Ini semua tentang SNORT

Snort adalah sebuah software yang berguna untuk mengamati aktivitas dalam suatu jaringan komputer. Snort dapat digunakan sebagai suatu Network Intrusion Detection System (NIDS) yang berskala ringan (lightweight).

Cara Kerja Snort

 capture

Komponen – komponen Snort IDS (Intrusion Detection System) meliputi :

Rule Snort : database yang berisi pola – pola serangan berupa signature jenis-jenis serangan. Rule snort harus selalu terupdate secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi.
Snort Engine : program yang berjalan sebagai daemon proses yang selalu bekerja untuk membaca paket data dan kemudian membadingkan dengan Rule Snort.
Alert : catatan serangan pada deteksi penyusupan. Jika Snort engine mendeteksi paket data yang lewat sebagai sebuah serangan, maka snort engine akam mengirimkan alert berupa log file. Kemudian alert tersebut akan tersimpan di dalam database.

Cara Menuliskan Rule pada Snort 

Contoh penulisan rule snort :

var LOG_IP 100.10.12.13
alert tcp $LOG_IP any -> any any (msg: “Akses Dari Dia”; sid:1;) 

File konfigurasi di atas menyebabkan Snort menghasilkan alert dalam file bernama alert setiap kali IP 100.10.12.13 melakukan akses TCP, dengan pesan berupa “Akses Dari Dia”. Variabel $LOG_IP dapat digunakan dengan mensubstitusikannya menggunakan nilai yang sesungguhnya.

Contoh Lain

alert tcp any any -> any any (content:”www.facebook.com”; msg:”Someone is visiting Facebook”;sid:1000001;rev:1;)
alert tcp any any -> any any (msg:”TCP Traffic”;sid:1000002;rev:0;)

Keterangan : any any (host port)

 

Bagaimana cara menampilkan event/serangan pada Snort ?

Untuk menjalankan snort dapat menggunakan perintah di bawah ini:
#snort –v
#snort –vd
#snort –vde
#snort –v –d –e

dengan menambahkan beberapa switch –v, -d, -e akan menghasilkan beberapa keluaran yang berbeda, yaitu :
-v, untuk melihat header TCP/IP paket yang lewat.
-d, untuk melihat isi paket.
-e, untuk melihat header link layer paket seperti ethernet header.
 

Bagaimana cara menyimpan event dalam database ?

Perintah yang digunakan untuk mencatat paket yang lewat adalah :
./snort –dev –l ./log
./snort –dev –l ./log –h 172.10.100.10/24
./snort –dev –l ./log –b

Keterangan

  • Perintah yang paling penting untuk me-log paket yang lewat adalah -l ./log yang menentukan bahwa paket yang lewat akan di log / di catat ke file ./log.
  • Perintah –h 172.10.100.10/24 menunjukan bahwa yang di catat hanya packet dari host mana saja
  • Perintah –b memberitahukan agar file yang di log dalam format binary, bukan ASCII.
  • Untuk membaca file log dapat dilakukan dengan menjalankan snort dengan di tambahkan perintah –r nama file log-nya, seperti :
    ./snort –dv –r packet.log
    ./snort –dvr packet.log icmp

 

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s