Snort - Phát hiện xâm nhập mạng

GIỚI THIỆU:

Snort là công cụ phát hiện xâm nhập mạng và bảo vệ hệ thống có hiệu suất cao, sử dụng ít tài nguyên hệ thống. Snort cũng có thể sử dụng như một công cụ sniffer và bộ ghi nhật ký hệ thống.

Phần mềm bảo mật mạng Snort kết hợp giữa thông tin trong cơ sở dữ liệu và thao tác quét để phát hiện ra những xâm nhập trái phép, đồng thời cung cấp những báo cáo phân tích và đưa ra cảnh báo ngay lập tức nếu phát hiện ra điểm bất thường trong hệ thống.

Để ứng dụng này có thể hoạt động đòi hỏi phải sử dụng tập lệnh, tính năng protocol của mạng và kiến thức IDS. Vì thế nếu bạn chưa quen với các thông tin trên thì sẽ cần dành thời gian để tìm hiểu cách thức phần mềm hoạt động.

Một khi đã thành thạo, bạn có thể sử dụng công cụ này để giám sát traffic mạng, hiển thị header các gói TCP/IP và lưu các gói này vào thư mục nhật ký hoặc một cơ sở dữ liệu nào đó (hỗ trợ MySQL, Oracle, Microsoft SQL Server và ODBC).

Tuy nhiên, công dụng chính của phần mềm này là chức năng phát hiện xâm nhập hệ thống. Ứng dụng này sẽ phân tích traffic của mạng, phát hiện ra các sự kiện bất thường, và gửi thông báo về hệ thống để có hướng giải quyết.

Các quy tắc tùy chỉnh của người dùng trong phần mềm này tương tự như trong một ứng dụng tường lửa. Bạn có thể tùy chỉnh hành vi của Snort trong chế độ IDS: thiết lập hành vi bằng cách chỉnh sửa file cấu hình có chứa các quy tắc riêng của ứng dụng (cho kết nối email SMTP, SSH,...)

Chương trình này phân tích các gói dữ liệu gửi và nhận xem trong đó có chứa bất kì dấu vết đe dọa nào hay không. Những gói dữ liệu bất thường sẽ làm kích hoạt các nguyên tắc và sẽ được ghi lại trong định dạng ASCII hoặc binary.

Yêu cầu:

Winpcap 4.1.1

Cập nhật trong phiên bản Snort mới

Snort 2.9.16.0

• Bổ sung mới
  • Thêm hỗ trợ kiểm tra đầu tiên tải trọng HTTP khi xả trong chế độ pre-ack. Tính năng này có thể được kích hoạt bằng cách dùng fast-blocking trong cấu hình đánh giá http.
  • Thêm hỗ trợ 64-bit cho hệ điều hành Windows 10.
  • Thêm hỗ trợ phiên bản glibc 2.30.
• Cải thiện và sửa lỗi
  • Sửa lỗi chính sách file không hoạt động với tiền tố ký tự ở kích thước chunk.
  • Cập nhật thần tốc file để phát hiện các loại tập tin ALZ.
  • Sửa lỗi khi nhận được FIN hỏng bằng cách loại bỏ nó.
  • Chuẩn hóa ngẫu nhiên các null mã hóa xen kẽ trong phản hồi của các máy chủ HTTP với UTF-8.

Snort 2.9.15.1

• Hỗ trợ xử lý cụ thể file trong quá trình tiền xử lý DCERPC đối với các file được truyền qua SMB
• Thu và lưu trữ file - lưu lại file ngay khi dữ liệu di chuyển qua mạng thông qua một quá trình tiền xử lý mà cần sự hỗ trợ trong HTTP, FTP, SMTP, POP, IMAP và SMB
• Thêm tùy chọn = operators to byte_test rule
• Cập nhật SMTP để phát hiện sự tấn công có xác thực của Cyrus SASL
• Thêm chức năng quay lại toàn bộ một phiên làm việc