НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ УКРАЇНИ

«КИЇВСЬКИЙ ПОЛІТЕХНІЧНИЙ ІНСТИТУТ ІМЕНІ ІГОРЯ

СІКОРСЬКОГО»
ІНСТИТУТ ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ

Практична робота №8
На тему:
“ Встановлення та налаштування IDS на Snort"

Виконав :
студент групи ТІ-72
Гоч Богдан

Київ 2021
Встановлення

Настройка у режим IDS

 1. Що таке IDS?
Програмний або апаратний засіб, призначений для виявлення фактів
несакнціонованого доступу в комп’ютерну систему або мережу або
несанкціонованого управління ними через інтернет.
2. Чим відрізняються пасивні і активні IDS?
Пасивний IDS просто виявляє та попереджає. При виявленні підозрілого або
зловмисного трафіку формується попередження та надсилається
адміністратору або користувачеві, і вони повинні вжити заходів для блокування
активності або реагування певним чином. Активний IDS не тільки виявить
підозрілий або зловмисний трафік та попередить адміністратора, але і
вживатиме попередньо визначені проактивні дії для реагування на загрозу.
Зазвичай це означає блокування будь-якого подальшого мережевого трафіку з
вихідної IP-адреси або користувача.
3. Які задачі виконує SNORT?
Snort здатний виявляти: поганий трафік, використання експлойтів (виявлення
Shellcode) , сканування системи (порти, ОС, користувачі тощо), атаки на такі
служби як Telnet, FTP, DNS тощо, атаки DoS/DDoS, атаки, пов'язані з Web-
серверами (cgi, php, frontpage, iss тощо), атаки на бази даних SQL, Oracle тощо,
атаки через протоколи SNMP, NetBios, ICMP, атаки на SMTP, imap, pop2, pop3,
різні Backdoors, web-фільтри (частіше використовується для блокування порно
контенту), віруси.
4. Як працюють правила SNORT?
Правила Snort складаються з заголовка (Rule Header) і опцій (Rule Options).
Заголовок містить опис дії, протокол передачі даних,
IP-адреси, мережеві маски і порти, джерела і призначення. Після заголовка
правила йде необов'язкова частина правила - його опції, вони включають
визначення додаткових критеріїв виконання правила і визначення додаткових дій.
5. Як писати правила для SNORT?
Snort використовує правила, написані простою, але в той же час гнучкою і досить
потужною мовою. Більшість правил пишуться в один рядок, хоча можуть займати і
кілька рядків, в цьому випадку кожен рядок, крім останнього, повинен
закінчуватися символом "" (без лапок). У більш складних випадках можна також
викликати інші програми, використовуючи інструкцію включення.
6. Для чого писати власні правила SNORT? Для організації більш
жорсткої і спрямованої фільтрації трафіку.
7. Для чого завантажувати оновлення правил SNORT?
Для отримання розширених та оновлених функцій.
8. Як в SNORT створювати логи?
snort -A full -Q -i enpx3 --daq-dir /usr/lib64/daq -l
/var/log/snort – команда для створення логів.