Krotkie streszczenie pokazu mozliwosci programu Snort.

<br><br>

Srodowisko:
<br>
- program Snort w wersji 2.6.1.2 zainstalowany na maszynie wirtualnej na systemie Linux, dystrybucja Ubuntu

<br><br>
Programy uzyte w czasie prezentacji:
<br>
- snort  (http://www.snort.org/)
<br>
- Nmap   (http://insecure.org/nmap/download.html)
<br>
- dping  : wlasnorecznie napisany program w c, ktory sie forkuje i robi duzo pingow

<br> <br>
Inne przydatne informacje:
<br>
- http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci1031246,00.html
<br>
- http://insecure.org/nmap/man/man-port-scanning-techniques.html

<br>

<br>
Jakie sa funkcje programu Snort:
<br>
- Sniffer mode: czyta pakiety krazace w sieci i wyswietla je na konsoli
<br>
- Packet Logger: zapisuje logi z dzialalnosci tzn. z przefiltrowanych pakietow
<br>
- Network Intrusion Detection System (NIDS): pozwala przegladac sieciowy natlok i informowac o 
niebezpiecznych sytuacjach 
<br>
- Inline mode: filtruje pakiety, które do niego dochodza, albo je puszcza albo blokuje
<br> <br>


Sniffer mode:
<br>
- "snort -v"  TCP/IP pakiety, tylko naglówki
<br>
- "snort -vd" dodatkowo przesyla tresc

<br>
Testy:<br>
Gdy, wlaczony jest na jednej konsoli program snort na drugiej robimy "ftp students.mimuw.edu.pl" i ogladamy dane, które
sa przesylane.
Odswiezamy strone w przegladarce, obserwujemy plynace pakiety.
<br> <br>
<IMG SRC="snort1.jpg" NAME="graphics1" ALIGN=BOTTOM WIDTH=704 HEIGHT=200 BORDER=0>



<br> <br>
Packet Logger
<br>
- "snort -dev -l ./log" : zapisuje dodatkowo do powyzszego pliku pakiety
<br>
- "snort -dv -r packet.log" : odczytuje zawartosc pliku
<br>
Testy:<br>
Przegladamy sobie plik, zeby uwierzyc, ze tak naprawde jest
<br>

<br>
NIDS 
<br>
- "snort -dev -l ./log -c snort.conf"
<br>
Uruchamiamy program "snort" w trybie NIDS.
<br>
Testy:<br>
Za pomoca programy "nmap"(polecenie nmap -sT [adres IP]) zainstalowanego pod Windowsem bombarudjemy porty wirtualnej maszyny, czego skutkiem jest komuniakt snorta o skanowaniu portów.
<br> <br>
<IMG SRC="snort2.jpg" NAME="graphics1" ALIGN=BOTTOM WIDTH=704 HEIGHT=80 BORDER=0>
<br>

<br>
Kolejno wyslamy niepoprawne pakiety do naszej wirtualnej maszyny (nmap -sO [adres IP]), czego skutkiem jest komunikat o niepoprwanych danych
<br><br>
<IMG SRC="snort3.jpg" NAME="graphics1" ALIGN=BOTTOM WIDTH=704 HEIGHT=80 BORDER=0>
<br><br>


Proba uzycia programu "nmap" do identyfikacji systemu operacyjnego na wirtualnej maszynie (nmap -O [adres IP]), czego skutkiem
jest komuniakt w wykradaniu poufnych danych
<br><br>
<IMG SRC="snort4.jpg" NAME="graphics1" ALIGN=BOTTOM WIDTH=704 HEIGHT=80 BORDER=0>
<br> <br>

Uzywamy programu "dping.c", generowny komuniakt o duzym ruchu sieciowym.
<br><br>
<IMG SRC="snort5.jpg" NAME="graphics1" ALIGN=BOTTOM WIDTH=704 HEIGHT=20 BORDER=0>
<br><br>


Uzywamy programu "dping.c" tylko tym razem zwiekszamy rozmiar informacji niesionej przez "pinga", generowany komunikat o duzym ppliku.
<br><br>
<IMG SRC="snort6.jpg" NAME="graphics1" ALIGN=BOTTOM WIDTH=704 HEIGHT=80 BORDER=0>
<br><br>