«
»

SNORT [2]

Komponen-Komponen Snort IDS
Komponen-komponen Snort IDS meliputi:
•    Rule Snort
Rule Snort merupakan database yang berisi pola-pola serangan berupa signature jenis-jenis serangan. Rule Snort IDS ini, harus diupdate secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi. Rule Snort dapat didownload di www.snort.org.


Sebagai contoh rule pada Snort sebagai berikut :
alert tcp $EXTERNAL NET
alert tcp $EXTERNAL NET any -> $HTTP SERVERS $HTTP PORTS
(msg:”WEB-IIS unicode directory traversal attempt”;
flow:to server, established; content:¨/..%c0%af../”;
nocase; classtype:web-application-attack; reference:cve,
CVE-2000-0884; sid:981; rev:6;)

Rule di atas terdiri dari 2 bagian: header dan option.

Bagian ”alert tcp $EXTERNAL NET any -¿ $HTTP SERVERS $HTTP PORTS” adalah header dan selebihnya merupakan option.

Dari rule-rule seperti di ataslah IDS Snort menghukumi apakah sebuah paket data dianggap sebagai penyusupan/serangan atau bukan, paket data dibandingkan dengan rule IDS, jika terdapat dalam rule, maka paket data tersebut dianggap sebagai penyusupan/serangan dan demikian juga sebaliknya jika tidak ada dalam rule maka dianggap bukan penyusupan/serangan.

•    Snort Engine
Snort Engine merupakan program yang berjalan sebagai daemon proses yang selalu bekerja untuk membaca paket data dan kemudian membandingkannya dengan rule Snort. Dalam sistem Linux, untuk mendeteksi apakah snort engine dalam keadaan aktif atau tidak dengan melihat prosesnya seperti contoh di bawah ini.

[root@localhost rules]# ps aux | grep snort
root 3060 0.0 1.3 9188 820 ? S Jun03 0:04 [snort]

Contoh diatas menunjukkan bahwa snort engine dalam keadaan aktif dengan proses ID 3060 dan dijalankan oleh user ”root”.

•    Alert
Alert merupakan catatan serangan pada deteksi penyusupan. Jika snort engine menghukumi paket data yang lewat sebagai serangan, maka snort engine akan mengirimkan alert berupa log file. Untuk kebutuhan analisa, alert dapat disimpan di dalam database, sebagai contoh ACID (Analysis Console for Intrusion Databases) sebagai modul tambahan pada Snort.
Contoh alert sebagai berikut :
[**] [1:499:3] ICMP Large ICMP Packet [**] [Classification:
Potentially Bad Traffic] [Priority: 2] 05/09-20:15:14.
895348 10.1.4.113 -> 10.1.3.126 ICMP TTL:128 TOS:0×0
ID:6316 IpLen:20 DgmLen:65528 Type:8 Code:0 ID:512
Seq:3072 ECHO [Xref => http://www.whitehats.com/info/IDS246]

Contoh alert di atas merupakan alert ketika terdapat paket data dalam ukuran besar dari IP Address 10.1.4.113 ke 10.1.3.126 yang dianggap sebagai serangan oleh Snort karena pola paket data tersebut terdapat dalam rule Snort.

Masukan ini dipos pada Juni 7, 2009 9:29 am dan disimpan pada Materi-Materi Teknik Informatika ^^ dengan kaitan (tags) , . Anda dapat mengikuti semua aliran respons RSS 2.0 dari masukan ini Anda dapat memberikan tanggapan, atau trackback dari situs anda.

Tinggalkan Balasan