Tugas Pendahuluan Snort

Posted on by faridaamila
  1. Snort

    Oleh : farida amila husna | 3D4ITB (2110131039)

    1. Cara kerja snort

    Snort dapat dikonfigurasi untuk berjalan dalam tiga mode:

    • Modus sniffer, yang hanya membaca paket off dari jaringan dan menampilkannya untuk Anda dalam aliran berkelanjutan pada konsol (layar).
    • Modus Logger paket, yang log paket ke disk.
    • Intrusion Detection System (NIDS) modus jaringan, yang melakukan deteksi dan analisis pada lalu lintas jaringan. Ini adalah modus yang paling kompleks dan dikonfigurasi.
    1. Cara menuliskan rule pada snort

    Snort menggunakan suatu bahasa deskriptif untuk menentukan rules atau peraturan-peraturan guna pendeteksian berbagai macam serangan terhadap jaringan komputer.Bahasa deskriptif ini relatif mudah dipelajari namun cukup fleksibel dan canggih.Peraturan Snort dibagi menjadi 2 bagian, yaitu rule header dan rule options. Rule headerberisikan tindakan yang harus dilakukan, protokol yang dimonitor, alamat IP asal dantujuan, netmask, serta nomor port asal dan tujuan. Rule options berisikan pesan-pesanyang dimunculkan, serta bagian mana dari paket yang harus diamati untuk menentukanapakah perlu melakukan tindakan atau tidak.Contoh peraturan di Snort adalah sebagai berikut:

    alert tcp any any -> 192.168.1.0/24 111 (content:”|00 01 86 a5|”;msg:”mountd access”;)

    Yang ada di antara ( ) merupakan rule options, sedangkan bagian sebelumnya adalahrule header. Di rule header di atas, terlihat bahwa Snort harus memberikan alert jika adaaccess menggunakan protokol tcp dari alamat IP mana saja port 24 ke alamat IP manasaja port 111 dengan netmask 192.168.1.0. Netmask digunakan untuk menentukannomor jaringan. Di rule options, ditentukan bahwa Snort akan memberikan pesan“mountd access” jika di dalam paket terdapat isi heksadesimal “00 01 86 a5”

    1. Bagaimana cara menampilkan event/ serangan pada snort

    hasil perintah #snort –v

    Setelah startup, Snort menampilkan mode, logging directory dan interface Snort langsung me-listen pada port. Kemudian Snort mulai men-dump paket.  Snort akan meng-generate ringkasan paket yang diambil, termasuk protokol dan statistik lainnya, seperti fragmentasi paket.
    Untuk melihat lebih detail dan mendapatkan hasil yang mirip dengan tcpdump (termasuk header lapisan data link), gunakan opsi -e juga. Menggunakan opsi -d dan opsi -e akan menampilkan hampir semua data di dalam paket.t pada database

     

    1. Bagaimana cara menyimpan event hasil perintah #snort –vd

    Opsi -d akan menampikan data aplikasi. Opsi ini menyediakan output bahkan lebih rinci. Data aplikasi terlihat jelas dan dapat melihat teks biasa dalam paket.

Leave a comment