طريقة تنصيب وتشغيل برنامج Snort على أنظمة مايكروسوفت

Ayman Alnaimi أيمن النعيمي

13 سنة ago

بعد نشري لعدة تدوينات حول الـ IPS وصلتني عدة طلبات من اجل توضيح كيفية تثبيت برنامج SNORT المعروف والأقوى في مجاله على الساحة كونه أولا مجاني وثانيا يتيح تحميل Rules بشكل مجاني وسوف أقسم هذا الموضوع إلى قسمين قسمه الأول أشرح كيفية تثبيته وتشغيله وبعض الأمور البسيطة والقسم الثاني سوف أخصصه للحديث بشكل أحترافي أكبر عن طريقة ربطع بالـ Rules وكيفية ارسال رسائل تحذيرية على الـ Log Server

وحديثنا طبعا سوف يكون على طريقة تنصيبه وتشغيله على أنظمة ويندوز فقط لأني أعتقد أن أي مستخدم للأنظمة المفتوحة يجب ان يكون الموضوع بسيط نوعا ما كون اوامره كلها تعتمد على موجه الأومر ولو في حال وجود أي أستفسارات حول هذا الموضوع على أجهزة لينوكس أو أيا كان أرجو أضافته على الموضوع لكي أجيب عليها.

لنقم أولا بتحميل آخر أصدار من البرنامج من الرابط التالي ونبدأ تثبيت البرنامج من خلال الموافقة على رخصة الأستخدام

وبعدها سوف نجد بعض الخيارات وهي هامة لو في حال كان لديك قاعدة بيانات SQL,Oracle وتريد من البرنامج أن يسجل إلى قواعد البيانات أثناء أجراء عملية الـ Sniff وطبعا أنا ليس لدي أية قواعد بيانات لذا سوف أختار الخيار الأول

بعدها لاشيء نضغط التالي

لاتغيير مسار البرنامج وأتركه في هذا المكان

وبعدها نتابع مسيرة التنصيب التالي التالي أنتهى, بعد أن ينتهي سوف تفتح لك نافذة جديدة لبرنامج WinCap وهو هام جدا للبرنامج فهو من يقوم بألتقاط الباكيت من الشبكة وتثبيته بسيط جدا فقط أضغط ! ولو في حال كان لديك برنامج الـ GNS3 لن تظهر لك نافذة الـ WinCap كونه مثبت سابقا .

الخطوة القادمة ليست مهمة جدا لكن أوضحها حتى يعمل البرنامج بشكل أسرع من مجرد كتابة snort على موجه الأوامر سوف يبدأ العمل والخطوات كالآتي نتجه إلى خصاص الكمبيوتر Properties وبعدها نختار كما هو موضح بالصورة

ونضغط على New

ونقوم بكتابة مايلي مع مراعاة الأحرف الكبيرة والصغيرة “PATH” “C:Snortbin”

وبعدها نغلق النوافذ جميعا بعد أن نضغط موافق طبعا ونتجه إلى موجه الاوامر ونقوم بكتابة snort ليبدأ البرنامج بالعمل مباشرة ويبدأ تحليل الترافيك كما هو موضح بالصورة

ولو اردت أيقاف عملية التحليل أضغط على زر الكونترول وحرف السي وشاهد تقرير كامل عن الترافيك وهذه صورة للتوضيح

النقطة التى سوف تلاحظها معي هي عدم وجود أي ترافيك للـ TCP وهناك ترافيك للـ IPv6 مع العلم أنني أتصفح الأنترنت وليس لدي أيبي 6 والسبب كون البرنامج يبدأ تحليل الترافيك أعتمادا على أول منفذ لديه في القائمة وهو عندي أختار المنفذ الخاص ببرنامج الفي أم وير لذا يجب علينا تغيير المنفذ من خلال كتابة الأمر snort –W وهو من اجل عرض كافة المنافذ الموجودة على الجهاز وهذه صورة للتوضيح

وكما هو واضح لكم أن عندي خمس منافذ على الجهاز وسوف أختار المنفذ المتصل على الأنترنت وهو ثاني خيار موجود وأقوم بنسخ الأسم ليس كلها بل أحتاج فقط إلى هذه الفقرة :

DeviceNPF_{6A760313-6EC2-4EFE-BCEA-863CF2E66CC8}

وبعدها اقوم بكتابة الأمر snort –i وأضيف له أسم المنفذ وهذه صورة للتوضيح

ونضغط أنتر وننتظر قليلا حتى يقوم البرنامج بجمع بعض المعلومات ونوقف البرنامج لنشاهد الاحصائيات على الشكل التالي

أتمنى أن يكون الموضوع بسيط وخالي من التعقيد وأن شاء الله سوف نتعمق أكثر في هذا البرنامج الرائع جدا بأمكانياته الخيالية والتى سوف أوضحها في تدوينة قادمة وفي أقرب فرصة ممكنة لاتنسونا من دعواتكم ودمتم بود

لنقم أولا بتحميل آخر أصدار من البرنامج من الرابط التالي ونبدأ تثبيت البرنامج من خلال الموافقة على رخصة الأستخدام

<img decoding="async" loading="lazy" title="snort-1" src="https://i0.wp.com/www.networkset.net/wp-content/uploads/2011/01/snort-1.jpg?resize=500%2C400" alt="" width="500" height="400">

<img decoding="async" loading="lazy" title="snort-2" src="https://i0.wp.com/www.networkset.net/wp-content/uploads/2011/01/snort-2.jpg?resize=500%2C397" alt="" width="500" height="397">

بعدها لاشيء نضغط التالي

<img decoding="async" loading="lazy" title="snort-3" src="https://i0.wp.com/www.networkset.net/wp-content/uploads/2011/01/snort-3.jpg?resize=500%2C397" alt="" width="500" height="397">

لاتغيير مسار البرنامج وأتركه في هذا المكان

<img decoding="async" loading="lazy" title="snort-3a" src="https://i0.wp.com/www.networkset.net/wp-content/uploads/2011/01/snort-3a.jpg?resize=500%2C400" alt="" width="500" height="400">

<img decoding="async" loading="lazy" title="snort-4" src="https://i0.wp.com/www.networkset.net/wp-content/uploads/2011/01/snort-4.jpg?resize=424%2C472" alt="" width="424" height="472">

ونضغط على New

<img decoding="async" loading="lazy" title="snort-5" src="https://i0.wp.com/www.networkset.net/wp-content/uploads/2011/01/snort-5.jpg?resize=393%2C435" alt="" width="393" height="435">

ونقوم بكتابة مايلي مع مراعاة الأحرف الكبيرة والصغيرة “PATH” “C:Snortbin”

وبعدها نغلق النوافذ جميعا بعد أن نضغط موافق طبعا ونتجه إلى موجه الاوامر ونقوم بكتابة snort ليبدأ البرنامج بالعمل مباشرة ويبدأ تحليل الترافيك كما هو موضح بالصورة

<img decoding="async" loading="lazy" title="snort-7" src="https://i0.wp.com/www.networkset.net/wp-content/uploads/2011/01/snort-7.jpg?resize=500%2C500" alt="" width="500" height="500">

ولو اردت أيقاف عملية التحليل أضغط على زر الكونترول وحرف السي وشاهد تقرير كامل عن الترافيك وهذه صورة للتوضيح

<img decoding="async" loading="lazy" title="snort-8" src="https://i0.wp.com/www.networkset.net/wp-content/uploads/2011/01/snort-8.jpg?resize=500%2C720" alt="" width="500" height="720">

<img decoding="async" loading="lazy" title="snort-9" src="https://i0.wp.com/www.networkset.net/wp-content/uploads/2011/01/snort-9.jpg?resize=500%2C300" alt="" width="500" height="300">

وكما هو واضح لكم أن عندي خمس منافذ على الجهاز وسوف أختار المنفذ المتصل على الأنترنت وهو ثاني خيار موجود وأقوم بنسخ الأسم ليس كلها بل أحتاج فقط إلى هذه الفقرة :

DeviceNPF_{6A760313-6EC2-4EFE-BCEA-863CF2E66CC8}

وبعدها اقوم بكتابة الأمر snort –i وأضيف له أسم المنفذ وهذه صورة للتوضيح

<img decoding="async" loading="lazy" title="snort-10" src="https://i0.wp.com/www.networkset.net/wp-content/uploads/2011/01/snort-10.jpg?resize=500%2C275" alt="" width="500" height="275">

ونضغط أنتر وننتظر قليلا حتى يقوم البرنامج بجمع بعض المعلومات ونوقف البرنامج لنشاهد الاحصائيات على الشكل التالي

<img decoding="async" loading="lazy" title="snort-11" src="https://i0.wp.com/www.networkset.net/wp-content/uploads/2011/01/snort-11.jpg?resize=500%2C680" alt="" width="500" height="680">

شارك هذا الموضوع: