Académique Documents
Professionnel Documents
Culture Documents
Structure Exemple
Rule Actions alert
Protocol icmp
Source IP Address any
Source Port any
Direction Operator ‐>
Destination IP Address any
Destination Port any
(rule options) (msg:”ICMP Packet”; sid:477; rev:3;)
Exécution du Snort :
Exécutez le snort à partir de la ligne de commande, comme indiqué ci‐dessous.
# snort ‐c /etc/snort/snort.conf ‐l /var/log/snort/
‐c pour le fichier de règles et ‐l pour le répertoire de journal
Afficher l'alerte de journal
Essayez de faire un ping sur votre IP afin de vérifier la règle de ping. Voici l'exemple d'une alerte de
snort pour cette règle ICMP.
Pour vérifier que la règle marche bien, on ping depuis la machine du pirate 192,168,56,101 vers la
machine du victime 192,168,56,102. Snort attrape les messages ICMP reçues (type0) et envoyés (type
8): Vous allez remarquer que seule les paquets envoyés (type 8) ont créé une alerte, ce qui est
exactement l’objectif de la règle.
Explication d'alerte
Quelques lignes sont ajoutées pour chaque alerte, qui comprend les éléments suivants : Le message est
imprimé en première ligne.
Source IP
IP de destination
Type de paquet et informations d'en‐tête.
Si vous avez une interface différente pour la connexion réseau, utilisez l'option ‐dev ‐i. Dans cet
exemple, l’interface réseau est eth0.
# snort ‐dev ‐i eth0 ‐c /etc/snort/snort.conf ‐l /var/log/snort/
Exécuter Snort comme Daemon
Ajoutez l'option ‐D pour exécuter snort en tant que démon.
# snort ‐D ‐c /etc/snort/snort.conf ‐l /var/log/snort/
Les règles par défaut peuvent être téléchargées à partir de:
https://www.snort.org/downloads/#rule‐downloads
Les alertes générées par snort sont enregistré dans /var/log/snort/, les alertes contient les messages, les
adresses sources, et les adresses destination, le type de paquets et les informations de l’entête.