Snort IDS instellen - Serversoftware en clouddiensten

vrijdag 24 mei 2013 19:29

Acties:

Topicstarter

Beste medetweakers,

Ik heb sinds kort snort op mijn server geïnstalleerd omdat deze door een traffic spike af en toe plat ligt...
Ik vermoed dat het gaat om een DoS aanval.

Ik heb snort met succes geïnstalleerd inclusief de Registered User Release VRT rules.
Ik heb een nmap test en een korte DoS aanval met loic gedaan om te kijken of dit opgenomen werd in de log bestanden maar dit was niet het geval.

Ik heb een test rule geïnstalleerd die al het dataverkeer in de log opneemt, dit werkt wel.

Ik heb de snort installatie online gezet: http://www.xgclan.com/downloads/snort.zip

Kan iemand zien wat ik fout doe en mij helpen om DoS en DDoS aanvallen te detecteren?

zaterdag 25 mei 2013 14:40

Acties:

Gijs007

Topicstarter

Ik heb zo juist snort gestart met:
snort -c D:\Snort\etc\snort.conf -l D:\Snort\log -T –daq pcap

Deze gaf de melding Response can't open ip!

Misschien is dit de oorzaak van het probleem?

zondag 26 mei 2013 17:21

Acties:

CMD-Snake

Ik heb geen ervaring met Snort. Dus daar kan ik je niet echt helpen. Let wel dat als je zo'n oplossing op je server draait je nog steeds kwetsbaar bent. Het kost resources om het netwerkverkeer te analyseren. Als ze je met genoeg data bestoken verzuipt je firewall in het verkeer.

Het beste is nog altijd een appliance voor dit soort taken. Ik zou zeggen kijk eens naar de Sonicwall TZ-serie. Tegenwoordig is die van Dell. Die kastjes zijn erg goed firewalls en ze hebben AV en DDoS filtering onder andere. Ze kosten tussen de 300-500 euro afhankelijk van je model.

zondag 26 mei 2013 21:11

Acties:

Gijs007

Topicstarter

Bedankt voor de tip, ik ga echter geen 300 euro uitgeven omdat een of ander kind met zijn glasvezel verbinding grappig denkt te zijn...

Als ik het IP eenmaal heb kan ik het door het datacentrum laten blokkeren.

zondag 26 mei 2013 21:21

Acties:

DiedX

Is TCPDump niet handiger voor dit soort snelle momenten?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

maandag 27 mei 2013 08:59

Acties:

CMD-Snake

Maar als je server in een datacenter hangt moeten die toch middelen hebben om je te helpen? Zij hebben ook al firewalls die een DDoS moeten kunnen detecteren en stoppen. Ik zou dan nog eerder met hun even in overleg wat ze voor je kunnen doen.

maandag 27 mei 2013 10:13

Acties:

Gijs007

Topicstarter

DiedX schreef op zondag 26 mei 2013 @ 21:21:
Is TCPDump niet handiger voor dit soort snelle momenten?

Nope, want dan moet ik de server de hele tijd in de gaten houden

En tijdens de DoS kan ik de server niet benaderen.

CMD-Snake schreef op maandag 27 mei 2013 @ 08:59:
Maar als je server in een datacenter hangt moeten die toch middelen hebben om je te helpen? Zij hebben ook al firewalls die een DDoS moeten kunnen detecteren en stoppen. Ik zou dan nog eerder met hun even in overleg wat ze voor je kunnen doen.

Heb ik al gedaan maar zij kunnen alleen mijn IP null routen en IP van buiten blokkeren maar dan moet ik dus eerst achter het IP zien te komen met bijvoorbeeld snort.

dinsdag 28 mei 2013 22:53

Acties:

Yarisken

waarom pipe je tcpdump niet gewoon naar een tekstbestand en analyseer je het gewoon later.

tcpdump > dump.txt

woensdag 29 mei 2013 16:26

Acties:

Gijs007

Topicstarter

Yarisken schreef op dinsdag 28 mei 2013 @ 22:53:
waarom pipe je tcpdump niet gewoon naar een tekstbestand en analyseer je het gewoon later.

tcpdump > dump.txt

Omdat hij dat maar heel kort doet in plaats van een constante log file...

woensdag 29 mei 2013 16:34

Acties:

Basz0r

En als je tcpdump uitvoert in een ander screen? Bijv: screen -dmS tcpdump_dos tcpdump > dump.txt ?

Waarbij je bij tcpdump_dos een naampje geeft waar je de screen aan kan herkennen. Dan kan je de SSH sessie sluiten en blijft het programma nog in de achtergrond draaien.

En als je deze later wil sluiten, dan maak je met SSH verbinding met je server en dan doe je: screen -x tcpdump_dos en dan doe je CTRL+C , kan je daarna de log doorspitten op IP's

Nogmaals een edit: Aan je commando te zien maak je gebruik van Windows? Omdat je een schijfletter gebruikt in de link naar het configuratiebestand. In dat geval kan je ook Wireshark in de achtergrond draaien

offtopic:
Oeps, topic staat in Serversoftware en Windows Servers. Niet op gelet. In dat geval raad ik Wireshark aan

[ Voor 51% gewijzigd door Basz0r op 29-05-2013 16:39 ]

donderdag 30 mei 2013 00:45

Acties:

Gijs007

Topicstarter

Basz0r schreef op woensdag 29 mei 2013 @ 16:34:
En als je tcpdump uitvoert in een ander screen? Bijv: screen -dmS tcpdump_dos tcpdump > dump.txt ?

Waarbij je bij tcpdump_dos een naampje geeft waar je de screen aan kan herkennen. Dan kan je de SSH sessie sluiten en blijft het programma nog in de achtergrond draaien.

En als je deze later wil sluiten, dan maak je met SSH verbinding met je server en dan doe je: screen -x tcpdump_dos en dan doe je CTRL+C , kan je daarna de log doorspitten op IP's

Nogmaals een edit: Aan je commando te zien maak je gebruik van Windows? Omdat je een schijfletter gebruikt in de link naar het configuratiebestand. In dat geval kan je ook Wireshark in de achtergrond draaien

offtopic:
Oeps, topic staat in Serversoftware en Windows Servers. Niet op gelet. In dat geval raad ik Wireshark aan

Heb ik inderdaad al naar gekeken maar wireshark gebruikt heel snel heel veel ram geheugen waardoor het draaien van wireshark voor meer als 20 minuten niet gaat lukken ondanks dat mijn server 32GB ram heeft...

Snort lijkt op dit moment de beste optie maar dit wil nog niet erg lukken

zondag 2 juni 2013 01:36

Acties:

Yarisken

Installeer je snort op de server zelf of op een andere server ? Indien een andere server kan je misschien is kijken naar securityonion. Dat is een volledige installatie van snort die voor jou gedaan wordt. Je moet dan wel alle traffiek naar de netwerkinterface van deze server kunnen doorsturen.