, zashtiteni sus zashtitni steni, tui kato othvurlenite ot zashtitnata stena paketi vse edno shte popadat v negovoto polezrenie.

Parametrite, stoinostite na koito imat smisul pri tursene na suotvetstvie na analiziraniia paket na vsichki usloviia sa:

• msg – sudurzha teksta na suobshtenieto;

• logto – zadava alternativen fail za zapis v nego na sudurzhanieto na paketa;

• session – tozi parametur pozvoliava vklyuchvaneto na edna mnogo interesna vuzmozhnost na Snort – izvlichaneto na potrebitelskite danni ot TCP sesiia, naprimer za sledvasht analiz na tova, kakvi komandi e vuvezhdal potrebitelia po vreme na telnet sesiia;

• resp – ako paketa otgovaria na praviloto, togava Snort shte izpulni edno ot posochenite deistviia – naprimer shte zatvori vruzkata, izprashtaiki TCP-RST paket kum ediniia ot hostovete;

• react – shte blokira posochenite v praviloto web saitove, zatvariaiki vruzkite s tiah i/ili otpraviaiki predvaritelno napisano suobshtenie kum brauzura, ot koito e predpriet opita za dostigane na niakoi ot posochenite saitove.

Po-dolu sa pokazani niakoi primeri za suzdavane na pravila.

• log tcp any any -> 192.168.1.0/24 6000:6010

  Suglasno tova pravilo, vsichki paketi, adresirani do obiknoveno izpolzvanite ot sistemata X Windows portove na hostove ot niakakva podmrezha shte budat zapisvani v dnevnika.

• alert tcp !192.168.1.0/24 any -> 192.168.1.0/24 any (msg:"IDS004 - SCAN-NULL Scan";flags:0; seq:0; ack:0;)

  Tova pravilo otkriva opitite za taka narechenoto NULL-skanirane na portove.

• alert tcp !192.168.1.45/32 any -> 192.168.1.45/32 80 (msg:"IIS-_vti_inf"; flags:PA; content:"_vti_inf.html"; nocase;)

  Adresiranite kum web survur paketi, sudurzhashti v sebe si obrushtenie kum faila _vti_inf.html se razglezhdat kato opit za izpolzvane na edna ot uiazvimostite na Internet Information Server i shte predizvikat pri otkrivane na takiva paketi generirane na suobshtenie za tova subitie, kato samiiat paket shte bude zapisan v dnevnika.

• alert tcp any any any 6688 (msg:"Napster Client Data"; flags:PA; content:".mp3"; nocase; resp: rst_all)

  V sluchai na otkrivane na obrushtenie kum Napster survur, vruzkata se zatvaria prinuditelno. Kakto se vizhda, s pomoshtta na Snort mozhe da se organizira po-efektivna filtratsiia na nezhelan trafik, otkolkoto ako se zatvoriat suotvetnite portove s pomoshtta na zashtitna stena, tui kato imame vuzmozhnost da vuvedem dopulnitelno uslovie za sudurzhanieto na paketite.

• alert tcp any 80 192.168.1.0/24 any (content-list: "adults.txt"; msg: "Not for children!"; react: block, msg;)

  S tova pravilo se blokira dostupa do web saitove, adresite na koito sa opisani vuv faila adults.txt. Pri otkrivane na zaiavka kum nezhelan survur, vruzkata s nego se zatvaria i se generira suobshtenie „Not for children!“, koeto osven kum dnevnika, se nasochva i kum brauzura. Po tozi nachin, Snort mozhe da izpulniava funktsiite na web filtur.

• activate tcp !192.168.1.0/24 any -> 192.168.1.0/24 143 (flags: PA; content: "|E8C0FFFFFF|\bin|"; activates: 1; msg: "IMAP buffer overflow!";) dynamic tcp !192.168.1.0/24 any -> 192.168.1.0/24 143 (activated_by: 1; count: 50;)

  Direktivata activate ne se otlichava po nishto ot alert s izklyuchenie na tova, che v sektsiiata za parametri na pravilata na direktivata activate vinagi prisustva praviloto activates, prednaznacheno za izvikvane na drugo pravilo za izpulnenie. Po tozi nachin mogat da se izvikvat samo dynamic pravila. Direktivata dynamic ot svoia strana ne se otlichava po nishto ot direktivata log. Tia sushto e prednaznachena za zapis na paketite v dnevnika, no ima dva dopulnitelni parametura – activated_by, koito asotsiira pravilo dynamic s pravilo activate i count, koito ukazva kakvo kolichestvo paketi triabva da obraboti praviloto, toest kolko paketa, sledvashti sled prehvanatiia paket triabva da budat zapisani v dnevnika. Pokazanoto po-gore pravilo activate analizira paketite za opiti za ataka s prepulvane na bufera i v sluchai, che otkrie takuv paket, izvikva pravilo dynamic, koeto da zapishe v dnevnika sledvashtite 50 paketa. Ako atakata e bila uspeshna, analiziraiki sled neia tozi fail, mozhe da se ustanovi kakvi tochno zagubi sa naneseni.

• log tcp any any 192.168.1.0/24 23 (session: printable;)

  Podobno pravilo vinagi e polezno, kogato se nalaga da zapazim v dnevnika v chetliv vid vsichko, koeto vuvezhda ili vizhda potrebitelia po vreme na telnet, ftp, rlogin ili dazhe web sesiia.

Na saita http://www.snort.org/ ima suzdaden nabor ot gotovi pravila, koito mozhe da izpolzvame za svoi sobstveni tseli, kato pravilata sa razdeleni na niakolko grupi:

• BackDoor Activity;

• BackDoor Attempts;

• Backdoor Sig. Based;

• Exploits;

• Finger;

• FTP;

• ICMP;

• MISC;

• NetBios;

• RPC;

• Rservices;

• Scans;

• SMTP;

• Sysadmin;

• TELNET;

• Virus - SMTP Worms;

• Web-CGI;

• Web-ColdFusion;

• Web-FrontPage;

• Web-IIS;

• Web-Misc.

Kakto se vizhda ot naimenovaniiata na grupite, oblastta na prilozhenie na Snort e mnogo shiroka. Za da ne se izchakva obnoviavaneto na nabora pravila sled publikuvaneto na nov, mnogo opasen eksploit, mozhe mnogo burzo samostoiatelno da se sustavi novo pravilo. Za tova e nuzhno da namerim v Internet eksploita, da go izpolzvame sreshtu host – opitno zaiche, kato zapishem tseliia trafik mezhdu atakuvashtiiat host i hosta-zhertva. Sled tova, analiziraiki dnevnika e neobhodimo da namerim unikalna signatura na eksploita. Naprimer, v sledvashtiia paket

052499-22:27:58.403313 192.168.1.4:1034 -> 192.168.1.3:143 TCP TTL:64 TOS:0x0 DF ***PA* Seq: 0x5295B44E Ack: 0x1B4F8970 Win: 0x7D78 90 90 90 90 90 90 90 90 90 90 90 90 90 90 EB 3B ...............;

5E 89 76 08 31 ED 31 C9 31 C0 88 6E 07 89 6E 0C ^.v.1.1.1..n..n.

B0 0B 89 F3 8D 6E 08 89 E9 8D 6E 0C 89 EA CD 80 .....n....n.....

31 DB 89 D8 40 CD 80 90 90 90 90 90 90 90 90 90 1...@ ...........

90 90 90 90 90 90 90 90 90 90 90 E8 C0 FF FF FF ................

2F 62 69 6E 2F 73 68 90 90 90 90 90 90 90 90 90 /bin/sh.........

redut /bin/sh/ iavno izglezhda podozritelen. Po tozi nachin, tozi red i niakolkoto baita predi nego shte predstavliavat signaturata na eksploita i novoto pravilo za Snort shte izglezhda primerno po tozi nachin:

alert tcp any any -> 192.168.1.0/24 143 (content:"|E8C0 FFFF FF|/bin/sh"; msg:"New IMAP Buffer Overflow detected!";)

VUZMOZHNOSTI ZA RAZSHIRENIE NA SNORT

V sustava na paketa Snort vlizat kakto spetsifikatsii, taka i preporuki za razrabotvaneto na dopulnitelni moduli, prednaznacheni za stranichni avtori. V momenta Snort podurzha tri vida dopulnitelni moduli – detektori, preprotsesori i moduli za izvezhdane na informatsiia.

Detektorite sa prednaznacheni za otkrivane na niakakuv unikalen aspekt na paketa, kato po tozi nachin razshiriavat nabora ot vuzmozhni parametri, opredeliashti usloviiata za suotvetstvie na pravilata. Naprimer, parametura flags, zadavasht usloviiata za nalichie ili otsustvie v paketa na konkretni TCP flagove, e realiziran s pomoshtta na otkrivasht modul.

Preprotsesorut se izvikva za izpulnenie sled dekodiraneto na paketa i predi izpulnenieto na detektora. CHrez negoviia mehanizum e vuzmozhno da modifitsirame paketite, naprimer za povtorno subirane na TCP potoka, za defragmentatsiia na paketite, za normalizatsiia na HTTP zaiavkite, kato e vuzmozhen i dopulnitelen analiz izvun osnovniia kod, kakto e vuzmozhno i izpulnenieto na zadachi za subirane na statistika.

V chastnost, protsedurata za opredeliane dali se osushtestviava skanirane na portovete e realizirana imenno s pomoshtta na preprotsesor. Pod „skanirane na portove“ tozi preprotsesor razbira izprashtaneto ot edin i susht IP adres na SYN-, FIN-, NULL-, SYNFIN- ili XMAS paketi kum kontroliraniia host na poveche ot P porta, za vreme po-malko ot T ili kum edin port ednovremenno na niakolko hosta. Sledvashtite versii na Snort shte mogat da otkrivat i razpredeleno skanirane na portove, kogato paketite kum skaniranite hostove se izprashtat ot niakolko atakuvashti hosta. Polzata ot tozi preprotsesor e v tova, che pri otkrivane na ataka niama nuzhda da se generira suobshtenie za vseki paket, a mozhe da se generira edno edinstveno suobshtenie za tsialata ataka.

Mnogo interesen modul e preprotsesorut SPADE na firmata Silicon Defence. SPADE e abreviatura na Statistical Packet Anomaly Detection Engine – Sistema za otkrivane na statisticheski anomalni paketi. Tozi modul e chast ot proekta SPICE (Stealthy Portscan and Intrusion Correlation Engine)6.

Spade sledi trafika, otkriva paketite, koito suglasno niakakvi statisticheski kriterii se priemat za anomalni i predava informatsiiata za tiah na protsedurata za zapis v dnevnika. Otdelianeto na anomalnite paketi mozhe da stava po sledniia primeren nachin: na vseki paket se dava otsenka za negovata anomalnost, osnovana na istoriiata na pregledaniia trafik. Za tazi tsel se suzdava tablitsa s otsenkite na veroiatnostta za poiava na razlichnite vidove paketi, osnovana na chestotata im na poiava za izvesten period ot vreme i vremeto na poiava (na po-svezhite paketi se prisvoiava po-goliamo teglo). Naprimer, za web survur

P(dip=198.168.1.1, dport=80)= 0.3 i

P(dip=198.168.1.1, dport=12543) =0.001.

Otsenkata na anomalnostta se presmiata neposredstveno ot veroiatnostta za poiava na paketa:

A(X)= -log2(P(X))

Po tozi nachin, anomalnostta na paket, nasochen kum port 80 na host 198.168.1.1 shte bude 1,737, a anomalnostta na paket, nasochen kum port 12543 na sushtiia host shte e 9,97.

Kolkoto e po-visoka otsenkata na anomalnostta na paketa, tolkova poveche vnimanie zasluzhava toi, kato pri nadhvurliane na niakakuv prag se generira suobshtenie za podozritelen paket, a v perspektiva informatsiiata za nego shte se podava i kum taka narecheniia portscan-korelator za posledvasht analiz i otkrivane na dobre maskirani ataki.

Ot versiia 1.7 e vuzmozhno ednovremennoto izpolzvane za izvezhdane na informatsiia na niakolko dopulnitelni modula:

• alert_syslog – tozi modul, kakto se vizhda ot imeto mu, izvezhda informatsiia v dnevnika prez demona syslog. Sushtestvuva vuzmozhnost da se nastroi nivoto na zapisvane i prioriteta na suobshteniiata;

• alert_fast – izvezhda v posochen fail informatsiia za vuzmozhna ataka v kratuk, ednoredov format;

• alert_full – sushtoto, kakto pri alert_fast, no v posocheniia fail se zapisva i prehvanatiia paket. Dobra ideia e polucheniiat po tozi nachin fail da bude preglezhdan s pomoshtta na perl skripta SnortSnarf na veche spomenatata firma Silicone Defense. Rezultatut ot rabotata na skripta e mnogo podroben i udoben za izpolzvane otchet7;

• alert_unixsock – sushtoto, kakto pri alert_full, no tsialata informatsiia se predava v drug protses prez Unix-soket. S tozi modul mozhe lesno da bude organizirana aktivna reaktsiia na sistemata sreshtu provezhdanata ataka, naprimer blokirane na atakuvashtiia host v tablitsata za marshrutizatsiia ili chrez promiana vuv verigite na ipchains;

• alert_smb – izprashta suobshtenie za atakata po protokol WinPopup na opisanite NETBIOS-hostove;

• log_tcpdump – zapisva prehvanatite paketi vuv fail s formata na programata tcpdump;

• database – mnogo interesen modul, pozvoliavasht suhraniavaneto na tsialata informatsiia za prehvanatite paketi v baza danni. V momenta se poddurzhat bazite danni PostgreSQL, MySQL, Oracle, a sushto taka i ODBC-suvmestimi bazi danni8. Na osnovata na informatsiiata, zapazena v bazata danni, e mnogo udobno da se suzdadat razlichni otcheti, naprimer, za nai-dosadnite atakuvashti hostove, za tipichni ataki, za nai-veroiatnoto vreme za provezhdane na atakite i drugi takiva;

• XML – tozi modul beshe razraboten v koordinatsionniia tsentur CERT kato chast ot proekta AIRCERT. Negovata osnovna tsel e suzdavane na tsiala infrastruktura za otkrivane na pronikvaniia vutre v lokalna mrezha, kudeto startiranite na niakolko kompyutura kopiia na Snort izpulniavat roliata na senzori9.

Ot vsichko, kazano po-gore, mozhe da napravim izvoda za izklyuchitelno goliamata poleznost na programata Snort. Vuv vseki sluchai, izpolzvaneto na tazi programa shte napravi zhivota na krakerite po-truden, koeto e edna ot tselite na vseki sistemen administrator.

Prevod: Nikolai Angelov

1 IDS – Intrusion Detection Systems.

2 Martin Roesh e avtor na programata.

3 Kanalniiat, mrezhoviiat, transportniiat i prilozhniiat sloi sa chasti ot modela OSI, koito predstavliava obsht komunikatsionen model po otnoshenie na razlichnite niva na komunikatsiia sus sedem sloina struktura.

4 Neka ne zabraviame, che tova e polozhenieto kum 2001 g. V momenta, kum datata na prevod na statiiata, aktualna e versiia 2.3.0RC2. Za izminalite chetiri godini, neshtata, opisani v statiiata mozhe da sa se promenili, kato tochnoto miasto za poveche informatsiia e http://www.snort.org/.

5 Opisanie na zaglavnata chast na edin IP paket mozhe da se nameri tam –
http://www.networksorcery.com/enp/protocol/ip.htm, kakto i na mnogo drugi mesta v mrezhata.

6 Pulna informatsiia za koito mozhe da se nameri na adres
http://www.silicondefense.com/pptntext/spice-ccs2000.pdf.

7 Primer na takuv otchet mozhe da se nameri na tozi adres –
http://www.silicondefense.com/snortsnarf/example

8 Za poveche informatsiia mozhe da poglednete na tozi adres: http://www.snort.org/dl/binaries/linux/

9 Pulna informatsiia za tozi modul mozhe da se nameri na adres http://www.cert.org/kb/snortxm

<< Nelegitimen dostup do resursi (ueb-bazirani poshtenski uslugi) | Promqna firmware-a na Linksys WRT54G s Linux >>