Snort
Last updated
Last updated
TASK 2
Vamos a comenzar arrancando la maquina y viendo la carpeta task-exercises:
Aqui vemos 3 elementos , la primera carpeta es para ver los archivos de configuracion que trae snort:
La segunda carpeta es donde estan los ejercicios en si.Y el ultimo script es para empezar a generar trafico.
Luego ejecutamos el script para ver los diferentes ejercicios:
Luego nos pide que ejecutemos el script invisible easy.sh:
TASK 3
TASK 4
Vamos primero a comprobar que snort esta instalado:
Ahora vamos a comprobar que nuestro archivo de configuracion es valido:
sudo snort -c /etc/snort/snort.conf -T
Nos pide el numero de la build:
Luego nos piden el numero de reglas al validar el archivo de conf:
Luego hay que hacerselo al archivo de conf snortv2.conf:
TASK 5
Sniffer mode
Estos son los diferentes modos del sniffer , se pueden combinar de la siguiente manera:
TASK 6
Logger Mode
Hay que tener en cuenta que los archivos logs que se generen perteneceran a root ya que tu cuando ejecutas snort lo haces con sudo , otra forma de acceder a los logs seria cambiar la propiedad del archivo con chown.
Otra caracteristica interesante de este modo es cuando eliges un log con el que trabajar poderlo filtrar por el protocolo que quieras para que te muestre esos paquetes:
Ahora vamos a comenzar con los ejercicios de verdad. Comenzamos lanzando la instancia de snort:
Una vez que vemos que snort esta escuchando , vamos a generar trafico:
Si nos vamos a la carpeta donde he especificado que se creen los logs:
Vemos que tenemos diferentes ips , segun thm debemos entrar a la acabada en 160.237:
Entramos y vemos como el puerto asociado al 53 es el 3009 que es el que thm nos pide.
Luego nos piden que leamos el archivo log dentro de la carpeta del task 6 y digamos la ip del 10 paquete:
Luego nos piden del cuarto paquete el referer , pero para que nos muestren todo los detalles hay que añadir el argumento -X:
Luego nos piden al ack del 8th paquete , simplemente vamos y miramos:
Por ultimo nos piden el numero de paquetes tcp , asi que hacemos un escaneo del log de forma estandar y miramos al final el numero :
TASK 7
IDS/IPS MODE
En cuanto al ejercicio nos pide el numero de metodos get que se aplicarons , primero lanzamos el snort modo ids/ips:
Luego lanzamos trafico con el script , seleccionando el task 7 :
Y luego paramos el ids/ips y miramos:
TASK 8
Pcap investigation
Vamos a comenzar con los ejercicios.
Comenzamos lanzando el analisis del primer pcap:
De esta captura primero nos piden el numero de alertas generadas:
Luego el numero de tcp segments:
Y por ultimo de http responde headers:
A continuacion nos piden que abramos el mismo pcap pero con el archivo de configuracion snortv2 y digamos el numero de alertas generadas:
A continuacion nos piden que abramos el segundo pcap pero con el archivo de conf por defecto:
Despues nos piden el numero de paquetes tcp:
Para terminar la task nos piden el numero de alertas pero de dos pcaps a la vez , el 2 y el 3:
TASK 9
SNORT RULES
Una vez vista la teoria comenzamos con los ejercicios.
Vamos a comenzar verificando que en el archivo local.rules no tenemos ninguna regla dentro:
Para empezar nos pide el nombre del paquete con esta ip id 35369 , asi que nos vamos al archivo y añadimos la regla:
Luego lo corremos con la regla ya añadida:
Y por ultimo hacemos un cat del archivo alert que se nos creo:
Para el siguiente ejercicio nos piden que creemos una regla que encuentre las syn flags:
Añadimos la regla , lanzamos el escaneo del pcap y luego vemos el alert:
Y solo encontro esta alerta ose aque solo 1.
Luego nos piden lo mismo pero del push ack:
Y tras lanzar el escaneo igual que en el ejercicio anterior vemos como se han generado 216 lineas.
Luego hay dos ejercicios mas pero es mas de lo mismo , sus respuestas son 10 y rev.
