আমি আমার লোকাল (যেমন আমি পাশের ঘরে হাঁটতে এবং এটি স্পর্শ করতে পারি) গেটওয়েতে এনএফকিউইউয়ের মাধ্যমে ইনলাইন মোডে স্নর্ট ইনস্টল করেছি এবং চালাচ্ছি। আমার নিম্নলিখিত নিয়ম আছে /etc/snort/rules/snort.rules:
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS D-LINK Router Backdoor via Specific UA"; flow:to_server,established; content:"xmlset_roodkcableoj28840ybtide"; http_header; pcre:"/^User-Agent\x3a[^\r\n]*?xmlset_roodkcableoj28840ybtide/Hm"; reference:url,www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/; classtype:attempted-admin; sid:2017590; rev:2; metadata:created_at 2013_10_13, updated_at 2013_10_13;)
এই নিয়মটি কিছু DLink রাউটারগুলিতে পাওয়া একটি পিছনের সাথে সম্পর্কিত। আমি এই নিয়মটি নির্বাচন করেছি কারণ দেখে মনে হয়েছিল এটি পরীক্ষা করা সহজ। নিয়মটি নিজে থেকেই উত্থাপ্রসূতদের থেকে পুলপর্ক দ্বারা যুক্ত করা হয়েছিল তাই আমি নিয়ম বাক্য গঠনটিকে সঠিক বলে মনে করি।
পরীক্ষার জন্য, আমি ইন্টারনেটের মুখোমুখি 80 বন্দরটিতে লাইটটিপিডি সহ আমার গেটওয়েটি কনফিগার করেছি এবং নিশ্চিত করেছি যে এটি অ্যাক্সেসযোগ্য। তারপরে, একটি রিমোট মেশিনে, আমি কমান্ডটি চালালাম curl -A 'xmlset_roodkcableoj28840ybtide' 'http://<EXTERNAL_IP>'। এটি তাত্ক্ষণিকভাবে লাইটটিপিডি থেকে কনসোলের প্রতিক্রিয়া মুদ্রণ করে প্রস্থান করে। গেটওয়েতে কোনও ধরণের স্নর্ট সতর্কতা তৈরি করা হয় না।
অতিরিক্তভাবে, নেটফিল্টারটি আমার চলমান চারটি স্নোর্ট প্রক্রিয়াটির মধ্যে কেবল দুটি ব্যবহার করছে বলে মনে হচ্ছে। আমি এটি দেখতে পাচ্ছি htopসিপিইউ 1 এবং 2 তে স্নোটার প্রক্রিয়াগুলি বিটোরেন্টের সাথে পরীক্ষার সময় একটি ভারী লোড বিকাশ করে ... তবে সিপিইউ 0 এবং 3 এ স্নোর্ট প্রক্রিয়াগুলি সম্পূর্ণ অলস থাকে।
আমার পরীক্ষার পদ্ধতিটি কি ভুল? বা যখন করা উচিত (যেমন কোনও কনফিগারেশনের ত্রুটির কারণে) স্নোটার সতর্কতা দিচ্ছে না? চারটি লাইনের মধ্যে ট্র্যাফিক ভারসাম্য না রাখায় নেটফিল্টারটি কোথায় দেখতে পাব?
কনফিগারেশন
আমার স্নোর্ট / নেটফিল্টার কনফিগারেশন
আমার নেটফিল্টার চেইনের নির্দিষ্ট প্রাসঙ্গিক অংশটি হ'ল:
Chain wan-fw (1 references)
pkts bytes target prot opt in out source destination
25766 2960K smurfs all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID,NEW,UNTRACKED
4 1380 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:67:68
4267 246K tcpflags tcp -- * * 0.0.0.0/0 0.0.0.0/0
3820 550K ~comb0 all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ESTABLISHED <<=== this one for established connections ====!
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED
937 79669 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02
13 506 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 /* Ping */
4 240 ~log0 tcp -- * * <remote_server> 0.0.0.0/0 tcp dpt:80 /* Tiphares Allowed In */ <<=== this one for new connections ====!
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type ANYCAST
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type MULTICAST
21506 2454K NFLOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: up to 1/sec burst 10 mode srcip nflog-prefix "IPv4 wan-fw REJECT " nflog-threshold 1
24808 2878K reject all -- * * 0.0.0.0/0 0.0.0.0/0 [goto]
Chain ~log0 (1 references)
pkts bytes target prot opt in out source destination
4 240 NFLOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: up to 1/sec burst 10 mode srcip /* Tiphares Allowed In */ nflog-prefix "IPv4 HTTPTest NFQUEUE " nflog-group 1 nflog-threshold 1
4 240 NFQUEUE all -- * * 0.0.0.0/0 0.0.0.0/0 /* Tiphares Allowed In */ NFQUEUE balance 0:3 bypass cpu-fanout <<=== passes packets to one of 4 snort processes ====!
Chain ~comb0 (4 references)
pkts bytes target prot opt in out source destination
474K 196M NFQUEUE all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ESTABLISHED NFQUEUE balance 0:3 bypass cpu-fanout <<=== all established connections from 'wan' are monitored by snort ====!
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
একটি অতিরিক্ত কুঁচকে:
আমি এটি সম্পর্কিত কিনা তা নিশ্চিত নই। ইন্টারনেটে আইপিগুলিতে টিসিপি রিসেট প্যাকেট প্রেরণে আমার গেটওয়েতে যা কিছু বলে মনে হচ্ছে তা আমি আবিষ্কার করেছি। এবং এই প্যাকেটগুলি কোনও বিদ্যমান সংযোগের সাথে সম্পর্কিত নয়।
প্রদত্ত যে এই গেটওয়ের পিছনে কোনও মেশিনে বিটোরেন্ট ব্যবহার করার সময় এবং রিসেট প্যাকেটের বেশিরভাগটি টরেন্ট বন্দরকে সোর্স পোর্ট হিসাবে তালিকাভুক্ত করে যা আমার কাছে বোধগম্য হয় তা হ'ল এটি কোনও কিছু অবরুদ্ধ করার পরে পুনরুদ্ধার পাঠাচ্ছে (হ্যাঁ? )।
তবে আমি এনফিকিউ ড্যাক ব্যবহার করি ... সুতরাং এটি যদি স্নর্ট হয় তবে কেন এই প্যাকেটগুলি এমনভাবে প্রেরণ করা হচ্ছে যে নেটফিল্টার প্যাকেটগুলি সরাসরি নেটফিল্টার চেইনে tingোকানো এবং বিদ্যমানগুলির সাথে সংযুক্ত করার চেয়ে নতুন সংযোগ হিসাবে দেখছে সংযোগগুলি যে এটি ব্লক করছে? এবং এছাড়াও, সানর্ট প্যাকেটগুলি ফেলে দেওয়ার জন্য বা পুনরায় সেটগুলি প্রেরণের জন্য সেট করা হয় না (কেবল সতর্কতা) ... তবে এটি কেন শুরু হতে হবে? সুতরাং আমি কেন নিশ্চিত নই যে এটি কিছু শৃঙ্খলা করছে।
অন্যান্য তথ্য
@ লেনির পরামর্শ অনুসারে আমিও এটি পরীক্ষা করেছি curl -A 'asafaweb.com' http://server-ip। এটিও সতর্কতা তৈরি করে নি। আমি দ্বিগুণ পরীক্ষা করে দেখেছি যে এর জন্য একটি বিধি আমার নিয়ম ফাইলে বিদ্যমান। দুই আছে:
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET POLICY ASafaWeb Scan User-Agent (asafaweb.com)"; flow:established,to_server; content:"User-Agent|3a| asafaweb.com|0d 0a|"; http_header; reference:url,asafaweb.com; classtype:network-scan; sid:2014233; rev:2; metadata:created_at 2012_02_16, updated_at 2012_02_16;)
এবং
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"MALWARE-CNC User-Agent ASafaWeb Scan"; flow:to_server,established; content:"User-Agent|3A| asafaweb.com"; fast_pattern:only; http_header; metadata:policy balanced-ips alert, policy security-ips drop, ruleset community, service http; reference:url,asafaweb.com; classtype:network-scan; sid:21327; rev:7;)
আমি আমার কনফিগারেশনও আপডেট করেছি। আমি যেটি আপলোড করেছি সে হ'ল দৃশ্যত এবং পুরানো (HTTP নেটফিল্টার নিয়মের জন্য এনএফকিউইউ এর পরিবর্তে এসিইপিটি দেখিয়েছিল)।
iptablesযদি আপনি কাউন্টারগুলিতে বিশেষভাবে আগ্রহী না হন তবে এর আউটপুট কখনও ভাল পছন্দ নয়। iptables-saveপরিবর্তে আপনি যদি মানুষের কাছে এটি পড়ার প্রত্যাশা করেন তবে এটি পছন্দনীয়