اسنورت چیست (snort) یک سیستم تشخیص نفوذ است که تحت مجوز GPL منتشر شده و اولین بار در سال ۱۹۹۸ توسط (Martin Roesch) نوشته شده است. Snort در حال حاضر توسط Sourcefire در حال توسعه است. این برنامه در سال ۲۰۰۹ به عنوان یکی از بهترین برنامه های رایگان تمام ادوار انتخاب شده است.
اسنورت چیست (snort)
اسنورت چیست قدرتمندترین نرم افزار NIDS ، رایگان و منبع باز NIPS است که توانایی تجزیه و تحلیل سریع ترافیک شبکه برای شناسایی و جلوگیری از نفوذ را دارد. Snort در سال ۲۰۰۹ به عنوان بهترین برنامه منبع باز در زمان خود شناخته شد. Snort توسط توسعه دهندگان Sourcefire متعلق به شرکت معروف سیسکو ساخته شده است. Snort را می توان در چهار حالت استفاده کرد که عبارتند از:
- Sniffer Mode : در این حالت ، Snort ترافیک شبکه را کنترل می کند Sniff در این حالت ، کارت شبکه سیستمی که Snort روی آن نصب شده است باید در حالت Promiscuous باشد تا ترافیک شبکه را دریافت ، تحلیل و تجزیه و تحلیل کند.
- Packet Logger Mode : در این حالت Snort از ترافیک هایی که Sniff شده اند گزارشی از آنها ایجاد می نماید.
- IDS Mode : در این حالت ، Snort در حالت IDS است و می تواند ترافیکی را که Sniff بوده بررسی و تجزیه و تحلیل کند و در صورت حمله ، نفوذ یا رفتار غیرمعمول ، آنها را شناسایی کرده و گزارشی درباره آنها ایجاد کند.
- DAQ : مجموعه ای از API Library که اطلاعات Snort را جمع آوری می کند. DAQ از بسته Libdnet برای جمع آوری اطلاعات استفاده می کند.
- Libdnet: ابزاری ساده برای تحلیل و دستکاری Packet شبکه.
- Tcpdump: ابزاری Sniffer برای ترافیک شبکه Sniff استفاده می شود.
- Libpcap: با استفاده از این بسته ، شبکه Packet می تواند Capture باشد.
- Pcre – مجموعه ای از Library که برای پیاده سازی الگوهای منظم برای Rule های Snort استفاده می شود
- Inline Mode: در این حالت ، Snort در حالت IPS است و سعی می کند از حملات شناسایی شده ، نفوذ یا رفتار غیر عادی جلوگیری کند.
( IDS ( Intrusion Detection System چیست؟
IDS مخفف Intrusion Detection System و یک نرم افزار یا دستگاه سخت افزاری است که می تواند حملات یا نفوذهای رخ داده در شبکه و سیستم را تشخیص دهد و همچنین از نحوه کار آنها گزارش می دهد. IPS (Intrusion Prevension System چیست؟ IPS به معنای سیستم ممانعت یا جلوگیری از نفوذ و یک نرم افزار یا دستگاه سخت افزاری است که سعی در جلوگیری از حملات و نفوذهای شناسایی شده توسط IDS دارد.
انواع IDS :
- ( Host Base IDS ( HIDS
- ( Network Base IDS ( NIDS
- File Integrity Checker
- ( Distributed IDS ( DIDS
DIDS چیست؟
در این نوع IDS چندین نوع NIDSA یا HIDS یا ترکیبی و یک ایستگاه مرکزی نیز برای مدیریت آنها استفاده می شود. IDS به طور کلی از دو روش برای تشخیص نفوذ استفاده می کند که عبارتند از:
- Signature(misuse)BaseDetection: در این روش ، اول از همه ، الگوهایی به صورت Rule ایجاد می شوند و ترافیک شبکه در برابر این Rule ها بررسی و تأیید می شود و در صورت مطابقت با آنها ، می توان گزارش تهیه کرد.
- Behavior Anomaly Detection: در این تکنیک ، شما ابتدا الگوها و قوانینی را براساس رفتار عادی ترافیک شبکه یا سیستم ایجاد می کنید و در صورت مشاهده رفتار غیرعادی ، آن را گزارش می کنید.
File Integrity Checker چیست?
در این نوع IDS ابتدا Signature را برای تمام فایلهای سیستم ایجاد کرده و در یک پایگاه داده ذخیره می کند ، سپس در فواصل زمانی که مشخص می کنیم ، وضعیت فعلی پرونده های سیستم را با Signature های موجود در پایگاه داده مقایسه می کند. و هرگونه تغییر در پرونده ها یا ایجاد و حذف پرونده را گزارش دهید.
مطالب مرتبط
NIDS چیست?
در این نوع IDS ، ترافیک شبکه Capture را بررسی می کند و هرگونه حمله ، نفوذ یا ترافیک مخرب را شناسایی و گزارش می کند. در این نوع IDS ، کارت شبکه IDS برای دریافت شبکه و بررسی و تجزیه و تحلیل آنها ، باید در حالت Promiscuous باشد.
HIDS چیست?
این نوع IDS برای شناسایی و حملات ، نفوذها و فعالیتهای غیرمجاز بر روی سیستمهای میزبان مورد استفاده قرار می گیرد و در این نوع بسته به IDS مورد استفاده ، در بعضی موارد نصب Agent بر روی سیستمهای مورد نیاز ضروری است. نصب ، شناسایی و گزارش حملات ، نفوذها و فعالیتهای غیر مجاز در سیستمهای مذکور از طریق Agent.
Click to rate this post!
[Total: ۱ Average: ۱]
نظرات کاربران