Deteksi Intrusi dengan Tutorial Snort

Pemikiran umum adalah bahwa jika firewall melindungi jaringan seseorang, jaringan tersebut dianggap aman. Namun, itu tidak sepenuhnya benar. Firewall adalah komponen fundamental dari sebuah jaringan, tetapi mereka tidak dapat sepenuhnya melindungi jaringan dari entri paksa atau niat jahat.Intrusion Detection Systems digunakan untuk mengevaluasi paket agresif atau tak terduga dan menghasilkan peringatan sebelum program ini dapat membahayakan jaringan. Sistem Deteksi Intrusi berbasis host berjalan di semua perangkat dalam jaringan atau terhubung ke jaringan internal organisasi. Sebaliknya, Sistem Deteksi Intrusi berbasis jaringan dikerahkan pada titik atau kelompok titik tertentu dari mana semua lalu lintas masuk dan keluar dapat dipantau. Keuntungan dari Sistem Deteksi Intrusi berbasis host adalah ia juga dapat mendeteksi anomali atau lalu lintas berbahaya yang dihasilkan dari host itu sendiri, yaitu jika host dipengaruhi oleh malware, dll.Intrusion Detection Systems (IDS) bekerja dengan memantau dan menganalisis lalu lintas jaringan dan membandingkannya dengan seperangkat aturan yang ditetapkan, menentukan apa yang harus dianggap normal untuk jaringan (yaitu, untuk port, bandwidth, dll.) dan apa yang harus dilihat lebih dekat.

Sistem Deteksi Intrusi dapat digunakan tergantung pada ukuran jaringan. Ada lusinan IDS komersial berkualitas, tetapi banyak perusahaan dan usaha kecil tidak mampu membelinya.Snort adalah Intrusion Detection System yang fleksibel, ringan, dan populer yang dapat digunakan sesuai dengan kebutuhan jaringan, mulai dari jaringan kecil hingga besar, dan menyediakan semua fitur IDS berbayar. Snort tidak memerlukan biaya apa pun tetapi itu tidak berarti bahwa ia tidak dapat menyediakan fungsionalitas yang sama dengan IDS komersial elit. Snort dianggap sebagai IDS pasif, yang berarti mengendus paket jaringan, membandingkan dengan aturan, dan, dalam kasus mendeteksi log atau entri berbahaya (yaitu, mendeteksi intrusi), menghasilkan peringatan atau menempatkan entri dalam file log. Snort digunakan untuk memantau operasi dan aktivitas router, firewall, dan server. Snort menyediakan interface yang ramah user, berisi rangkaian aturan yang dapat sangat membantu bagi orang yang tidak terbiasa dengan IDS. Snort menghasilkan alarm jika terjadi intrusi (serangan buffer overflow, keracunan DNS, sidik jari OS, pemindaian port, dan banyak lagi), memberikan organisasi visibilitas yang lebih besar dari lalu lintas jaringan dan membuatnya lebih mudah untuk memenuhi peraturan keamanan.

Menginstal Snort

Sebelum Anda menginstal Snort, ada beberapa software atau paket open source yang harus Anda instal terlebih dahulu untuk mendapatkan yang terbaik dari program ini.

  • Libpcap: Sebuah packet sniffer seperti Wireshark yang digunakan untuk menangkap, memantau, dan menganalisis lalu lintas jaringan. Untuk memasanglibpcap, gunakan perintah berikut untuk mengdownload paket dari situs web resmi, unzip paket, lalu instal:
[email protected]:~$ wget http://www.tcpdump.org/release/libpcap-1.9.1.tar.gz
[email protected]:~$ tar -xzvf libpcap-<version number>
[email protected]:~$ cd libpcap-<version number>
[email protected]:~$./configure
[email protected]:~$ sudo make
[email protected]:~$ make install
  • OpenSSH: Alat konektivitas aman yang menyediakan saluran aman, bahkan melalui jaringan yang tidak aman, untuk masuk dari jarak jauh melalui ssh protokol. OpenSSH digunakan untuk terhubung ke sistem dari jarak jauh dengan hak admin. OpenSSH dapat diinstal menggunakan perintah berikut:
[email protected]:~$ wget http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/
portable/openssh-8.3p1.tar.gz
[email protected]:~$ tar xzvf openssh-<version number>
[email protected]:~$ cd openssh-<version number>
[email protected]:~$./configure
[email protected]:~$ sudo make install
  • MySQL: Sumber terbuka dan gratis paling populer SQL basis data. MySQL digunakan untuk menyimpan data alert dari Snort. Pustaka SQL digunakan oleh engine jarak jauh untuk berkomunikasi dan mengakses database tempat entri log Snort disimpan. MySQL dapat diinstal menggunakan perintah berikut:
[email protected]:~$ sudo apt-get install mysql
  • Apache Web Server: Server web yang paling banyak digunakan di internet. Apache digunakan untuk menampilkan konsol analisis melalui web server. Dapat didownload dari situs resminya di sini:http://httpd.apache.org/, atau dengan menggunakan perintah berikut:
[email protected]:~$ sudo apt-get install apache2
  • PHP: PHP adalah bahasa scripting yang digunakan dalam pengembangan web. Mesin pengurai PHP diperlukan untuk menjalankan konsol Analisis. Itu dapat didownload dari situs web resmi:https://www.php.net/downloads.php, atau dengan menggunakan perintah berikut:
[email protected]:~$ wget https://www.php.net/distributions/php-7.4.9.tar.bz2
[email protected]:~$ tar -xvf php-<version number>.tar
[email protected]:~$ cd php-<version number>
[email protected]:~$ sudo make
[email protected]:~$ sudo make install
  • OpenSSL: Digunakan untuk mengamankan komunikasi melalui jaringan tanpa mengkhawatirkan pihak ketiga mengambil atau memantau data yang dikirim dan diterima. OpenSSL menyediakan fungsionalitas kriptografi ke server web. Itu dapat didownload dari situs web resmi:https://www.openssl.org/.
  • Stunnel: Program yang digunakan untuk mengenkripsi lalu lintas jaringan atau koneksi sewenang-wenang di dalam SSL dan yang bekerja bersama OpenSSL. Stunnel dapat didownload dari situs resminya: https://www.stunnel.org/, atau dapat diinstal menggunakan perintah berikut:
[email protected]:~$ wget https://www.stunnel.org/downloads/stunnel-5.56-android.zip
[email protected]:~$ tar xzvf stunnel- <version number>
[email protected]:~$ cd stunnel- <version number>
[email protected]:~$./configure
[email protected]:~$ sudo make install
  • ACID: Singkatan dari Analysis Control for Intrusion Detection. ACID adalah interface pencarian yang didukung kueri yang digunakan untuk menemukan alamat IP yang cocok, pola yang diberikan, perintah tertentu, muatan, tanda tangan, port tertentu, dll., dari semua peringatan yang dicatat. Ini menyediakan fungsionalitas mendalam dari analisis paket, memungkinkan identifikasi apa yang sebenarnya coba dicapai oleh penyerang dan jenis muatan yang digunakan dalam serangan itu.ACID dapat didownload dari situs resminya: https://www.sei.cmu.edu/about/divisions/cert/index.cfm.

Sekarang semua paket dasar yang diperlukan telah terinstal, Snort dapat didownload dari situs resminya, snort.org, dan dapat diinstal menggunakan perintah berikut:

[email protected]:~$ wget https://www.snort.org/downloads/snort/snort-2.9.16.1.tar.gz
[email protected]:~$ tar xvzf snort- <version number>
[email protected]:~$ cd snort- <version number>
[email protected]:~$./configure
[email protected]:~$ sudo make && --enable-source-fire
[email protected]:~$ sudo make install

Selanjutnya, jalankan perintah berikut untuk memeriksa apakah Snort sudah terinstal dan versi Snort yang Anda gunakan:

[email protected]:~$ snort --
,,_ -*> Snort! <*-
o" )~ Version number ''''
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.8.1
Using PCRE version: 8.39 2016-06-14
Using ZLIB version: 1.2.11

Setelah instalasi berhasil, file-file berikut seharusnya telah dibuat pada sistem:

/usr/bin/snort: Ini adalah executable biner Snort.

/usr/share/doc/snort: Berisi dokumentasi dan halaman manual Snort.

/etc/snort: Berisi semua aturan dariSnort dan itu juga file konfigurasinya.

Menggunakan Snort

Untuk menggunakan Snort, pertama-tama Anda harus mengkonfigurasi Home_Netvalue dan berikan nilai alamat IP jaringan yang Anda lindungi. Alamat IP jaringan dapat diperoleh dengan menggunakan perintah berikut:

[email protected]:~$ ifconfig

Dari hasilnya, copy nilai inet address dari jaringan yang diinginkan. Sekarang, buka file konfigurasi Snort/etc/snort/snort.conf menggunakan perintah berikut:

[email protected]:~$ sudo vim /etc/snort/snort.conf

Anda akan melihat output seperti ini:

Temukan garisnya “ipvar HOME_NET.” Di depan ipvar HOME_NET, tulis alamat IP yang dicopy sebelumnya dan simpan file. Sebelum berlariSnort, hal lain yang harus Anda lakukan adalah menjalankan jaringan dalam cara promiscuous. Anda dapat melakukannya dengan menggunakan perintah berikut:

[email protected]:~$ /sbin/ifconfig -<network name> -promisc

Sekarang, Anda siap untuk berlari Snort. Untuk memeriksa statusnya dan menguji file konfigurasi, gunakan perintah berikut:

[email protected]:~$ sudo snort -T -i <name of the network i.e eth0> -c /etc/snort/snort.conf 

4150 Snort rules read
    3476 detection rules
    0 decoder rules
    0 preprocessor rules
3476 Option Chains linked into 290 Chain Headers
0 Dynamic rules
+++++++++++++++++++++++++++++++++++++++++++++++++++

+-------------------[Rule Port Counts]---------------------------------------
|             tcp     udp    icmp      ip
|     src     151      18       0       0
|     dst    3306     126       0       0
|     any     383      48     145      22
|      nc      27       8      94      20
|     s+d      12       5       0       0
+----------------------------------------------------------------------------

+-----------------------[detection-filter-config]------------------------------
| memory-cap : 1048576 bytes
+-----------------------[detection-filter-rules]-------------------------------
| none
-------------------------------------------------------------------------------

+-----------------------[rate-filter-config]-----------------------------------
| memory-cap : 1048576 bytes
+-----------------------[rate-filter-rules]------------------------------------
| none
-------------------------------------------------------------------------------

+-----------------------[event-filter-config]----------------------------------
| memory-cap : 1048576 bytes
+-----------------------[event-filter-global]----------------------------------
| none
+-----------------------[event-filter-local]-----------------------------------
| gen-id=1      sig-id=3273       type=Threshold tracking=src count=5   seconds=2  
| gen-id=1      sig-id=2494       type=Both      tracking=dst count=20  seconds=60
| gen-id=1      sig-id=3152       type=Threshold tracking=src count=5   seconds=2  
| gen-id=1      sig-id=2923       type=Threshold tracking=dst count=10  seconds=60
| gen-id=1      sig-id=2496       type=Both      tracking=dst count=20  seconds=60
| gen-id=1      sig-id=2275       type=Threshold tracking=dst count=5   seconds=60
| gen-id=1      sig-id=2495       type=Both      tracking=dst count=20  seconds=60
| gen-id=1      sig-id=2523       type=Both      tracking=dst count=10  seconds=10
| gen-id=1      sig-id=2924       type=Threshold tracking=dst count=10  seconds=60
| gen-id=1      sig-id=1991       type=Limit     tracking=src count=1   seconds=60
+-----------------------[suppression]------------------------------------------
| none
-------------------------------------------------------------------------------
Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
Verifying Preprocessor Configurations!

[ Port Based Pattern Matching Memory ]
+- [ Aho-Corasick Summary ] -------------------------------------
| Storage Format    : Full-Q
| Finite Automaton  : DFA
| Alphabet Size     : 256 Chars
| Sizeof State      : Variable (1,2,4 bytes)
| Instances         : 215
|     1 byte states : 204
|     2 byte states : 11
|     4 byte states : 0
| Characters        : 64982
| States            : 32135
| Transitions       : 872051
| State Density     : 10.6%
| Patterns          : 5055
| Match States      : 3855
| Memory (MB)       : 17.00
|   Patterns        : 0.51
|   Match Lists     : 1.02
|   DFA
|     1 byte states : 1.02
|     2 byte states : 14.05
|     4 byte states : 0.00
+----------------------------------------------------------------
[ Number of patterns truncated to 20 bytes: 1039 ]
pcap DAQ configured to passive.
Acquiring network traffic from "wlxcc79cfd6acfc".

        --== Initialization Complete ==--

   ,,_     -*> Snort! <*-
  o"  )~   Version number
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.8.1
           Using PCRE version: 8.39 2016-06-14
           Using ZLIB version: 1.2.11

           Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
           Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
           Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
           Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
           Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
           Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
           Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
           Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
           Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
           Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
           Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
           Preprocessor Object: SF_POP  Version 1.0  <Build 1>
           Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
           Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
           Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

Snort successfully validated the configuration!
Snort exiting

Aturan Snort

Kekuatan terbesar dari Snort terletak pada aturan mainnya. Snort memiliki kemampuan untuk menggunakan sejumlah besar aturan untuk memantau lalu lintas jaringan. Dalam versi terbarunya,Snort datang dengan 73 berbagai jenis dan lebih 4150 aturan untuk mendeteksi anomali, terdapat dalam folder “/etc/snort/rules.”

Anda dapat melihat jenis-jenis aturan di Snort menggunakan perintah berikut:

[email protected]:~$ ls /etc/snort/rles
attack-responses.rules community-smtp.rules icmp.rules shellcode.rules
backdoor.rules community-sql-injection.rules imap.rules smtp.rules
bad-traffic.rules community-virus.rules info.rules snmp.rules
chat.rules community-web-attacks.rules local.rules sql.rules
community-bot.rules community-web-cgi.rules misc.rules telnet.rules
community-deleted.rules community-web-client.rules multimedia.rules tftp.rules
community-dos.rules community-web-dos.rules mysql.rules virus.rules
community-exploit.rules community-web-iis.rules netbios.rules web-attacks.rules
community-ftp.rules community-web-misc.rules nntp.rules web-cgi.rules
community-game.rules community-web-php.rules oracle.rules web-client.rules
community-icmp.rules ddos.rules other-ids.rules web-coldfusion.rules
community-imap.rules deleted.rules p2p.rules web-frontpage.rules
community-inappropriate.rules dns.rules policy.rules web-iis.rules
community-mail-client.rules dos.rules pop2.rules web-misc.rules
community-misc.rules experimental.rules pop3.rules web-php.rules
community-nntp.rules exploit.rules porn.rules x11.rules
community-oracle.rules finger.rules rpc.rules
community-policy.rules ftp.rules rservices.rules
community-sip.rules icmp-info.rules scan.rules

Secara default, saat Anda menjalankan Snort dalam cara Intrusion Detection System, semua aturan ini diterapkan secara otomatis. Mari kita sekarang mengujiICMP aturan.

Pertama, gunakan perintah berikut untuk menjalankan Snort di IDS cara:

[email protected]:~$ sudo snort -A console -i <network name> 
-c /etc/snort/snort.conf

Anda akan melihat beberapa output di layar, tetap seperti itu.

Sekarang, Anda akan melakukan ping IP engine ini dari komputer lain menggunakan perintah berikut:

[email protected]:~$ ping <ip address>

Ping lima hingga enam kali, lalu kembali ke engine Anda untuk melihat apakah Snort IDS mendeteksinya atau tidak.

08/24-01:21:55.178653 [**] [1:396:6] ICMP Destination Unreachable Fragmentation
 Needed and DF bit was set [**] [Classification: Misc activity] [Priority: 3]
 {ICMP} <ip address of attacker’s mmachine> -> <this machine’s ip address>

08/24-01:21:55.178653 [**] [1:396:6] ICMP Destination Unreachable Fragmentation
Needed and DF bit was set [**] [Classification: Misc activity] [Priority: 3]
{ICMP} <ip address of attacker’s mmachine> -> <this machine’s ip address>

08/24-01:21:55.178653 [**] [1:396:6] ICMP Destination Unreachable Fragmentation
 Needed and DF bit was set [**] [Classification: Misc activity] [Priority: 3]
 {ICMP} <ip address of attacker’s mmachine> -> <this machine’s ip
 address>

08/24-01:21:55.178653 [**] [1:396:6] ICMP Destination Unreachable Fragmentation
 Needed and DF bit was set [**] [Classification: Misc activity] [Priority: 3]
 {ICMP} <ip address of attacker’s mmachine> -> <this machine’s
ip address>

08/24-01:21:55.178653 [**] [1:396:6] ICMP Destination Unreachable Fragmentation
 Needed and DF bit was set [**] [Classification: Misc activity] [Priority: 3]
 {ICMP} <ip address of attacker’s mmachine> -> <this machine’s ip
 address>

08/24-01:21:55.178653 [**] [1:396:6] ICMP Destination Unreachable Fragmentation
 Needed and DF bit was set [**] [Classification: Misc activity] [Priority: 3]
{ICMP} <ip address of attacker’s mmachine> -> <this machine’s ip
address>

Di sini, kami menerima peringatan bahwa seseorang sedang melakukan pemindaian ping. Itu bahkan menyediakanIP address dari engine penyerang.

Sekarang, kita akan pergi ke IP alamat engine ini di browser. Kami tidak akan melihat peringatan, dalam hal ini. Coba sambungkan keftp server engine ini menggunakan engine lain sebagai penyerang:

[email protected]:~$ ftp <ip address>

Kami masih tidak akan melihat peringatan apa pun karena kumpulan aturan ini tidak ditambahkan dalam aturan default, dan dalam kasus ini, tidak ada peringatan yang akan dibuat. Inilah saatnya Anda harus membuat milik Anda sendirirulesets. Anda dapat membuat aturan sesuai dengan kebutuhan Anda sendiri dan menambahkannya di “/etc/snort/rules/local.rules” file, dan kemudian snort akan secara otomatis menggunakan aturan ini saat mendeteksi anomali.

Membuat Aturan

Kami sekarang akan membuat aturan untuk mendeteksi paket mencurigakan yang dikirim di port 80 sehingga peringatan log dibuat saat ini terjadi:

# alert tcp any any -> $HOME_NET 80 (msg: "HTTP Packet found"; sid:10000001; rev:1;)

Ada dua bagian utama dalam penulisan rule, yaitu Rule Header dan Rule Options. Berikut ini adalah rincian dari aturan yang baru saja kami tulis:

  • Header
  • Alert: Tindakan yang ditentukan untuk diambil saat menemukan paket yang cocok dengan deskripsi aturan. Ada beberapa tindakan lain yang dapat ditetapkan sebagai pengganti peringatan sesuai dengan kebutuhan user, yaitu,log, reject, activate, drop, pass, dll.
  • Tcp: Di sini, kita harus menentukan protokol. Ada beberapa jenis protokol yang dapat ditentukan, yaitu,tcp, udp, icmp, dll, sesuai dengan kebutuhan user.
  • Any: Di sini, interface jaringan sumber dapat ditentukan. Jikaany ditentukan, Snort akan memeriksa semua jaringan sumber.
  • ->:Arah; dalam hal ini, diatur dari sumber ke tujuan.
  • $HOME_NET: Tempat tujuan IP address ditentukan. Dalam hal ini, kami menggunakan yang dikonfigurasi di/etc/snort/snort.conf berkas di awa
    l.
  • 80: Port tujuan tempat kami menunggu paket jaringan.
  • Options:
  • Msg: Peringatan yang akan dihasilkan atau pesan yang akan ditampilkan dalam kasus menangkap paket. Dalam hal ini, diatur ke“HTTP Packet found.”
  • sid: Digunakan untuk mengidentifikasi aturan Snort secara unik dan sistematis. Pertama1000000 nomor dicadangkan, jadi Anda bisa mulai dengan 1000001.
  • Rev: Digunakan untuk perawatan aturan yang mudah.

Kami akan menambahkan aturan ini di “/etc/snort/rules/local.rules” file dan lihat apakah itu dapat mendeteksi permintaan HTTP pada port 80.

[email protected]:~$ echo “alert tcp any any -> $HOME_NET 80 (msg: "HTTP Packet
 found"; sid:10000001; rev:1;)” >> /etc/snort/rules/local.rules

Kami siap. Sekarang, Anda dapat membukaSnort di IDS cara menggunakan perintah berikut:

[email protected]:~$ sudo snort -A console -i wlxcc79cfd6acfc
 -c /etc/snort/snort.conf

Navigasikan ke IP address engine ini dari browser.

Snort sekarang dapat mendeteksi paket apa pun yang dikirim ke port 80 dan akan menampilkan peringatan “HTTP Packet Found” di layar jika ini terjadi.

08/24-03:35:22.979898 [**] [1:10000001:0] HTTP Packet found [**]
 [Priority: 0] {TCP}<ip address>:52008 -> 35.222.85.5:80

08/24-03:35:22.979898 [**] [1:10000001:0] HTTP Packet found [**]
 [Priority: 0] {TCP}<ip address>:52008 -> 35.222.85.5:80

08/24-03:35:22.979898 [**] [1:10000001:0] HTTP Packet found [**]
 [Priority: 0] {TCP}<ip address>:52008 -> 35.222.85.5:80

08/24-03:35:22.979898 [**] [1:10000001:0] HTTP Packet found [**]
 [Priority: 0] {TCP}<ip address>:52008 -> 35.222.85.5:80

08/24-03:35:22.979898 [**] [1:10000001:0] HTTP Packet found [**]
 [Priority: 0] {TCP}<ip address>:52008 -> 35.222.85.5:80

08/24-03:35:22.979898 [**] [1:10000001:0] HTTP Packet found [**]
 [Priority: 0] {TCP}<ip address>:52008 -> 35.222.85.5:80

08/24-03:35:22.979898 [**] [1:10000001:0] HTTP Packet found [**]
 [Priority: 0] {TCP}<ip address>:52008 -> 35.222.85.5:80

Kami juga akan membuat aturan untuk mendeteksi ftp upaya masuk:

# alert tcp any any -> any 21 (msg: "FTP packet found"; sid:10000002; )

Tambahkan aturan ini ke “local.rules” file menggunakan perintah berikut:

[email protected]:~$ echo “alert tcp any any -> alert tcp any any -> any 21
 (msg: "FTP packet found"; sid:10000002; rev:1;)” >> /etc/snort/rules/local.rules

Sekarang, coba login dari komputer lain dan lihat hasil program Snort.

08/24-03:35:22.979898 [**] [1:10000002:0) FTP Packet found [**] [Priority: 0]
 {TCP}<ip address>:52008 -> 35.222.85.5:21

08/24-03:35:22.979898 [**] [1:10000002:0) FTP Packet found [**] [Priority: 0]
 {TCP}<ip address>:52008 -> 35.222.85.5:21

08/24-03:35:22.979898 [**] [1:10000002:0) FTP Packet found [**] [Priority: 0]
 {TCP}<ip address>:52008 -> 35.222.85.5:21

08/24-03:35:22.979898 [**] [1:10000002:0) FTP Packet found [**] [Priority: 0]
 {TCP}<ip address>:52008 -> 35.222.85.5:21

08/24-03:35:22.979898 [**] [1:10000002:0) FTP Packet found [**] [Priority: 0]
 {TCP}<ip address>:52008 -> 35.222.85.5:21

Seperti yang terlihat di atas, kami menerima peringatan, yang berarti bahwa kami telah berhasil membuat aturan ini untuk mendeteksi anomali pada port 21 dan pelabuhan 80.

Kesimpulan

Sistem Deteksi Intrusi sepertiSnort digunakan untuk memantau lalu lintas jaringan untuk mendeteksi saat serangan dilakukan oleh user jahat sebelum dapat melukai atau memengaruhi jaringan. Jika penyerang melakukan pemindaian port pada jaringan, serangan dapat dideteksi, bersama dengan jumlah upaya yang dilakukan,IP alamat, dan detail lainnya. Snort digunakan untuk mendeteksi semua jenis anomali, dan dilengkapi dengan sejumlah besar aturan yang sudah dikonfigurasi, bersama dengan opsi bagi user untuk menulis aturan mereka sendiri sesuai dengan kebutuhannya. Tergantung pada ukuran jaringan,Snort dapat dengan mudah diatur dan digunakan tanpa mengeluarkan biaya apa pun, dibandingkan dengan iklan berbayar lainnya Intrusion Detection Systems. Paket yang ditangkap dapat dianalisis lebih lanjut menggunakan packet sniffer, seperti Wireshark, untuk menganalisis dan memecah apa yang ada dalam pikiran penyerang selama serangan dan jenis pemindaian atau perintah yang dilakukan. Snort adalah alat gratis, sumber terbuka, dan mudah dikonfigurasi, dan ini bisa menjadi pilihan tepat untuk melindungi jaringan berukuran sedang dari serangan.

Related Posts