Discussion :

[Saif_24]

Salut,
J'installe Snort avec la BD Mysql et aussi l'Acid.je réussit de détecter des alertes en faire ping d'un autre pc à le mien mais seulment le protocole icmp. Svp je veux savoir comment je peux faire un test pour qu'il écoute les protocoles tcp et udp sachant que je lance cette commande

snort -c /etc/snort/snort.conf -A full -f -v

mais aucune résultat!!
Merci.

[Mohamed EL Béji]

Salut,
Disposant du Dump TCP de l’attaque, je peux lancer une analyse via un « IDS » (Intrusion Dectection System) tel que Snort. Cela nous donnera un premier aperçu des intrusions enregistrées.

Exemple :

# Il faut lancer Snort sur le fichier de logs

# Et lui spécifier le fichier contenant les règles d’analyse

root@ubuntu:$# snort -r /xxx/0826@19-snort.log -c /xxx/snort.conf

J'obtiens alors à l'écran le résultat suivant :

Running in IDS mode

–== Initializing Snort ==–

[…]

–== Initialization Complete ==–

[…]

========================

Snort processed 163832 packets.

========================

Breakdown by protocol:

TCP: 163816 (99.990%)

UDP: 3 (0.002%)

ICMP: 13 (0.008%)

[…]

========================

Action Stats:

ALERTS: 8898

LOGGED: 8923

PASSED: 0

========================

Snort exiting

De l’étape d’initialisation, je retient que Snort est capable de détecter différents types de scans sur les protocoles TCP, UDP, ICMP et IP.

Étudions-les en détails :

Le « Portscan » : il s’agit de scanner un unique hôte, à la recherche de plusieurs ports d’écoute ;
Le « Portsweep » : il s’agit de scanner plusieurs hôtes, à la recherche d’un port d’écoute spécifique ;
Le « Decoy Portscan » : il s’agit d’un Portscan où l’attaquant simule avec sa machine plusieurs scans provenant de différentes adresses (dont la sienne), afin de se dissimuler dans la masse ;
Le « Distributed Portscan » : il s’agit de Portscans réalisés par de multiples hôtes sur une victime commune.
Du bilan de l’analyse nous retenons que 99.99% des alertes concernent le protocole TCP et que le reste se réparti sur l’UDP et l’ICMP. 8898 alertes ont été générées, il nous faut aller voir le fichier /var/log/snort/alert.

Ce fichier contenant aux alentours de 63.000 lignes d’enregistrements, j’ai utilisé un petit script pour établir quelques statistiques, dont voici le résultat :

# Statistiques

[**] [1:1228:7] SCAN nmap XMAS [**] - 7513

[**] [1:623:6] SCAN NULL [**] - 1329

[**] [122:1:0] (portscan) TCP Portscan [**] - 25

[**] [1:469:3] ICMP PING NMAP [**] - 7

On peut constater que les scans de type « XMAS » sont largement plus nombreux, suivis par les scans de type « NULL ». Mais d’autres types de scans sont tout de mêmes présents tels que le « scan de port TCP »


Hope it Help

[Saif_24]

Vraiment je vous remercie bien de votre réponse Mais apparament que j'ai un problème au niveau de comptabilité de Libcap avec snort!! mon version snort et 2.8 et libcap!! Svp y a t il ine idée quelle est la version compatiblde de libcap pour mon Snort!!? merci

[Mohamed EL Béji]

Salut,

Commencez par:

1. sudo yum groupinstall ‘Development Tools’
2. sudo yum groupinstall ‘Development Libraries’
3. sudo yum install rpm-build gdbm-devel pam-devel gnutls-devel ghostscript mgetty-sendfax netpbm-progs pcre-devel openldap-devel openldap-servers mysql-devel postgresql-devel gcc openssl-devel cyrus-sasl-devel pkgconfig zlib-devel pcre-devel expect libtool-ltdl-devel libtool libtool-ltdl gdbm-devel pam-devel gamin-devel

Obtenez libpcap à partir du site officiel à l'adresse suivante:
http://www.tcpdump.org/#latest

Et enfin dans le répertoire de téléchargement;

1. sudo tar -zxvf libpcap-1.×.×.tar.gz
2. cd libpcap-1.×.x

#./configure
#./make
#./make install
and run

#cd ~snort-xxxxxx (your directory)
#./configure –with-mysql –enable-dynamicplugin


Hope it help