Snort: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
Nessun oggetto della modifica |
Nessun oggetto della modifica |
||
Riga 448:
Terminata questa panoramica sulla configurazione delle regole di Snort, si esamineranno nel prossimo l’analisi dei log generati dalle regole.
== Analisi dei Log ==
Quando si verifica un incidente, l’analisi delle intrusioni permette di avere maggiori informazioni sia su come si è sviluppato l’attacco, che sull’entità in termini di pericolosità dello stesso. Il primo passo che permette di raccogliere maggiori informazioni è l’analisi degli eventi. Snort produce dei log di questo formato:
<nowiki>
[**] [1:469:1] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
10/15-06:01:46.050056 192.168.0.4 -> 192.168.0.3
ICMP TTL:45 TOS:0x0 ID:17750 IpLen:20 DgmLen:28
Type:8 Code:0 ID:31266 Seq:8282 ECHO
[Xref => http://www.whitehats.com/info/IDS162]
</nowiki>
Analizzando i campi del log registrato si evince che:
* 1:469:1 è composto da tre numeri, di cui il primo indica quale componente di Snort ha generato l’allarme, il secondo indica il SID della firma e l’ultimo il numero di revisioni della firma stessa.
* ICMP PING NMAP è il nome dell’attacco.
* Classification: Attempted Information Leak indica il tipo di attacco.
* Priority: 2 indica il grado di priorità dell’allarme che è direttamente proporzionale alla potenziale pericolosità dell’attacco (scala da 1 a 3); gli allarmi in cui il valore del campo Priority è 1 sono i più più critici.
* 10/15-06:01:46.050056 è la data e l’ora dell’attacco effettuato il 15 ottobre 2006 alle 06:01.
* 192.168.0.4 -> 192.168.0.3 indica gli indirizzi IP sorgente (192.168.0.4) e di destinazione (192.168.0.3).
* Le restanti informazioni riguardano le specifiche tecniche del protocollo utilizzato.
Terminata l’analisi di Snort, nel prossimo capitolo si esaminerà la sua implementazione pratica all’interno di una rete.
| |||