Académique Documents
Professionnel Documents
Culture Documents
Introduc)on
Snort est un logiciel de détec0on d'intrusion qui se base sur des signatures pour repérer les intrusions. Il peut
fonc0onner en mode sniffer (capture le trafic et l'affiche), packet logger (capture le trafic et le stocke), NIDS (en
temps réel).
Objec)fs du TP
192.168.230.1
Ques1on 0
Installation
q La commande « snort » permet de lancer l’outil et les options permettent des spécifier le mode de
lancement
Exercice demandé :
Remarques importantes :
- Si Snort n’affiche rien, il faudrait générer un flux. Exemple : naviguer sur un site web avec le
navigateur pour générer un flux HTTP
- Les captures d’écran demandées dans le rapport ne doivent pas être très longues, merci de capture
seulement un extrait.
Configura)on de l’environnement
nano /etc/snort/snort.conf
snort -v
q -v : verbose Ques1on 1
snort -vde
snort -de -r /var/log/test.log.xxxxxxxxxxxx affichées dans les échanges logés par snort ?
Le header permet de spécifier le type d’alerte à générer (alert, log...) et d’indiquer les champs de
base nécessaires au filtrage : le protocole (TCP, UDP ou ICMP), l'orientaoon du trafic auquel la
règle s'applique (Unidirecoonnel ou Bidirecoonnel) ainsi que les adresses IP et ports sources et
desonaoon.
Les mots clés des op)ons de règle sont séparés de leurs arguments avec un caractère deux points "
: " . Ci- dessous les différentes opoons de règle disponibles dans Snort :
ac)on protocole SourceIP SourcePort -> des)na)onIP des)na)on port (opoon1 ; opoon2 ;)
Question 7
Snort inclus déjà plusieurs fichiers, comme
par exemple : include $RULE_PATH/web-
php.rules
D’où viennent ces fichiers et à quoi
servent-ils pour snort ?
De la même manière que l’apaque de scan de réseau précédente, nous allons lancer trois
terminaux :
1) Lancer la détection snort (sur la Machine snort -i eth0 -dve -c /etc/snort/snort.conf -A full
cible)
Machine cible
Machine attaque
Terminal 1
Terminal 2
Terminal 2
Terminal 1 Terminal 3
Terminal 2
Ques1on 8
Décrire ce qui s’est passé durant cette
attaque.
D’où vient le message : « attention
requete echo » ?
Qui est à l’orgine de l’attaque ?
(Adresse IP)
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"PING from Windows"; content:"|
61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70|";itype:8;depth:32;sid:1000001;)
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:" Ping OpenBSD-Linux ";
content: "|10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f |"; itype: 8; depth: 32; sid :
1000002 ;)
alert icmp any any -> $HOME_NET any (msg:"aQaque de ICMP flood"; sid:1000006;
rev:1; classtype:icmp-event; detec)on_filter:track by_dst, count 100 , seconds 5;)
Dans le fichier MyRules, commencer par commenter l’ancienne règle d’alerte et ajouter la
nouvelle règle.
Résultat de détecoon :
Ques1on 9
a) Décrire ce qui s’est passé durant cette attaque.
b) En quoi cette attaque est différente de la première
(ping echo)
c) Pourquoi cette attaque est plus dangereuse que la
première ?
alert TCP any any -> $HOME_NET any (msg:"TCP SYN flood attaque detectée"; flags:S;
threshold: type threshold, track by_dst, count 1000 , seconds 60; sid: 5000002;)
Question 10
a) Rappeler le déroulement de l’initiation d’une session TCP, avec les flags
utilisés ?
b) Comment une attaque TCP SYN Flooding peut elle impacter un serveur ?
c) Décrire ce qui s’est passé durant cette attaque de TCP SYN Flooding
alert ip any any -> $HOME_NET any (msg: "scanner NMAP en cours ";sid:10000005; rev:2; )
3) Mode NIDS
q Analysons le fichier alert de snort (commande tail pour voir les alerts en temps réel pendant
le scan)
Question 11
Expliquer le déroulement de ce scan de ports.
Quel protocole a été détecté ? TCP ou UDP ?
01/03/2022 Soufiane TAZARINE @ 2021 39
1 Mise en place d'une sonde IDS : 2h30
Exercice 1 :
Ecrire et tester une règle snort pour la détection de l’attaque UDP Flooding