Académique Documents
Professionnel Documents
Culture Documents
Pour mener une attaque, le pirate doit collecter le maximum d’informations sur le système
cible et découvrir ces vulnérabilités et ces faiblesses
Nous allons donc ce TP apprendre à installer snort, rédiger des règles et effectuer des tests de
base.
Installation de Snort
#apt-get update
#apt-get install snort
#snort –version
Fichier de configuration
Ouvrez le fichier de configuration de Snort et vérifier si les règles icmp sont incluses ou non
#nano /etc/snort/snort.conf
Si les règles ICMP ne sont pas incluses, ajoutez les avec la ligne suivante :
include /etc/snort/rules/icmp.rules
#nano /etc/snort/rules/icmp.rules
Alert icmp any any -> any any (msg “pinging”; sid= 471;)
Si un paquet coïncide avec cette règle, le paquet est alors enregistrer ou une alerte est
déclenchée (un ping vers la machine cible (paquet ICMP))
Exécution du Snort à partir machine locale
Pour exécuter Snort et enregistrer le résultat des paquets dans des fichiers, tapez la ligne de
commande suivante
Pour exécuter Snort et afficher le resulat dans la console , tapez la ligne de commande
suivante
Affichage à l’écran
SNORT capture et affiche les paquets selon différents niveaux de détails. Aucun fichier de
configuration n’est requis :
snort -v : Imprimer les informations contenues dans les entêtes TCP/IP
snort -dv : Imprimer les informations contenues dans les entêtes IP/UDP/TCP/ICMP
snort -edv : Imprimer les informations des entêtes MAC
snort -edv proto : Imprime uniquement les messages du protocole PROTO (i.e. ip,
tcp, udp, icmp)
snort -h : aide
snort -i permet de spécifier l’interface d’écoute
Ctrl-C : Arrêter SNORT
snort -dev -l ./log : enregistre les paquets dans des fichiers en mode texte. (il faut créer un
répertoire log dans votre répertoire courant).
snort -l ./log -b : Enregistrer les données dans un fichier binaire
snort -dev -r /temp/snort.log.xxxxxxx : Lire les données dans un fichier au format binaire