التقاط الحزم باستخدام سنورت

كلنا نعرف برنامج Snort  على أنه IDS/IPS  و هذا صحيح و لكن جزء من عمله هوSniffer  و Logger . سنتطرق في هذا الموضوع الصغير لكيفية عمله كـ sniffer و Logger  بشكل سريع و أترك الباقي لكم

ملاحظات هامة:

  • قد تكون هذه الطريقة ليست الطريقة الأفضل لالتقاط البيانات, لكن أفضل دوما أن أعرف أكثر من طريقة لشيئ واحد.
  • يحتاج الـ Snort برامج إضافية (LibPcap)
  • يعمل Snort كـ sniffer  مع طبقات كم طبقات الـ OSI  وهن (2 – 7)
  • يحتاج إلى صلاحيات الـ root لكي يحول وضع كارت الشبكة إلى Promiscuous mode
  • بشكل افتراضي,  يقوم  بجمع البيانات العابرة خلال الكارت eth0
  • يعيب الـ snort  في وضع الـ Sniffer و الـ Logger  عيب مهم و هو البطئ و قد يسقط/يفقد بعض البيانات و هو يوضح مقدار الحزم المفقودة بعد كل انتهاء العملية.

لنبدأ,,


#~ الـوضع Sniffer:

لإلتقاط الـ TCP-headers  فقط

snort -v

النتيجة

Running in packet dump mode

--== Initializing Snort ==--

Initializing Output Plugins!

***
*** interface device lookup found: eth0
***
Initializing Network Interface eth0
Decoding Ethernet on interface eth0
--== Initialization Complete ==--
,,_     -*> Snort! <*-
o"  )~   Version 2.8.6 (Build 38)
''''    By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2010 Sourcefire, Inc., et al.
Using PCRE version: 6.6 06-Feb-2006
Not Using PCAP_FRAMES
*** Caught Int-Signal
Run time prior to being shutdown was 11.293919 seconds
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
06/25-13:17:36.995403 209.85.129.106 -> 192.168.1.10
ICMP TTL:51 TOS:0x0 ID:7196 IpLen:20 DgmLen:84
Type:0  Code:0  ID:48736  Seq:167  ECHO REPLY
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
06/25-13:17:37.867221 192.168.1.10 -> 209.85.129.106
ICMP TTL:63 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF
Type:8  Code:0  ID:48736   Seq:168  ECHO
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
06/25-13:17:37.987125 209.85.129.106 -> 192.168.1.10
ICMP TTL:51 TOS:0x0 ID:7197 IpLen:20 DgmLen:84
Type:0  Code:0  ID:48736  Seq:168  ECHO REPLY
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
*** Caught Int-Signal
Run time prior to being shutdown was 4.112018 seconds
===============================================================================
Packet Wire Totals:
Received:            5
Analyzed:           10 (200.000%)
Dropped:            0 (0.000%)
Outstanding: 18446744073709551611 (368934881474191032320.000%)
==============================================================================
Breakdown by protocol (includes rebuilt packets):
ETH: 10         (100.000%)
ETHdisc: 0          (0.000%)
VLAN: 0          (0.000%)
IPV6: 0          (0.000%)
IP6 EXT: 0          (0.000%)
IP6opts: 0          (0.000%)
IP6disc: 0          (0.000%)
IP4: 10         (100.000%)
IP4disc: 0          (0.000%)
TCP 6: 0          (0.000%)
UDP 6: 0          (0.000%)
ICMP6: 0          (0.000%)
ICMP-IP: 0          (0.000%)
TCP: 2          (20.000%)
UDP: 0          (0.000%)
ICMP: 8          (80.000%)
TCPdisc: 0          (0.000%)
UDPdisc: 0          (0.000%)
ICMPdis: 0          (0.000%)
FRAG: 0          (0.000%)
FRAG 6: 0          (0.000%)
ARP: 0          (0.000%)
EAPOL: 0          (0.000%)
ETHLOOP: 0          (0.000%)
IPX: 0          (0.000%)
OTHER: 0          (0.000%)
DISCARD: 0          (0.000%)
InvChkSum: 0          (0.000%)
S5 G 1: 0          (0.000%)
S5 G 2: 0          (0.000%)
Total: 10
===============================================================================

Action Stats:
ALERTS: 0
LOGGED: 0
PASSED: 0

===============================================================================

بالطبع,  قمت بعملية بسيطة وقصيرة للتوضيح فقط

لالتقاط حزم الطبقة 7 = Application Layer

snort -dv

النتيجة


Running in packet dump mode

        --== Initializing Snort ==--
Initializing Output Plugins!
***
*** interface device lookup found: eth0
***
Initializing Network Interface eth0
Decoding Ethernet on interface eth0

        --== Initialization Complete ==--

   ,,_     -*> Snort! <*-   o"  )~   Version 2.8.6 (Build 38)      ''''    By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team            Copyright (C) 1998-2010 Sourcefire, Inc., et al.            Using PCRE version: 6.6 06-Feb-2006 Not Using PCAP_FRAMES 06/25-13:38:00.532689 192.168.1.10 -> 209.85.129.106
ICMP TTL:63 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF
Type:8  Code:0  ID:48736   Seq:1390  ECHO
5F 88 24 4C 45 B1 09 00 08 09 0A 0B 0C 0D 0E 0F  _.$LE...........
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F  ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F   !"#$%&'()*+,-./
30 31 32 33 34 35 36 37                          01234567
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
06/25-13:38:00.652912 209.85.129.106 -> 192.168.1.10
ICMP TTL:51 TOS:0x0 ID:8100 IpLen:20 DgmLen:84
Type:0  Code:0  ID:48736  Seq:1390  ECHO REPLY
5F 88 24 4C 45 B1 09 00 08 09 0A 0B 0C 0D 0E 0F  _.$LE...........
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F  ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F   !"#$%&'()*+,-./
30 31 32 33 34 35 36 37                          01234567
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
06/25-13:38:01.528870 ARP who-has 192.168.1.1 tell 192.168.1.10
06/25-13:38:01.529098 ARP reply 192.168.1.1 is-at 0:1D:7E:B5:EE:50
06/25-13:38:01.533797 192.168.1.10 -> 209.85.129.106
ICMP TTL:63 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF
Type:8  Code:0  ID:48736   Seq:1391  ECHO
60 88 24 4C 5D B7 09 00 08 09 0A 0B 0C 0D 0E 0F  `.$L]...........
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F  ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F   !"#$%&'()*+,-./
30 31 32 33 34 35 36 37                          01234567
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
06/25-13:38:01.653784 209.85.129.106 -> 192.168.1.10
ICMP TTL:51 TOS:0x0 ID:8101 IpLen:20 DgmLen:84
Type:0  Code:0  ID:48736  Seq:1391  ECHO REPLY
60 88 24 4C 5D B7 09 00 08 09 0A 0B 0C 0D 0E 0F  `.$L]...........
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F  ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F   !"#$%&'()*+,-./
30 31 32 33 34 35 36 37                          01234567
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
*** Caught Int-Signal
Run time prior to being shutdown was 2.489102 seconds
===============================================================================
Packet Wire Totals:
   Received:            3
   Analyzed:            6 (200.000%)
    Dropped:            0 (0.000%)
Outstanding: 18446744073709551613 (614891469123651764224.000%)
===============================================================================
Breakdown by protocol (includes rebuilt packets):
      ETH: 6          (100.000%)
  ETHdisc: 0          (0.000%)
     VLAN: 0          (0.000%)
     IPV6: 0          (0.000%)
  IP6 EXT: 0          (0.000%)
  IP6opts: 0          (0.000%)
  IP6disc: 0          (0.000%)
      IP4: 4          (66.667%)
  IP4disc: 0          (0.000%)
    TCP 6: 0          (0.000%)
    UDP 6: 0          (0.000%)
    ICMP6: 0          (0.000%)
  ICMP-IP: 0          (0.000%)
      TCP: 0          (0.000%)
      UDP: 0          (0.000%)
     ICMP: 4          (66.667%)
  TCPdisc: 0          (0.000%)
  UDPdisc: 0          (0.000%)
  ICMPdis: 0          (0.000%)
     FRAG: 0          (0.000%)
   FRAG 6: 0          (0.000%)
      ARP: 2          (33.333%)
    EAPOL: 0          (0.000%)
  ETHLOOP: 0          (0.000%)
      IPX: 0          (0.000%)
    OTHER: 0          (0.000%)
  DISCARD: 0          (0.000%)
InvChkSum: 0          (0.000%)
   S5 G 1: 0          (0.000%)
   S5 G 2: 0          (0.000%)
    Total: 6
===============================================================================
Action Stats:
ALERTS: 0
LOGGED: 0
PASSED: 0
===============================================================================
Snort exiting

لتحديد كرت الشبكة استخدم مفتاح i

snort -dv -i eth2


لالتقاط الحزم من الطبقة2= DatatLink إلى الطبقة 7 = Application Layer

snort -dev

النتيجة

Running in packet dump mode

        --== Initializing Snort ==--
Initializing Output Plugins!
***
*** interface device lookup found: eth0
***
Initializing Network Interface eth0
Decoding Ethernet on interface eth0

        --== Initialization Complete ==--

   ,,_     -*> Snort! <*-   o"  )~   Version 2.8.6 (Build 38)      ''''    By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team            Copyright (C) 1998-2010 Sourcefire, Inc., et al.            Using PCRE version: 6.6 06-Feb-2006 Not Using PCAP_FRAMES 06/25-13:48:02.876133 0:1D:7E:B5:EE:50 -> 0:11:95:E1:A4:B7 type:0x800 len:0x62
209.85.129.106 -> 192.168.1.10 ICMP TTL:51 TOS:0x0 ID:8524 IpLen:20 DgmLen:84
Type:0  Code:0  ID:48736  Seq:1992  ECHO REPLY
BA 8A 24 4C FE 7B 01 00 08 09 0A 0B 0C 0D 0E 0F  ..$L.{..........
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F  ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F   !"#$%&'()*+,-./
30 31 32 33 34 35 36 37                          01234567

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

06/25-13:48:03.745957 0:11:95:E1:A4:B7 -> 0:1D:7E:B5:EE:50 type:0x800 len:0x62
192.168.1.10 -> 209.85.129.106 ICMP TTL:63 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF
Type:8  Code:0  ID:48736   Seq:1993  ECHO
BB 8A 24 4C 8B 80 01 00 08 09 0A 0B 0C 0D 0E 0F  ..$L............
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F  ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F   !"#$%&'()*+,-./
30 31 32 33 34 35 36 37                          01234567

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

06/25-13:48:03.866865 0:1D:7E:B5:EE:50 -> 0:11:95:E1:A4:B7 type:0x800 len:0x62
209.85.129.106 -> 192.168.1.10 ICMP TTL:51 TOS:0x0 ID:1616 IpLen:20 DgmLen:84
Type:0  Code:0  ID:48736  Seq:1993  ECHO REPLY
BB 8A 24 4C 8B 80 01 00 08 09 0A 0B 0C 0D 0E 0F  ..$L............
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F  ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F   !"#$%&'()*+,-./
30 31 32 33 34 35 36 37                          01234567

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

06/25-13:48:04.746714 0:11:95:E1:A4:B7 -> 0:1D:7E:B5:EE:50 type:0x800 len:0x62
192.168.1.10 -> 209.85.129.106 ICMP TTL:63 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF
Type:8  Code:0  ID:48736   Seq:1994  ECHO
BC 8A 24 4C 1E 85 01 00 08 09 0A 0B 0C 0D 0E 0F  ..$L............
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F  ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F   !"#$%&'()*+,-./
30 31 32 33 34 35 36 37                          01234567

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

06/25-13:48:04.866976 0:1D:7E:B5:EE:50 -> 0:11:95:E1:A4:B7 type:0x800 len:0x62
209.85.129.106 -> 192.168.1.10 ICMP TTL:51 TOS:0x0 ID:8525 IpLen:20 DgmLen:84
Type:0  Code:0  ID:48736  Seq:1994  ECHO REPLY
BC 8A 24 4C 1E 85 01 00 08 09 0A 0B 0C 0D 0E 0F  ..$L............
10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F  ................
20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F   !"#$%&'()*+,-./
30 31 32 33 34 35 36 37                          01234567

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

*** Caught Int-Signal
Run time prior to being shutdown was 2.886114 seconds
===============================================================================
Packet Wire Totals:
   Received:            3
   Analyzed:            5 (166.667%)
    Dropped:            0 (0.000%)
Outstanding: 18446744073709551614 (614891469123651764224.000%)
===============================================================================
Breakdown by protocol (includes rebuilt packets):
      ETH: 5          (100.000%)
  ETHdisc: 0          (0.000%)
     VLAN: 0          (0.000%)
     IPV6: 0          (0.000%)
  IP6 EXT: 0          (0.000%)
  IP6opts: 0          (0.000%)
  IP6disc: 0          (0.000%)
      IP4: 5          (100.000%)
  IP4disc: 0          (0.000%)
    TCP 6: 0          (0.000%)
    UDP 6: 0          (0.000%)
    ICMP6: 0          (0.000%)
  ICMP-IP: 0          (0.000%)
      TCP: 0          (0.000%)
      UDP: 0          (0.000%)
     ICMP: 5          (100.000%)
  TCPdisc: 0          (0.000%)
  UDPdisc: 0          (0.000%)
  ICMPdis: 0          (0.000%)
     FRAG: 0          (0.000%)
   FRAG 6: 0          (0.000%)
      ARP: 0          (0.000%)
    EAPOL: 0          (0.000%)
  ETHLOOP: 0          (0.000%)
      IPX: 0          (0.000%)
    OTHER: 0          (0.000%)
  DISCARD: 0          (0.000%)
InvChkSum: 0          (0.000%)
   S5 G 1: 0          (0.000%)
   S5 G 2: 0          (0.000%)
    Total: 5
===============================================================================
Action Stats:
ALERTS: 0
LOGGED: 0
PASSED: 0
===============================================================================
Snort exiting

#~ الـوضع Logger:

  • لا يفرق هذا الوضع عن سابقه إلا في أنه يقوم بتخزين المخرجات في ملف بامتداد معين أو بصيغة معينة للاستفادة منه لاحقا أو لفتحه ببرامج أخرى
  • Snort يدعم الصيغ التالية: (pacap, ascii, binary)
  • سنستخدم نفس المفاتيح المستخدمة في الـ Sniffing و سنضيف إليها إما ” K ” أو ” b “

لالتقاط الحزم من الطبقة2= DatatLink إلى الطبقة 7 = Application Layer بصيغة الـ ASCII

snort -vde -K ascii -l ./log/

لالتقاط الحزم من الطبقة2= DatatLink إلى الطبقة 7 = Application Layer بصيغة الـ Binary

snort -b -L FileName.snort.binary.1

ملاحظة: المسار الافتراضي للصيغة الثنائية هي

/var/log/snort/

حتى هنا أكون أنهيت ما أريد أن أعرضه

تحياتي واحترامي

نبذة عن الكاتب

المهندس صبري صالح. مهندس حماية شبكات و أنظمة و فحصها معالجة و تحليل الأحداث الأمنية و المسؤول عن تطبيق معايير الـ ISO 27001 , يعمل في بيئات متعددة المنصات. حاصل على عدة شهادات تقنية.

التعليقات:

أضف تعليقاً | عدد التعليقات: (18)

  1. شكراً صبري على الشرح لكن دائماً أفضل Ettercap لعمل أي هجوم MITM ممكن توضح الفرق بينهم؟!

  2. يقول Eng. Sabri Saleh:

    هلا بك أحمد,
    أخوي الـ Ettercap يقوم بإخراج النتائج بشكل سهل و مرتب نيابة عن وجود الـ Plugins فيه لأنه مصمم أصلا لهذا الغرض

    أما الـ Snort يعمل في الأصل IDS و يحتاج الـ Sniffing كوسيلة فقط

    لهذا لا أقول فرق بل أقول أفضلية ,, فإن الـ ettercap أفضل في الـ Sniffing لأن الـ Snort أبطأ بكثير و قد ذكرت هذا في البداية

    نورت أخوي أحمد

    تحياتي واحترامي

  3. يقول بشار:

    بارك الله فيك أخي صبري … جهد رائع ما شاء الله تبارك الله

    هل لك أن تفصّل هنا أكثر؟

    < <<يعيب الـ snort في وضع الـ Sniffer و الـ Logger عيب مهم و هو البطئ و قد يسقط/يفقد بعض البيانات و هو يوضح مقدار الحزم المفقودة بعد كل انتهاء العملية.>>>

    في أي وضع يكون البطئ؟ في وضع بايناري أم في وضع اسكي؟ أم في كلاهما؟ وما هو حجم البيانات الداخلة والذي عنده يبدأ سنورت بفقد بيانات؟

    الأمر الآخر الذي أودّ أن أسأل عنه هو الاتي:

    >>>يحتاج الـ Snort برامج إضافية (LibPcap, TCPdump)<<< Libcap مطلوبة لأي برنامج يدعم خاصيّة الشمّ (السنيفينج). ولكن هل tcpdump مطلوب؟

  4. يقول GeeKZ:

    ما شاء الله اخوي صبري شرح جميل حقا ومهم
    سأقوم بالتجربه حاليا
    ليتم فهم الموضوع بصوره اعمق
    دمت بود

  5. يقول Sudanese Hunter:

    مشكور يا الاخ الرائع المهندس صبري صالح

    نعم تطبيق snort من افضل التطبيقات في مجال الحماية على مستوى الشبكة ويعتبر de facto في هذا المجال. في خاصية اخرى موجودة فيه اعجبتني كثيرا وهي:

    تستطيع اعادة تكوين الملف (File Reconstruction) الذي قمت بارساله من خلال الباكجات التي التقطها من خلاله او ما يسمى ب Logs. هذه تعتبر مهمة جدا في عملية التحقيق في الجرائم (Forensic) بعد ان فشل التحقيق المبني على نظام التشغيل (Computer Forensic) بسبب ان الهاكر يمسح جميع الاثار فيه بعد الانتهاء من الاختراق. اما snort يمكنك وضعه في وضف Bridge مما يكون مخفيا على العامة. أكثر من يسخدم هذه الخاصية نظام التشغيل Honeywall (وهو نسخة محسنة من CentOS) المستخدم في كعنصر اساسي في Honeynet.

    التعليمات التالية تنجز هذه المهمة:

    1) لو فرضنا انك تريد اعداة تكوين ملف BackDoor.zip الذي رفعه الهاكر من خلال FTP قم بتعديل ملف snort.conf كما يلي:

    log tcp any 21 (session:binary;)

    2) قم بنسخ ملف xxxxxxx.log حتى لا تتلف اللوق الاصلي

    3) نفذ التالي:
    snort -v -c /etc/snort/snort.conf -r ../xxxxxxxx.log

    -r : تعني اقرأ من الملف المحدد بعدها.

    جرب حتى تضبط معك، وركز تحديدا على المنفذ (port) ان يكون صحيحا.

    كل الود

  6. يقول KING SABRI:

    # بشار:
    أولا أسف على التأخر في الرد و سأخبرك بالأسباب إن شاء الله
    ثانيا بالنسبة لسؤالك الأول:
    إسقاط الحزم يأتي بسبب بطئ السنورت و سبب بطئه هو اعتماده على tcpdump في عملية الـ Sniffing
    ما يثبت كلامي هو دليل تثبيت الـ Snort , ستجد فيه أنه يلزمك بتنصيب البرامج بالترتيب
    1. Libpcap
    2. tcpdum
    3. Snort

    لا أعرف صراحة ما مقدار الـحزم المطلوبة ليصل السنورت إلى مرحلة إسقاط الحزم لكن انظر في نهاية كل عملية Sniffing سترى التالي:
    Dropped: 0 (0.000%)

    في مثالنا هنا لم يسقط و لم يخسر شئ لأن مدة عملية الـ sniffing ثواني معدودة , أما لو طالت المدة (جرب 10 دقائق مثلا) ستجد حزم مفقودة

    السؤال الثاني: إجابته في السؤال الأول و أضيف عليه
    Libpcap كما قلت هي ضرورية لكل البرامج التي تعمل Sniffing ولكن ليس كل الـ Sniffing يشترط هذه الحزمة لأن الـ Libcap تخدم الـ Low Level Sniffing أي ما تحت الـ Presentation Layer Packets , هذه نقطة

    الـ tcpdump يطلبه الـ snort بشكل أساسي نعم , لكن برامج الـ Sniffing الأخرى لا تعتمد عليه

    دكتور ,, لو لم أجيبك فأخبرني بما هو غامض

    نورتني :$
    تحياتي و احترامي

  7. يقول KING SABRI:

    # GeeKZ:
    مرحبا أخوي حياك الله في أي و قت و جرب و ارجع اسأل لو نقص عليك شئ
    ==========
    #Sudanese Hunter: أكثر ما يعجبني فيك أن إضافاتك دائما تفيد صاحب الموضوع قبل القراء أيضا
    إن شاء الله سأقوم بتجربتها بإذن الله و سأضع ما أجد سواء في موضوع مستقل أو موضوع مربتط

  8. يقول Eng. Sabri Saleh:

    بعد التأكد من المعلومة و مراجعتها ,,

    الـ Snort لا يستخدم الـ Tcpdump لكي يعمل كــ Sniffer و يبدو أني فهمت المعلومة بشكل خاطئ

    ملاحظة: قمت بتصحيح المعلومة في الموضوع لتحاشي الاتباس في المستقبل

    أعتذر عن الخطأ , و شكرا لك د/بشار لتنبيهي

    تحياتي و احترامي

    • يقول عبدالعظيم سليماني:

      حيك الله يا اخي من فضلك انا مبتدىء واريد المساعدة لاتمام رسالة الليسانس هدا العام في كيفية استعمل السنورت وما عمله وشكرا

  9. يقول عبدالعظيم سليماني:

    الرجاء المساعدة لدي مشكلة في السنورت ودائما يأتيني نفس الخطاء التالي
    Intializing Output Plugins!
    ERROR:Failed to lookup interface: o’ F. please specify one with -i switch
    Fatal Error,Quitting..

  10. يقول بشار:

    من خلال رسالة الخطأ نفسها يبدو أنك لم تستعمل أو توجه سنورت لمحول الشبكة الذي ستستخدمه.

    جرب إضافة


    -i eth0

  11. يقول عبدالعظيم سليماني:

    C:\Snort\bin>snort -i eth0
    Running in packet dump mode

    –== Initializing Snort ==–
    Initializing Output Plugins!
    pcap DAQ configured to passive.
    Acquiring network traffic from “eth0”.
    ERROR: Can’t start DAQ (-1) – ÿ]▬♥!
    Fatal Error, Quitting..

    C:\Snort\bin>snort -i eth0-
    Running in packet dump mode

    –== Initializing Snort ==–
    Initializing Output Plugins!
    pcap DAQ configured to passive.
    Acquiring network traffic from “eth0-“.
    ERROR: Can’t start DAQ (-1) – ÿ]‼♥!
    Fatal Error, Quitting..

  12. يقول عبدالعظيم سليماني:

    بعد تجربة ما قلته لي كانت النتيجة كما كتبت

  13. يقول عبدالعظيم سليماني:

    شكرا جزيلا على المساعدة وهدا SKYPE الخاص بي ادا اردت مساعدتي
    Ziga 541

  14. يقول عبدالعظيم سليماني:

    الرجاء لم استطع ايضا تحميل snort rules
    my snort version is 2.9.0.4
    اتمنى المساعدة قريبا لانني مقبل على رسالة تخرج والمطلوب مني فيها كيفية استخدام سنورت
    عنوان رسالة التخرج هي(intrusion detection system(snort
    اجركم على الله في سبيل العلم

  15. يقول صبري صالح:

    أخي عبد العظيم , أنت تستخدم ويندوز ,,
    بصراحة لا أعرف كيف ستكون التسمية للكروت في الويندوز

  16. السلام عليكم اصحاب التجمع الكريم اني طالب ماجستير ولدي سوال فيما يتعلق بالسنورت واتمنى يارب شخص ايجاوبني يارب وهو عن تلك الخطوات كيف اقوم بحلها .
    Use the default rule set supplied in the website and see that it catches the ftp hack. Perform the hack on
    your machine. Include the alert message generated in your report
    2) Now develop rules for the following hacks:
    a) Any packet of size > 100 bytes from network 10.0.0.0 /24 designated to port 80.
    b) Any packet that contains the following string “Hello MCN1034”
    c) Any packet that is designated to a service that is not running in your machine
    d) Any packet with shell code

أكتب تعليق