Deteksi Intrusi dengan Tutorial Snort

Pemikiran umum adalah bahwa jika firewall melindungi jaringan seseorang, jaringan tersebut dianggap aman. Namun, itu tidak sepenuhnya benar. Firewall adalah komponen fundamental dari sebuah jaringan, tetapi mereka tidak dapat sepenuhnya melindungi jaringan dari entri paksa atau niat jahat. Sistem Deteksi Intrusi digunakan untuk mengevaluasi paket agresif atau tak terduga dan menghasilkan peringatan sebelum program ini dapat membahayakan jaringan. Sistem Deteksi Intrusi berbasis host berjalan di semua perangkat dalam jaringan atau terhubung ke jaringan internal organisasi. Sistem Deteksi Intrusi berbasis jaringan malah digunakan pada titik atau kelompok titik tertentu dari mana semua lalu lintas masuk dan keluar dapat dipantau. Keuntungan dari Sistem Deteksi Intrusi berbasis host adalah bahwa ia juga dapat mendeteksi anomali atau lalu lintas berbahaya yang dihasilkan dari host itu sendiri, yaitu.e., jika host terpengaruh oleh malware, dll. Sistem Deteksi Intrusi (IDS) bekerja dengan memantau dan menganalisis lalu lintas jaringan dan membandingkannya dengan seperangkat aturan yang ditetapkan, menentukan apa yang harus dianggap normal untuk jaringan (i.e., untuk port, bandwidth, dll.) dan apa yang harus dilihat lebih dekat.

Sistem Deteksi Intrusi dapat digunakan tergantung pada ukuran jaringan. Ada lusinan IDS komersial berkualitas, tetapi banyak perusahaan dan usaha kecil tidak mampu membelinya. Mendengus adalah Intrusion Detection System yang fleksibel, ringan, dan populer yang dapat digunakan sesuai dengan kebutuhan jaringan, mulai dari jaringan kecil hingga besar, dan menyediakan semua fitur IDS berbayar. Mendengus tidak memerlukan biaya apa pun, tetapi itu tidak berarti bahwa ia tidak dapat menyediakan fungsionalitas yang sama dengan IDS komersial elit. Mendengus dianggap sebagai IDS pasif, yang berarti mengendus paket jaringan, membandingkan dengan aturan, dan, dalam kasus mendeteksi log atau entri berbahaya (i.e., mendeteksi intrusi), menghasilkan peringatan atau menempatkan entri dalam file log. Mendengus digunakan untuk memantau operasi dan aktivitas router, firewall, dan server. Snort menyediakan antarmuka yang mudah digunakan, berisi rangkaian aturan yang dapat sangat membantu bagi orang yang tidak terbiasa dengan IDS. Snort menghasilkan alarm jika terjadi intrusi (serangan buffer overflow, keracunan DNS, sidik jari OS, pemindaian port, dan banyak lagi), memberikan organisasi visibilitas yang lebih besar dari lalu lintas jaringan dan membuatnya lebih mudah untuk memenuhi peraturan keamanan.

Menginstal Snort

Sebelum Anda menginstal Snort, ada beberapa software atau paket open source yang harus Anda instal terlebih dahulu untuk mendapatkan yang terbaik dari program ini.

Libpcap: Sebuah packet sniffer seperti Wireshark yang digunakan untuk menangkap, memantau, dan menganalisis lalu lintas jaringan. Untuk memasang libpcap, gunakan perintah berikut untuk mengunduh paket dari situs web resmi, unzip paket, lalu instal:

[dilindungi email]:~$ wget http://www.tcpdump.org/rilis/libpcap-1.9.1.ter.gz
[dilindungi email]:~$ tar -xzvf libpcap-
[dilindungi email]:~$ cd libpcap-
[dilindungi email]:~$ ./konfigurasi
[dilindungi email]:~$ sudo make
[dilindungi email]:~$ buat instal

BukaSSH: Alat konektivitas aman yang menyediakan saluran aman, bahkan melalui jaringan yang tidak aman, untuk masuk dari jarak jauh melalui ssh protokol. BukaSSH digunakan untuk terhubung ke sistem dari jarak jauh dengan hak admin. BukaSSH dapat diinstal menggunakan perintah berikut:

[dilindungi email]:~$ wget http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/
portabel/openssh-8.3p1.ter.gz
[dilindungi email]:~$ tar xzvf openssh-
[dilindungi email]:~$ cd openssh-
[dilindungi email]:~$ ./konfigurasi
[dilindungi email]:~$ sudo make install

MySQL: Sumber terbuka dan gratis paling populer SQL basis data. MySQL digunakan untuk menyimpan data peringatan dari Snort. Pustaka SQL digunakan oleh mesin jarak jauh untuk berkomunikasi dan mengakses database tempat entri log Snort disimpan. MySQL dapat diinstal menggunakan perintah berikut:

[dilindungi email]:~$ sudo apt-get install mysql

Server Web Apache: Server web yang paling banyak digunakan di internet. Apache digunakan untuk menampilkan konsol analisis melalui server web. Dapat diunduh dari situs resminya di sini: http://httpd.apache.organisasi/, atau dengan menggunakan perintah berikut:

[dilindungi email]:~$ sudo apt-get install apache2

PHP: PHP adalah bahasa scripting yang digunakan dalam pengembangan web. Mesin pengurai PHP diperlukan untuk menjalankan konsol Analisis. Itu dapat diunduh dari situs web resmi: https://www.php.bersih / unduhan.php, atau dengan menggunakan perintah berikut:

[dilindungi email]:~$ wget https://www.php.net/distribusi/php-7.4.9.ter.bz2
[dilindungi email]:~$ tar -xvf php-.ter
[dilindungi email]:~$ cd php-
[dilindungi email]:~$ sudo make
[dilindungi email]:~$ sudo make install

OpenSSL: Digunakan untuk mengamankan komunikasi melalui jaringan tanpa mengkhawatirkan pihak ketiga mengambil atau memantau data yang dikirim dan diterima. OpenSSL menyediakan fungsionalitas kriptografi ke server web. Itu dapat diunduh dari situs web resmi: https://www.opensl.organisasi/.
Terkejut: Program yang digunakan untuk mengenkripsi lalu lintas jaringan atau koneksi sewenang-wenang di dalam SSL dan yang bekerja bersama OpenSSL. Terowongan dapat diunduh dari situs resminya: https://www.terperanjat.organisasi/, atau dapat diinstal menggunakan perintah berikut:

[dilindungi email]:~$ wget https://www.terperanjat.org/downloads/stunnel-5.56-android.zip
[dilindungi email]:~$ tar xzvf stunnel-
[dilindungi email]:~$ cd stunnel-
[dilindungi email]:~$ ./konfigurasi
[dilindungi email]:~$ sudo make install

AC ID: Singkatan dari Kontrol Analisis untuk Deteksi Intrusi. ACID adalah antarmuka pencarian yang didukung kueri yang digunakan untuk menemukan alamat IP yang cocok, pola yang diberikan, perintah tertentu, muatan, tanda tangan, port tertentu, dll., dari semua peringatan yang dicatat. Ini menyediakan fungsionalitas mendalam dari analisis paket, memungkinkan identifikasi apa sebenarnya yang coba dicapai oleh penyerang dan jenis muatan yang digunakan dalam serangan itu. AC ID dapat diunduh dari situs resminya: https://www.sei.cmu.edu/tentang/divisi/sertifikat/indeks.cfm.

Sekarang semua paket dasar yang diperlukan telah diinstal, Mendengus dapat diunduh dari situs web resmi, mendengus.organisasi, dan dapat diinstal menggunakan perintah berikut:

[dilindungi email]:~$ wget https://www.mendengus.org/download/snort/snort-2.9.16.1.ter.gz
[dilindungi email]:~$ tar xvzf mendengus-
[dilindungi email]:~$ cd mendengus-
[dilindungi email]:~$ ./konfigurasi
[dilindungi email]:~$ sudo make && --enable-source-fire
[dilindungi email]:~$ sudo make install

Selanjutnya, jalankan perintah berikut untuk memeriksa apakah Snort sudah terinstal dan versi Snort yang Anda gunakan:

[dilindungi email]:~$ mendengus --
,,_ -*> Mendengus! <*-
o" )~ Nomor versi"
Hak Cipta (C) 1998-2013 Sourcefire, Inc., dkk.
Menggunakan libpcap versi 1.8.1
Menggunakan versi PCRE: 8.39 2016-06-14
Menggunakan versi ZLIB: 1.2.11

Setelah instalasi berhasil, file-file berikut seharusnya telah dibuat pada sistem:

/usr/bin/snort: Ini adalah executable biner Snort.

/usr/share/doc/snort: Berisi dokumentasi dan halaman manual Snort.

/etc/snort: Berisi semua aturan dari Mendengus dan itu juga file konfigurasinya.

Menggunakan Snort

Untuk menggunakan Snort, pertama-tama Anda harus mengkonfigurasi configure Beranda_Net nilai dan berikan nilai alamat IP jaringan yang Anda lindungi. Alamat IP jaringan dapat diperoleh dengan menggunakan perintah berikut:

[dilindungi email]:~$ ifconfig

Dari hasilnya, salin nilai alamat inet jaringan yang diinginkan. Sekarang, buka file konfigurasi Snort /etc/snort/snort.konf menggunakan perintah berikut:

[dilindungi email]:~$ sudo vim /etc/snort/snort.konf

Anda akan melihat output seperti ini:

Temukan garisnya “ipvar HOME_NET.” Di depan ipvar HOME_NET, tulis alamat IP yang disalin sebelumnya dan simpan file. Sebelum berlari Mendengus, hal lain yang harus Anda lakukan adalah menjalankan jaringan dalam mode promiscuous. Anda dapat melakukannya dengan menggunakan perintah berikut:

[dilindungi email]:~$ /sbin/ifconfig - -janji

Sekarang, Anda siap untuk berlari Mendengus. Untuk memeriksa statusnya dan menguji file konfigurasi, gunakan perintah berikut:

[dilindungi email]:~$ sudo snort -T -i -c /etc/snort/snort.konf
4150 Aturan snort dibaca
3476 aturan deteksi
0 aturan dekoder
0 aturan praprosesor
3476 Rantai Opsi terhubung ke 290 Header Rantai
0 Aturan dinamis
+++++++++++++++++++++++++++++++++++++++++++++++++++
+-------------------[Jumlah Port Aturan]---------------------------------------
| tcp udp icmp ip
| src 151 18 0 0
| dst 3306 126 0 0
| apa saja 383 48 145 22
| nc 27 8 94 20
| s+d 12 5 0 0
+----------------------------------------------------------------------------
+-----------------------[deteksi-filter-config]------------------------------
| tutup memori: 1048576 byte
+-----------------------[aturan-filter-deteksi]-------------------------------
| tidak ada
-------------------------------------------------------------------------------
+-----------------------[rate-filter-config]-----------------------------------
| tutup memori: 1048576 byte
+-----------------------[aturan-filter-tingkat]------------------------------------
| tidak ada
-------------------------------------------------------------------------------
+-----------------------[konfigurasi-filter-acara]----------------------------------
| tutup memori: 1048576 byte
+-----------------------[event-filter-global]----------------------------------
| tidak ada
+-----------------------[acara-filter-lokal]-----------------------------------
| gen-id=1 sig-id=3273 type=Pelacakan ambang batas=src count=5 detik=2
| gen-id=1 sig-id=2494 type=Kedua pelacakan=dst count=20 detik=60
| gen-id=1 sig-id=3152 type=Pelacakan ambang batas=src count=5 detik=2
| gen-id=1 sig-id=2923 type=Pelacakan ambang batas=hitungan dst=10 detik=60
| gen-id=1 sig-id=2496 type=Kedua pelacakan=hitungan dst=20 detik=60
| gen-id=1 sig-id=2275 type=Pelacakan ambang batas=hitungan dst=5 detik=60
| gen-id=1 sig-id=2495 type=Kedua pelacakan=hitungan dst=20 detik=60
| gen-id=1 sig-id=2523 type=Kedua pelacakan=hitungan dst=10 detik=10
| gen-id=1 sig-id=2924 type=Pelacakan ambang batas=hitungan dst=10 detik=60
| gen-id=1 sig-id=1991 type=Batasi pelacakan=src count=1 detik=60
+-----------------------[penekanan]------------------------------------------
| tidak ada
-------------------------------------------------------------------------------
Aturan urutan aplikasi: aktivasi->dinamis->pass->drop->sdrop->reject->alert->log
Memverifikasi Konfigurasi Praprosesor!
[ Memori Pencocokan Pola Berbasis Port ]
+- [ Ringkasan Aho-Corasick ] -------------------------------------
| Format Penyimpanan : Full-Q
| Otomat Terbatas : DFA
| Ukuran Alfabet : 256 Karakter
| Ukuran Status : Variabel (1,2,4 byte)
| Contoh : 215
| Status 1 byte : 204
| 2 status byte: 11
| 4 status byte: 0
| Karakter : 64982
| Negara bagian : 32135
| Transisi : 872051
| Kepadatan Negara: 10.6%
| Pola: 5055
| Status Pertandingan : 3855
| Memori (MB): 17.00
| Pola: 0.51
| Daftar Pertandingan : 1.02
| DFA
| 1 byte menyatakan: 1.02
| 2 status byte: 14.05
| 4 status byte: 0.00
+----------------------------------------------------------------
[Jumlah pola terpotong menjadi 20 byte: 1039]
pcap DAQ dikonfigurasikan ke pasif.
Mendapatkan lalu lintas jaringan dari "wlxcc79cfd6acfc".
--== Inisialisasi Selesai ==--
,,_ -*> Mendengus! <*-
o")~ Nomor versi
Hak Cipta (C) 1998-2013 Sourcefire, Inc., dkk.
Menggunakan libpcap versi 1.8.1
Menggunakan versi PCRE: 8.39 2016-06-14
Menggunakan versi ZLIB: 1.2.11
Mesin Aturan: SF_SNORT_DETECTION_ENGINE Versi 2.4
Objek Praprosesor: SF_IMAP Versi 1.0
Objek Preprosesor: SF_FTPTELNET Versi 1.2
Objek Praprosesor: SF_REPUTATION Versi 1.1
Objek Preprosesor: SF_SDF Versi 1.1
Objek Preprosesor: SF_SIP Versi 1.1
Objek Preprosesor: SF_SSH Versi 1.1
Objek Preprosesor: SF_GTP Versi 1.1
Objek Praprosesor: SF_SSLPP Versi 1.1
Objek Praprosesor: SF_DSERPC2 Versi 1.0
Objek Praprosesor: SF_SMTP Versi 1.1
Objek Praprosesor: SF_POP Versi 1.0
Objek Preprosesor: SF_DNS Versi 1.1
Objek Preprosesor: SF_DNP3 Versi 1.1
Objek Preprosesor: SF_MODBUS Versi 1.1
Snort berhasil memvalidasi konfigurasi!
Mengendus keluar

Aturan Snort

Kekuatan terbesar dari Mendengus terletak pada aturannya. Snort memiliki kemampuan untuk menggunakan sejumlah besar aturan untuk memantau lalu lintas jaringan. Dalam versi terbarunya, Mendengus datang dengan 73 berbagai jenis dan lebih 4150 aturan untuk mendeteksi anomali, terdapat dalam folder “/etc/snort/rules.”

Anda dapat melihat jenis-jenis aturan di Snort menggunakan perintah berikut:

[dilindungi email]:~$ ls /etc/snort/rles
serangan-respons.aturan komunitas-smtp.aturan icmp.aturan shellcode.aturan
pintu belakang.aturan komunitas-sql-injeksi.aturan gambar.aturan smtp.aturan
lalu lintas buruk.aturan virus komunitas.info peraturan.aturan snmp.aturan
obrolan.aturan serangan web komunitas.aturan lokal.aturan sql.aturan
komunitas-bot.aturan komunitas-web-cgi.aturan lain-lain.aturan telnet.aturan
komunitas-dihapus.aturan komunitas-web-klien.aturan multimedia.aturan tftp.aturan
komunitas-dos.aturan komunitas-web-dos.aturan mysql.virus aturan.aturan
eksploitasi komunitas.aturan komunitas-web-iis.aturan netbios.aturan serangan web.aturan
komunitas-ftp.aturan komunitas-web-misc.aturan nntp.aturan web-cgi.aturan
komunitas-permainan.aturan komunitas-web-php.aturan oracle.aturan web-klien.aturan
komunitas-icmp.aturan ddos.aturan id lain.aturan web-coldfusion.aturan
komunitas-imap.aturan dihapus.aturan p2p.aturan halaman depan web.aturan
komunitas-tidak pantas.aturan dns.kebijakan aturan.aturan web-iis.aturan
komunitas-mail-klien.aturan dos.aturan pop2.aturan web-misc.aturan
komunitas-lain-lain.aturan eksperimental.aturan pop3.aturan web-php.aturan
komunitas-nntp.eksploitasi aturan.aturan porno.aturan x11.aturan
komunitas-oracle.aturan jari.aturan rpc.aturan
komunitas-kebijakan.aturan ftp.aturan rservices.aturan
komunitas-sip.aturan icmp-info.pemindaian aturan.aturan

Secara default, saat Anda menjalankan Mendengus dalam mode Intrusion Detection System, semua aturan ini diterapkan secara otomatis. Mari kita sekarang menguji ICMP aturan.

Pertama, gunakan perintah berikut untuk menjalankan Mendengus di ID mode:

[dilindungi email]:~$ sudo snort -Konsol -i
-c /etc/snort/snort.konf

Anda akan melihat beberapa output di layar, tetap seperti itu.

Sekarang, Anda akan melakukan ping IP mesin ini dari komputer lain menggunakan perintah berikut:

[dilindungi email]:~$ ping

Ping lima hingga enam kali, lalu kembali ke mesin Anda untuk melihat apakah Snort IDS mendeteksinya atau tidak.

24-08-01:21:55.178653 [**] [1:396:6] ICMP Destination Unreachable Fragmentation
Diperlukan dan bit DF telah disetel [**] [Klasifikasi: Aktivitas lain-lain] [Prioritas: 3]
ICMP ->
24-08-01:21:55.178653 [**] [1:396:6] ICMP Destination Unreachable Fragmentation
Diperlukan dan bit DF telah disetel [**] [Klasifikasi: Aktivitas lain-lain] [Prioritas: 3]
ICMP ->
24-08-01:21:55.178653 [**] [1:396:6] ICMP Destination Unreachable Fragmentation
Diperlukan dan bit DF telah disetel [**] [Klasifikasi: Aktivitas lain-lain] [Prioritas: 3]
ICMP -> alamat>
24-08-01:21:55.178653 [**] [1:396:6] ICMP Destination Unreachable Fragmentation
Diperlukan dan bit DF telah disetel [**] [Klasifikasi: Aktivitas lain-lain] [Prioritas: 3]
ICMP -> alamat ip>
24-08-01:21:55.178653 [**] [1:396:6] ICMP Destination Unreachable Fragmentation
Diperlukan dan bit DF telah disetel [**] [Klasifikasi: Aktivitas lain-lain] [Prioritas: 3]
ICMP -> alamat>
24-08-01:21:55.178653 [**] [1:396:6] ICMP Destination Unreachable Fragmentation
Diperlukan dan bit DF telah disetel [**] [Klasifikasi: Aktivitas lain-lain] [Prioritas: 3]
ICMP -> alamat>

Di sini, kami menerima peringatan bahwa seseorang sedang melakukan pemindaian ping. Itu bahkan menyediakan alamat IP dari mesin penyerang.

Sekarang, kita akan pergi ke AKU P alamat mesin ini di browser. Kami tidak akan melihat peringatan, dalam hal ini. Coba sambungkan ke ftp server mesin ini menggunakan mesin lain sebagai penyerang:

[dilindungi email]:~$ ftp

Kami masih tidak akan melihat peringatan apa pun karena kumpulan aturan ini tidak ditambahkan dalam aturan default, dan dalam kasus ini, tidak ada peringatan yang akan dibuat. Inilah saatnya Anda harus membuat sendiri aturan main. Anda dapat membuat aturan sesuai dengan kebutuhan Anda sendiri dan menambahkannya di “/etc/snort/rules/local.aturan” file, dan kemudian mendengus akan secara otomatis menggunakan aturan ini saat mendeteksi anomali.

Membuat Aturan

Kami sekarang akan membuat aturan untuk mendeteksi paket mencurigakan yang dikirim di port 80 sehingga peringatan log dibuat saat ini terjadi:

# alert tcp any any -> $HOME_NET 80 (msg: "Paket HTTP ditemukan"; sid:10000001; rev:1;)

Ada dua bagian utama dalam menulis aturan, yaitu.e., Header Aturan dan Opsi Aturan. Berikut ini adalah rincian dari aturan yang baru saja kami tulis:

Tajuk
Waspada: Tindakan yang ditentukan untuk diambil saat menemukan paket yang cocok dengan deskripsi aturan. Ada beberapa tindakan lain yang dapat ditentukan sebagai pengganti peringatan sesuai dengan kebutuhan pengguna, yaitu.e., log, tolak, aktifkan, jatuhkan, lewati, dll.
Tcp: Di sini, kita harus menentukan protokol. Ada beberapa jenis protokol yang dapat ditentukan, yaitu:.e., tcp, udp, icmp, dll., sesuai dengan kebutuhan pengguna.
Apa saja: Di sini, antarmuka jaringan sumber dapat ditentukan. Jika apa saja ditentukan, Snort akan memeriksa semua jaringan sumber.
->: Arah; dalam hal ini, diatur dari sumber ke tujuan.
$HOME_NET: Tempat tujuan alamat IP ditentukan. Dalam hal ini, kami menggunakan yang dikonfigurasi di /etc/snort/snort.konf berkas di awal.
80: Port tujuan tempat kami menunggu paket jaringan.
Pilihan:
pesan: Peringatan yang akan dihasilkan atau pesan yang akan ditampilkan dalam kasus menangkap paket. Dalam hal ini, diatur ke “Paket HTTP ditemukan.”
sisi: Digunakan untuk mengidentifikasi aturan Snort secara unik dan sistematis. Pertama 1000000 nomor dicadangkan, jadi Anda bisa mulai dengan 1000001.
Putaran: Digunakan untuk perawatan aturan yang mudah.

Kami akan menambahkan aturan ini di “/etc/snort/rules/local.aturan” file dan lihat apakah itu dapat mendeteksi permintaan HTTP pada port 80.

[dilindungi email]:~$ echo “alert tcp any any -> $HOME_NET 80 (msg: "Paket HTTP
ditemukan"; sid:10000001; rev:1;)” >> /etc/snort/rules/local.aturan

Kita sudah siap. Sekarang, Anda dapat membuka Mendengus di ID mode menggunakan perintah berikut:

[dilindungi email]:~$ Sudo snort -Konsol -i wlxcc79cfd6acfc
-c /etc/snort/snort.konf

Navigasikan ke alamat IP mesin ini dari browser.

Mendengus sekarang dapat mendeteksi paket apa pun yang dikirim ke port 80 dan akan menampilkan peringatan “Paket HTTP Ditemukan” di layar jika ini terjadi.

24-08-03:35:22.979898 [**] [1:10000001:0] Paket HTTP ditemukan [**]
[Prioritas: 0] TCP:52008 -> 35.222.85.5:80
24-08-03:35:22.979898 [**] [1:10000001:0] Paket HTTP ditemukan [**]
[Prioritas: 0] TCP:52008 -> 35.222.85.5:80
24-08-03:35:22.979898 [**] [1:10000001:0] Paket HTTP ditemukan [**]
[Prioritas: 0] TCP:52008 -> 35.222.85.5:80
24-08-03:35:22.979898 [**] [1:10000001:0] Paket HTTP ditemukan [**]
[Prioritas: 0] TCP:52008 -> 35.222.85.5:80
24-08-03:35:22.979898 [**] [1:10000001:0] Paket HTTP ditemukan [**]
[Prioritas: 0] TCP:52008 -> 35.222.85.5:80
24-08-03:35:22.979898 [**] [1:10000001:0] Paket HTTP ditemukan [**]
[Prioritas: 0] TCP:52008 -> 35.222.85.5:80
24-08-03:35:22.979898 [**] [1:10000001:0] Paket HTTP ditemukan [**]
[Prioritas: 0] TCP:52008 -> 35.222.85.5:80

Kami juga akan membuat aturan untuk mendeteksi ftp upaya masuk:

# alert tcp any any -> any 21 (msg: "FTP packet found"; sid:10000002; )

Tambahkan aturan ini ke "lokal.aturan” file menggunakan perintah berikut:

[dilindungi email]:~$ echo “alert tcp any any -> alert tcp any -> any 21
(msg: "Paket FTP ditemukan"; sid:10000002; rev:1;)” >> /etc/snort/rules/local.aturan

Sekarang, coba masuk dari komputer lain dan lihat hasil program Snort.

24-08-03:35:22.979898 [**] [1:10000002:0) Paket FTP ditemukan [**] [Prioritas: 0]
TCP:52008 -> 35.222.85.5:21
24-08-03:35:22.979898 [**] [1:10000002:0) Paket FTP ditemukan [**] [Prioritas: 0]
TCP:52008 -> 35.222.85.5:21
24-08-03:35:22.979898 [**] [1:10000002:0) Paket FTP ditemukan [**] [Prioritas: 0]
TCP:52008 -> 35.222.85.5:21
24-08-03:35:22.979898 [**] [1:10000002:0) Paket FTP ditemukan [**] [Prioritas: 0]
TCP:52008 -> 35.222.85.5:21
24-08-03:35:22.979898 [**] [1:10000002:0) Paket FTP ditemukan [**] [Prioritas: 0]
TCP:52008 -> 35.222.85.5:21

Seperti yang terlihat di atas, kami menerima peringatan, yang berarti bahwa kami telah berhasil membuat aturan ini untuk mendeteksi anomali pada port 21 dan pelabuhan 80.

Kesimpulan

Sistem Deteksi Intrusi Suka Mendengus digunakan untuk memantau lalu lintas jaringan untuk mendeteksi saat serangan dilakukan oleh pengguna jahat sebelum dapat melukai atau memengaruhi jaringan. Jika penyerang melakukan pemindaian port pada jaringan, serangan dapat dideteksi, bersama dengan jumlah upaya yang dilakukan, AKU P alamat, dan detail lainnya. Mendengus digunakan untuk mendeteksi semua jenis anomali, dan dilengkapi dengan sejumlah besar aturan yang sudah dikonfigurasi, bersama dengan opsi bagi pengguna untuk menulis aturan mereka sendiri sesuai dengan kebutuhannya. Tergantung pada ukuran jaringan, Mendengus dapat dengan mudah diatur dan digunakan tanpa mengeluarkan biaya apa pun, dibandingkan dengan iklan berbayar lainnya Sistem Deteksi Intrusi. Paket yang ditangkap dapat dianalisis lebih lanjut menggunakan packet sniffer, seperti Wireshark, untuk menganalisis dan memecah apa yang ada dalam pikiran penyerang selama serangan dan jenis pemindaian atau perintah yang dilakukan. Mendengus adalah alat gratis, sumber terbuka, dan mudah dikonfigurasi, dan ini bisa menjadi pilihan tepat untuk melindungi jaringan berukuran sedang dari serangan.