Enviado por J3ss3SHL el Vie, 20/04/2018 - 01:51
Snort

Snort es un programa creado por Martin Roesch, que es ampliamente utilizado como Intrusion Prevention System (IPS) e Intrusion Detection System (IDS) en la red. Se divide en cinco mecanismos importantes: motor de detección, sistema de registro y alerta, decodificador de paquetes y módulos de salida. El  programa es bastante famoso para llevar  análisis de tráfico en tiempo real, también para detectar consultas o ataques, registro de paquetes en redes de Protocolo de Internet, detectar actividad maliciosa, ataques de denegación de servicio y escaneo de puertos al monitorear tráfico de red, desbordamientos de búfer, servidor sondas de bloques de mensajes y escaneo de puertos sigilosos.

Snort tiene una base de datos de ataques que se actualiza constantemente a través de internet. Los usuarios pueden crear firmas basadas en las características de los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort, esta ética de comunidad y compartir ha convertido a Snort en uno de los IDS basados en red más populares, actualizados y robustos. Sin embargo, snort ofrecen capacitación impartida con un instructor virtual.


Snort se puede configurar en tres modos principales:

  • Modo Sniffer: observará los paquetes de red y los presentará en la consola.
  • Modo de registrador de paquetes: registrará los paquetes en el disco.
  • Modo de detección de intrusos: el programa monitorear el tráfico de la red y lo analizará contra un conjunto de reglas definido por el usuario.


Instalar en debían:
 

$ sudo apt update 
$ sudo apt install snort


Configuración como root:
 

/etc/init.d/snort start

nano /etc/snort/snort.conf



Debemos agregar nuestra ip, la podemos encontrar con el comando ifconfig. "Recuerden guardar el archivo".
reiniciamos el servicio:
 

/etc/init.d/snort restart

snort -A console -i enp2s0 -c /etc/snort/snort.conf


Instalar en archLinux:

$ sudo pacman -S snort

Algunos comandos en modo Sniffer:

Comencemos con lo básico! Si soló desea capturar los encabezados de paquetes TCP/IP en la pantalla.
 

$ sudo snort -v


Este comando solo mostrará los encabezados de IP y TCP / UDP / ICMP.

$ sudo snort -vd


"Snort funciona con Oinkcodes. Que son claves únicas asociadas a su cuenta de usuario. También actúa como una clave de API para descargar paquetes de reglas".


Para mayor información y suscripción puedes encontrarlo en  pagina oficial https://www.snort.org/
Esperamos que esta publicación haya sido de utilidad, cualquier inquietud o sugerencia dejarla en los comentarios o bien, en los medios que indicamos a continuación. 

Síguenos en Facebook, Twitter, unete a nuestra charla en Riot, únete a IRC o únete a Telegram.

 

 

Etiquetas

Acerca del autor

Pentester. Estudiante de ingeniería informática, Twitter @j3ss3SHL