Scribd Logo
Importer

Bienvenue sur Scribd !

  • 6 vues

    EXERCICE snort

    Transféré par

    moussahassanbarreh

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    EXERCICE snort

    Transféré par

    moussahassanbarreh
    6 vues3 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    6 vues3 pages

    EXERCICE snort

    Transféré par

    moussahassanbarreh

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    sur 3

    EXERCICE : créations de règle avec l’IDS Snort

    Exercice 1 : Détection de pings ICMP


    Objectif : Écrire une règle Snort pour détecter tout trafic ICMP (ping).

    1. Instruction :
    - Rédigez une règle Snort qui détecte tout trafic ICMP provenant de n’importe quelle
    source et à destination de n’importe quelle adresse IP.
    - Configurez une alerte contenant le message suivant : `Ping detected`.

    2. Indice :
    - Utilisez le mot-clé `alert`.
    - Protocole : `icmp`.
    - Option : spécifiez un message avec `msg`.

    Exercice 2 : Détection d’accès à un port spécifique


    Objectif : Identifier toute tentative d’accès sur le port 8080.

    1. Instruction :
    - Créez une règle pour détecter les connexions TCP à destination de votre serveur (IP :
    `192.168.1.100`) sur le port 8080.
    - Ajoutez un message d’alerte personnalisé comme : `Attempted access to port 8080`.

    2. Indice :
    - Utilisez les options `dst_ip` et `dst_port`.

    Exercice 3 : Détection de téléchargement de fichier .exe


    Objectif : Rédiger une règle pour détecter des téléchargements de fichiers exécutables (.exe).

    1. Instruction :
    - Écrivez une règle pour détecter les téléchargements HTTP contenant l’extension `.exe`.
    - Affichez une alerte : `Executable download detected`.
    2. Indice :
    - Utilisez les mots-clés `content` et `http_uri`.
    - Exemple de contenu à chercher : `.exe`.

    Exercice 4 : Détection de scan de ports


    Objectif : Identifier un scan de ports basé sur plusieurs connexions depuis une seule IP.

    1. Instruction :

    - Configurez une règle pour détecter une seule IP source (par exemple, `192.168.2.50`)
    établissant des connexions à plus de 5 ports différents dans un court laps de temps.

    - Affichez une alerte : `Port scanning activity detected`.

    2. Indice :

    - Utilisez le mot-clé `flowbits` pour corréler les événements.

    - Mettez en place une stratégie de gestion des logs pour analyser les scans.

    Exercice 5 : Détection d’accès non autorisé à SSH


    Objectif : Repérer les tentatives de connexion SSH.

    1. Instruction :

    - Rédigez une règle pour détecter toute connexion TCP sur le port 22 (SSH).

    - Ajoutez un message d’alerte comme : `SSH connection attempt`.

    2. Indice :

    - Adaptez la règle pour ne déclencher une alerte qu’après plusieurs tentatives (par exemple, 3
    connexions en moins de 30 secondes).

    Exercice 6 : Détection de mot clé dans un trafic HTTP


    Objectif : Bloquer les requêtes contenant le mot clé `admin` dans l’URL.
    1. Instruction :

    - Écrivez une règle qui détecte et alerte sur les URL contenant le mot `admin`.

    - Message : `Unauthorized admin access attempt`.

    2. Indice :

    - Combinez les mots-clés `content` et `http_uri`.

    Extension : Adaptez la règle pour exclure les requêtes provenant d’une IP de confiance
    (`192.168.1.10`).

    Exercice 7 : Création de règle personnalisée


    Objectif : Rédigez une règle selon une situation fictive.

    1. Instruction :

    - Imaginez un scénario où un utilisateur tente de télécharger des données sensibles depuis


    un serveur interne (IP : `10.0.0.5`).
    - Rédigez une règle pour détecter ce comportement et alerter.

    2. Exemple : Les données sensibles pourraient être identifiées par un mot clé comme
    `confidential`.

    Exercice 8 : Optimisation de règles Snort


    Objectif : Réviser et optimiser une règle donnée.

    1. Instruction :

    Voici une règle de détection :

    alert tcp any any -> any 80 (msg:"Possible attack detected"; content:"attack"; sid:1001;)

    - Identifiez les problèmes dans cette règle (faux positifs, performance).


    - Proposez une version améliorée pour limiter les faux positifs.

    Vous aimerez peut-être aussi