Snort

لنتعرف على Snort

في البداية نتعرف عن الـ Snort وهو عبارة عن برنامج مفتوح المصدر
و له عدة مميزات وأهم هذه المميزات و هو نظام كشف التسلل IDS
أو ما يسمى بالـ Intrusion detection system ، وأيضا يوفر الـ Snort نظام منع التسلل أو ما يسمى بالـ Intrusion prevention system
وكلا النظامين يعملان عن طريق تحليل الـ Network traffics للبحث
عن الهجمات بالإعتماد على القوانين والـ Rules المكتوبة من قبل المستخدم.

نظام كشف التسلل (IDS)

و هو نظام لتنبيه المستخدم عند وجود أي هجمات بالشبكة

نظام منع التسلل (IPS)

هذا النظام شبيه بنظام كشف التسلل لكن هنا يقوم بمنعها

ليش نستخدم Snort

الـ Snort يستخدم أو يعتمد على الـ Rules وهي من خلالها يتم فحص أي نشاط ضار محتمل ، هذه الـ Rules مخصصة لكشف الهجمات المنتشرة و يتم غالبا كتابتها من قبل أشخاص متخصصين بالمجال ، لذلك نستخدم برنامج Snort ليساعدنا في الكشف عن الهجمات في الشبكة ، فكلما حرصنا على تجديد الـ Rules بأحدث الهجمات الجديدة كلما ضمنا حماية الشبكة الخاصة بنا من الهجمات

شرح تثبيت الـ Snort

طريقة تثبيت برنامج Snort


الرابط التالي مشروح فيه طريقة تثبيت الـ Snort على نظام Windows


https://zaeemjaved10.medium.com/installing-configuring-snort-2-9-17-on-windows-10-26f73e342780


التعرف على القواعد/Rules

طريقة كتابة القواعد/Rules في برنامج Snort


هذه القواعد/Rules يتم كتابتها للتعرف على الهجمات داخل الشبكة و ايضا ماهو الإجراء الذي سوف يتم إتخاذه عند العثور على هجمة


القواعد/Rules تتكون من قسمين :

  1. Rule header

  2. Rule options


الخصائص الموجودة في الـ Rule header هي كالتالي :


  1. الإجراء أو التصرف الذي سوف يتخذه الـ Rule عند اكتشاف الهجوم

  2. البروتوكول الذي سوف ينطبق عليه الـ Rule

  3. عناوين الايبي Source IP & Destination IP

  4. الـمنافذ Ports


اما الخصائص الموجودة في الـ Rule options هي كالتالي :


  1. أي جزء من الـ IP packet يجب فحصه

  2. ماهي الـ message التي سوف تظهر عند اكتشاف هجوم


هناك خمسة أنواع من الـ Actions التي يؤديها الـ Snort rule :


  1. Alert لإصدار رسالة تنبيه عند اكتشاف محاولة هجوم

  2. Log لتسجيل بيانات الاتصال أو معلومات الـ Packet

  3. Pass ليتجاهل الاتصال أو إسقاط الـ Packet

  4. Reject لعمل Block للـ Packet مع عمل خيار Log

  5. Sdrop لرفض الاتصال بدون تسجيل بيانات الـ Packet


هذا الأساس الذي يعتمد عليه الـ Rule في Snort :

شرح إستخدامات الـ Snort


الـ Snort يوفر للمستخدم أوضاع مختلفة أو Different modes :


  1. Sniffer mode

  2. Packet logger mode

  3. Intrusion detection mode


قبل البدء في استخدام برنامج Snort ، لابد من معرفة كروت الشبكة المتوفرة والمستخدمة في الجهاز ، ثم نختار كرت الشبكة الذي نريد فحص طلباته من خلال الأمر التالي الخاص بعرض كروت الشبكة :


Snort -W


نريد فحص شبكة الـ WiFi الخاصة بنا فالكرت الخاص بها هو رقم 5


الأن نقوم بتشغيل البرنامج مع إختيار كرت الشبكة المراد فحصها عن طريق كتابة الأمر التالي مع تغيير رقم 5 إلى الكرت الخاص بك

snort -v -i 5


الـ output سوف يكون كالتالي:

و لمعرفة تفاصيل أكثر عن الـ Packets نقوم بكتابة الأمر التالي :


snort -vd -i 5


Join