Snort analisi dei pacchetti all'interno di una rete | Linuxiano.it
Privacy Policy

Snort analisi dei pacchetti all’interno di una rete

Snort

Snort è un software libero per l’analisi dei pacchetti all’interno di una rete. Nel campo della sicurezza informatica è parecchio utilizzato come Intrusion detection system

È distribuito sotto i termini della licenza libera GNU General Public License.

Caratteristiche:

Snort è un software leggero e performante basato sulle librerie libpcap. Esegue in tempo reale l’analisi del traffico delle reti IP e grazie a questo riesce ad individuare potenziali minacce ed intrusioni. Il controllo del traffico di rete avviene a diversi livelli quali:

  • Analisi del protocollo
  • Analisi del contenuto
  • Confronto dei contenuti

Alcune delle minacce che possono essere intercettate e bloccate sono:

  • Buffer overflow
  • Server message block
  • Port scanning

Il funzionamento avviene impostando il programma in una delle sue modalità principali:

  • Sniffer: il programma legge i pacchetti di rete e li mostra sulla console. Si può dire che è simile al funzionamento di tcpdump.
    Packet Logger’: il programma esegue il log dei pacchetti di rete su disco. In pratica è una modalità simile a quella Sniffer ma che presenta molte più opzioni.
  • NIDS: il programma analizza il traffico di rete e sulla base di regole definite dall’utente scattano dei particolari allarmi.
    Analisi forense: come la modalità NIDS ma in input riceve un dump di traffico di rete.

Le “regole personalizzate” da inserire all’interno del programma sono molto diffuse ed utilizzate. Molte, già scritte e testate, sono reperibili online a molti indirizzi di comunità di sicurezza informatica.

Gli output dell’analisi fornita dal programma possono essere reindirizzati ed organizzati in diversi formati quali:

  • Unified format (formato di Snort);
  • XML;
  • Conservazione in basi di dati quali MySQL, Oracle, PostgreSQL;
  • Formato tcpdump/libcap;
  • ASCII;
  • WinPopup (SMB);
  • Log di sistema

Installazione

Disponibile per tutte le distribuzioni Linux.

Per installare aprite un terminale (CTRL+ALT+T) e copiate i seguenti comandi:

Terminale
  • sudo apt-get update
  • sudo apt-get install snort

Rimuovere

Per installare aprite un terminale (CTRL+ALT+T) e copiate i seguenti comandi:

Terminale
  • sudo apt-get update
  • sudo apt-get remove snort

Articoli simili

Configura Snort ID e crea regole

Hping generatore e analizzatore di pacchetti per il protocollo TCP/IP

Se avete consigli o domande non esitate a scrivermi