Blog sobre seguridad informática, privacidad, anonimato, hacking ético, programación y sistemas operativos en general.

sábado, 2 de diciembre de 2017

Snort: Sistema de detección de intrusos en red y más.



Snort es un programa creado por Martin Roesch, que es ampliamente utilizado como Intrusion Prevention System (IPS) e Intrusion Detection System (IDS) en la red. Se divide en cinco mecanismos importantes: motor de detección, sistema de registro y alerta, decodificador de paquetes y módulos de salida. El  programa es bastante famoso para llevar  análisis de tráfico en tiempo real, también para detectar consultas o ataques, registro de paquetes en redes de Protocolo de Internet, detectar actividad maliciosa, ataques de denegación de servicio y escaneo de puertos al monitorear tráfico de red, desbordamientos de búfer, servidor sondas de bloques de mensajes y escaneo de puertos sigilosos.

Snort tiene una base de datos de ataques que se actualiza constantemente a través de internet. Los usuarios pueden crear firmas basadas en las características de los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort, esta ética de comunidad y compartir ha convertido a Snort en uno de los IDS basados en red más populares, actualizados y robustos. Sin embargo, snort ofrecen capacitación impartida con un instructor virtual.

Snort se puede configurar en tres modos principales:

  • Modo Sniffer: observará los paquetes de red y los presentará en la consola.
  • Modo de registrador de paquetes: registrará los paquetes en el disco.
  • Modo de detección de intrusos: el programa monitorear el tráfico de la red y lo analizará contra un conjunto de reglas definido por el usuario.

Instalar en debian:

$ sudo apt update
$ sudo apt install snort

Configuración como root:

/etc/init.d/snort start


nano /etc/snort/snort.conf


Debemos agregar nuestra ip, la podemos encontrar con el comando ifconfig. "Recuerden guardar el archivo".
reiniciamos el servicio:

/etc/init.d/snort restart


snort -A console -i enp2s0 -c /etc/snort/snort.conf


Instalar en archLinux:

$ sudo pacman -S snort

Algunos comandos en modo Sniffer:

Comencemos con lo básico! Si sólo desea capturar los encabezados de paquetes TCP/IP en la pantalla.

$ sudo snort -v


Este comando solo mostrará los encabezados de IP y TCP / UDP / ICMP.

$ sudo snort -vd


"Snort funciona con Oinkcodes. Que son claves únicas asociadas a su cuenta de usuario. También actúa como una clave de API para descargar paquetes de reglas".




Para mayor información y suscripción puedes encontrarlo en  pagina oficial https://www.snort.org/

Esperamos que esta publicación haya sido de utilidad, cualquier inquietud o sugerencia dejarla en los comentarios o bien, en los medios que indicamos a continuación. 

Síguenos en Facebook, Twitter, unete a nuestra charla en Riot, únete a IRC o únete a Telegram.

0 comentarios:

Publicar un comentario