SNORT

http://snort.org/

SNORT est un Système de Détection d'Intrusion (IDS), dont les qualités et les capacités ne sont plus à démontrer. Il est gratuit, et son moteur d'analyse est basé sur la technique de recherche de signatures dans les paquets. il a donc un langage qui permet d'écrire les filtres correspondant à des signatures d'attaques connues.

Snort est open source écrit par Martin Roesch. La société SourceFire dont a fait partie Roesch, a continué le développement de Snort puis a été rachetée par le géant israélien CheckPoint en 2005.

Snort peut être lancé en quatre modes:

• mode sniffer : Snort va lire le trafic réseau et le montrer à l'écran.
• mode packet logger : Snort va enregistrer le trafic réseau sur un fichier.
• mode Network Intrusion Detection System (NIDS) : le trafic réseau correspondant aux règles de sécurité sera enregistré.
• mode Intrusion Prevention System (IPS) : aussi connu sous le nom de snort-inline

User manual

• Install Snort on CentOS5 (Une copie locale)
• http://www.forum-intrusion.com/snort/snort.html
• http://www.howtoforge.com/intrusion_detection_base_snort

Un AMP :

• Apache2
• Mysql
• PHP5
  • ADOdb: ADOdb Database Abstraction Library for Php
  • GD
  • PEAR
    • pear install Image_Color
    • pear install Image_Canvas-alpha
    • pear install Image_Graph-alpha

Capture de packets réseau :

• libpcap

et enfin :

• Snort
• Snort rules
  • celles de bases sont dans : http://snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz
  • et regarder les autres règles que l'on peut télécharger
• AdoDB
• BASE (Basic Analysis and Security Engine)
• ACID ?

Running Snort for the first time :

Initializing rule chains...
ERROR: (/usr/local/etc/snort/rules/web-misc.rules)97 => Cannot use 'rawbytes' and 'http_uri' as modifiers for the same "content" nor use 'rawbytes' with "uricontent".
Fatal Error, Quitting..