السبت، 18 ديسمبر، 2010

الدرس الثالث من دروس برنامج Snort : تنصيب قاعدة بيانات Snort

السلام عليكم ورحمة الله وبركاته

نستكمل سلسلة دروس برنامج Snort حيث سنقوم اليوم بضبط قاعدة البيانات الخاصة بالبرنامج وربطها بقاعدة البيانات MySQL ثم سنقوم بعمل اختبار بسيط لنتأكد ان البرنامج يعمل بكفاءة .

سنقوم اوﻻ بتحديد اسم المستخدم وقاعدة البيانات كالتالى :

DBNAME = The database name that you shall use for Snort.
SNORTDBUSER = The snort db user that you shall use for Snort.
YOURPASSWORD = The password that you shall use for the Snort db user.
 نقوم اﻵن بتشغيل MySQL كالتالى :
root@zezohome ~]# mysql -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 40
Server version: 5.0.51a-24+lenny2 (Debian)

 ولطلب المساعدة الخاصة بالبرنامج 
'help;'
أو
\h
ولكى نستطيع مسح الشاشة نكتب 
\c
 نقوم بانشاء قاعدة البيانات اللى سمناها فى الدرس السابق كالتالى :
mysql> CREATE DATABASE DBNAME;
Query OK, 1 row affected (0.00 sec)
تصدير البيانات الى البرنامج
mysql> GRANT CREATE, INSERT, SELECT, DELETE, UPDATE ON DBNAME.* TO
SNORTDBUSER@LOCALHOST;
Query OK, 0 rows affected (0.00 sec)
 وضع كلمة سر خاصة بالمستخدم
mysql> SET PASSWORD FOR
SNORTDBUSER@LOCALHOST=PASSWORD('YOURPASSWORD');
Query OK, 0 rows affected (0.00 sec)
ثم
mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.00 sec)
واﻵن انتهينا سنقوم اﻻن بالخروج من MySQL
mysql> exit
Bye
سنقوم اﻵن بضبط قاعدة البيانات الخاصة ببرنامج Snort
[root@zezohome schemas]# cd schemas/
سنقوم اﻵن باستيراد قاعدة البيانات التى انشأنها من اجل البرنامج كالتالى :
[root@zezohome schemas]# mysql -p -u SNORTDBUSER DBNAME < create_mysql
Enter password:
هنا يجب ان تدخل كلمة السر التى انشأنها  فى اﻻعلى لقاعدة البيانات SNORTDBUSER
دلوقتى هانشوف هل كل شىء مضبوط عن طريق استدعائها بالـ MySQL كالتالى :
[root@zezohome schemas]# mysql -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 43
Server version: 5.0.51a-24+lenny2 (Debian)
اﻵن سنشاهد قاعدة البيانات التى انشاناها :
mysql> show databases;
+--------------------+
| Database
|
+--------------------+
| information_schema |
| DBNAME
|
| mysql
|
+--------------------+
3 rows in set (0.00 sec)
واﻵن سنستخدم قاعدة البيانات التى انشأناها :
mysql> use DBNAME;
Reading table information for completion of table and column names You can turn off this feature to
get a quicker startup with -A
Database changed
نستدعى الجداول لرؤيتها :
mysql> show tables;
+---------------------------+
| Tables_in_DBNAME |
+---------------------------+
| data
|
| detail
|
| encoding
|
| event
|
| icmphdr
|
| iphdr
|
| opt
|
| reference
|
| reference_system
|
| schema
|
| sensor
|
| sig_class
|
| sig_reference
|
| signature
|
| tcphdr
|
| udphdr
|
+---------------------------+
16 rows in set (0.00 sec)
ثم 
mysql> exit
Bye
======================================================================
اﻵن سنقوم بعمل اختبار بسيط لنتأكد ان كل شىء مضبوط وبأن البرنامج يعمل مع قاعدة البيانات بطريقة جيدة 

تقوم بكتابة اﻻمر التالى :
[root@zezohome schemas]# snort -c /etc/snort/snort.conf
سنلاحظ ان ناتج هذا اﻻمر كالتالى :
[ Port and Service Based Pattern Matching Memory ]
+-[AC-BNFA Search Info Summary]------------------------------
| Instances
: 284
| Patterns
: 23051
| Pattern Chars : 156930
| Num States
: 90782
| Num Match States : 12254
| Memory
: 3.87Mbytes
| Patterns
: 1.03M
| Match Lists : 1.43M
| Transitions : 1.30M
+-------------------------------------------------
--== Initialization Complete ==--
,,_ -*> Snort! <*-
o" )~ Version 2.8.5 (Build 106)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2009 Sourcefire, Inc., et al.
Using PCRE version: 7.6 2008-01-28
Rules Engine: SF_SNORT_DETECTION_ENGINE Version 1.11 <Build 17>
Preprocessor Object: SF_DCERPC Version 1.1 <Build 5>
Preprocessor Object: SF_FTPTELNET Version 1.2 <Build 12>
Preprocessor Object: SF_SSLPP Version 1.1 <Build 3>
Preprocessor Object: SF_SSH Version 1.1 <Build 2>
Preprocessor Object: SF_SMTP Version 1.1 <Build 8>
Preprocessor Object: SF_DCERPC2 Version 1.0 <Build 2>
Preprocessor Object: SF_DNS Version 1.1 <Build 3>
Not Using PCAP_FRAMES
دلوقتى هانقوم بالضغط على ctrl+c للعودة الى الترمنال ومن ثم الخروج من برنامج Snort
اﻵن يجب علينا ان نجعل البرنامج يفتح من سكربت خاص به لذا علينا تغير التصاريح  للملف alert file للبرنامج حتى يتمكن من الدخول اليه بسهولة كالتالى :

[root@zezohome schemas]# chown snort:snort /var/log/snort/alert
[root@zezohome schemas]# chmod 600 /var/log/snort/alert
وبهذه النتيجة نكون انتهينا من درس اليوم وهو درس بسيط جدا وأرجو ان تكونوا استوعبتموه جيدا 
الدرس القادم سنقوم بتشغيل الواجهة الرسومية للبرنامج حتى نستطيع التعامل معاه بسهولة اكثر ان شاء الله

بالتوفيق لجميع ان شاء الله

السلام عليكم ورحمة الله وبركاته

2 comments :

غير معرف يقول...

أين باقي الدرس
الرجاء أكمل لنا الدرس

غير معرف يقول...

الرجاء المساعدة
وصلت إلى المرحلة
cd schemas/

bash: cd: schemas/: Aucun fichier ou dossier de ce type

إرسال تعليق