Sniffer Mode

Mostra somente os cabeçalhos dos pacote TCP/IP na tela:

# snort -v

Mostra somente os cabeçalhos do IP, TCP, UDP e ICMP:

# snort -vd

Mostra todos os cabeçalhos e os dados contidos neles também:

# snort -vde

Packet Logger Mode

O Snort gera um arquivo chamado log.txt de todos os pacotes vistos por ele. Considerando que o diretório "dirdolog" já existe, caso contrário deve-se criá-lo.

# snort-dev-l/dirdolog/log.txt

Faz com que o Snort capture cabeçalhos TCP/IP, data link e dados relacionados ao host 192.168.1.0 (Classe C) e armazene o resultado no subdiretório log:

Obs.: os dados recolhidos serão armazenados em arquivos correspondentes/nomeados com cada endereço IP capturado.

# snort -dev -l ./log -h 192.168.1.0/24

Snort executado com a opção (-b) faz a captura total dos pacotes ao invés de capturar somente cabeçalhos ou somente dados.

# snort -l ./log -b

Uma vez criado o arquivo com a opção (-b), pode-se usar qualquer sniffer que suporta formato binário tcpdump, tais como snort, tcpdump ou ethereal para manipular os dados recolhidos:

# snort -dv -r packet.log

De posse do arquivo binário gerado pela opção (-b), pode-se então criar novas filtragens do tipo BPF interface. No nosso exemplo estamos fazendo somente a filtragem dos pacotes de ICMP contido no arquivo binário.

# snort -dvr packet.log icmp

Network Intrusion Detection Mode - (NIDS)

O arquivo de configuração do Snort chama-se snort.conf. Este arquivo contém as regras e ações a serem tomadas para cada pacote recolhido e confrontado com ele. O resultado do NIDS será gerado no diretório /var/log/snort ou outro diretório previamente estipulado.

# snort -b -A fast -c snort.conf
# snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf

O arquivo snort.conf deve estar presente no diretório corrente ou deve ser digitado o diretório onde ele se encontra.

A opção -v acima faz com que o Snort mostre os resultados também no monitor. Isso causa com que o Snort fique um pouco lento, podendo até perder alguns pacotes por causa disso.

A opção -e serve para capturar cabeçalhos do data link layer.

Envia alertas para o syslog, opção (-s):

# snort -c snort.conf -l ./log -s -h 192.168.1.0/24

Cria arquivo log no diretório default e envia alertas.

# snort -c snort.conf -s -h 192.168.1.0/24

Gera arquivo de log no formato binário e envia alerta para o Windows Workstation:

# snort -c snort.conf -b -M WORKSTATIONS

Cria arquivo binário, usa alerta rápido e cria arquivo log no /var/log/snort:

# snort -c snort.conf -b -A fast -l /var/log/snort

Gera arquivo de log no formato binário e usa alerta rápido:

# snort -b -A fast -c snort.conf

Gera arquivos no formato ASCII a partir de um arquivo no formato binário:

# snort -d -c snort.conf -l ./log -h 192.168.1.0/24 -r snort.log

A opção (-O) simplesmente oculta seu endereço IP. Essa opção se torna muito útil nos casos em que queremos enviar arquivos de logs para newsgroup ou qualquer outro lugar publico.

# snort -d -v -r snort.log -O -h 192.168.1.0/24

Há de se destacar a utilidade dos sistemas detectores de intrusão e a rápida ascensão destas ferramentas no âmbito da informática. Muito se fala atualmente em segurança, em vírus, malwares e trojans. A sociedade aos poucos está mudando, as empresas passam a se preocupar mais com a proteção a seus dados e a prova maior disso é o alto número de ferramentas destinadas a segurança que surgiram no mercado. O Snort é apenas mais uma que se soma a essas.

Brevemente espero trazer outras dicas da operacionalização do Snort já com o apoio de uma ferramenta gráfica.