Difference between revisions of "SNORT: packet logger mode"

From OnnoWiki
Jump to navigation Jump to search
Line 1: Line 1:
 
Sumber: http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node5.html
 
Sumber: http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node5.html
  
Packet logger mode pada dasarnya merekam traffic yang di terima.
+
Snort adalah aplikasi untuk pendeteksi penyusup yang masuk ke jaringan komputer kita.
 +
Salah satu fitur yang akan sangat bermanfaat adalah merekam semua data yang terdengar
 +
oleh komputer yang mengoperasikan snort. Teknik ini biasanya akan sangat bermanfaat
 +
untuk melakukan proses forensic pada saat terjadi kejadian cybercrime.
 +
Pada kesempatan ini kita akan membahas lebih dalam tentang teknik melakukan
 +
perekaman paket data menggunakan snort.
  
==Folder Log Paket==
+
Mode untuk merekam paket pada snort sering di sebut packet logger mode.
 +
Format rekaman paket merupakan format pcap library. Oleh karena itu,
 +
bisa dengan mudah di baca oleh aplikasi penyadapan seperti wireshark.
  
Switch ke paket log mode, dan memberitahukan folder menyimpan log
+
==Folder untuk Merekam==
 +
 
 +
Teknik merekam paket tidak berbeda jauh dengan teknik sniffer pada snort.
 +
Bedanya kita hanya perlu memberitahukan folder yang digunakan sebagai
 +
tempat untuk menyimpan data yang di rekam. Folder tersebut diberitahukan
 +
menggunakan switch -l, sebagai berikut,
  
 
  snort -dev -l ./log
 
  snort -dev -l ./log
Line 12: Line 24:
 
Ketika Snort berjalan dalam mode ini, ia mengumpulkan setiap paket yang dilihatnya dan menempatkannya dalam hirarki direktori berdasarkan alamat IP dari salah satu host di datagram
 
Ketika Snort berjalan dalam mode ini, ia mengumpulkan setiap paket yang dilihatnya dan menempatkannya dalam hirarki direktori berdasarkan alamat IP dari salah satu host di datagram
  
Jika anda hanya menggunakan switch -l saja, akan melihat snort kadang kala menggunakan alamat remote komputer sebagai directory di mana ia menempatkan paket dan kadang-kadang menggunakan alamat host lokal. Agar menyimpan log relatif ke jaringan lokal, anda perlu memberitahukan snort mana yang home network / jaringan lokal:
+
Jika Kita hanya menggunakan switch -l saja, akan melihat snort kadang kala menggunakan alamat remote komputer sebagai directory di mana ia menempatkan paket dan kadang-kadang menggunakan alamat host lokal. Agar menyimpan log relatif ke jaringan lokal, Kita perlu memberitahukan snort mana yang home network / jaringan lokal:
  
 
  snort -dev -l /var/log/snort -h 192.168.0.0/24
 
  snort -dev -l /var/log/snort -h 192.168.0.0/24
  
Perintah ini memberitahu Snort bahwa anda ingin mencetak data link dan TCP/IP header serta data aplikasi ke dalam direktori /var/log/snort, dan anda ingin log paket relatif terhadap jaringan kelas C 192.168.1.0. Semua paket yang masuk akan disimpan ke subdirektori dari direktori log, dengan nama direktori yang berbasis pada alamat remote host (non-192.168.1).
+
Perintah ini memberitahu Snort bahwa Kita ingin mencetak data link dan TCP/IP header serta data aplikasi ke dalam direktori /var/log/snort, dan Kita ingin log paket relatif terhadap jaringan kelas C 192.168.0.0. Semua paket yang masuk akan disimpan ke subdirektori dari direktori log, dengan nama direktori yang berbasis pada alamat remote host (non-192.168.0).
  
Catatan:
+
Catatan: Perhatikan bahwa jika kedua sumber dan tujuan host di jaringan lokal yang sama, mereka akan di catat ke direktori dengan nama berdasarkan nomor port yang lebih tinggi lebih dulu, jika sama, maka digunakan alamat sumber.
  
Perhatikan bahwa jika kedua sumber dan tujuan host di jaringan lokal yang sama, mereka akan di catat ke direktori dengan nama berdasarkan nomor port yang lebih tinggi lebih dulu, jika sama, maka digunakan alamat sumber.
+
==Logging Biner==
  
Jika anda berada di jaringan kecepatan tinggi atau Anda ingin log paket ke bentuk yang lebih kompak untuk analisis nanti, anda harus mempertimbangkan logging dalam mode biner. Log paket dalam mode biner dalam format tcpdump ke file biner tunggal dalam direktori logging:
+
Jika Kita berada di jaringan kecepatan tinggi atau Kita ingin log paket ke bentuk yang lebih kompak untuk analisis nanti, Kita harus mempertimbangkan logging dalam mode biner. Log paket dalam mode biner dalam format tcpdump ke file biner tunggal dalam direktori logging:
  
 
  snort -l /var/log/snort -b
 
  snort -l /var/log/snort -b
  
Perhatikan baris perintah perubahan di sini. Kita tidak perlu menentukan jaringan rumah lagi karena mode biner menyimpan semua ke dalam satu file, yang menghilangkan kebutuhan untuk memberitahukan bagaimana format struktur direktori output. Selain itu, anda tidak perlu berjalan dalam mode verbose atau menentukan switch -d atau -e karena dalam mode biner seluruh paket di catat, bukan hanya sebagian. Yang benar-benar anda perlu lakukan untuk menempatkan Snort ke mode logger adalah untuk menentukan direktori logging pada baris perintah menggunakan switch -l sementara switch binary logging -b hanya memberitahu Snort untuk log paket dalam format output selain default teks ASCII biasa.
+
Perhatikan baris perintah perubahan di sini. Kita tidak perlu menentukan jaringan rumah lagi karena mode biner menyimpan semua ke dalam satu file, yang menghilangkan kebutuhan untuk memberitahukan bagaimana format struktur direktori output. Selain itu, kita tidak perlu berjalan dalam mode verbose atau menentukan switch -d atau -e karena dalam mode biner seluruh paket di catat, bukan hanya sebagian. Yang benar-benar Kita perlu lakukan untuk menempatkan Snort ke mode logger adalah untuk menentukan direktori logging pada baris perintah menggunakan switch -l sementara switch binary logging -b hanya memberitahu Snort untuk log paket dalam format output selain default teks ASCII biasa.
  
Setelah paket telah dicatat ke file biner, anda dapat membaca paket kembali dari file dengan sniffer yang mendukung format biner tcpdump (seperti tcpdump atau Ethereal). Snort juga dapat membaca paket kembali dengan menggunakan switch -r, yang menempatkan ke mode playback. Paket dari setiap tcpdump diformat file yang dapat diproses melalui Snort dalam mode yang dijalankan. Misalnya, jika anda ingin menjalankan file log biner melalui Snort dalam mode sniffer untuk menampilkan paket ke layar, anda dapat mencoba sesuatu seperti ini:
+
==Membaca Log==
 +
 
 +
Setelah paket telah dicatat ke file biner, Kita dapat membaca paket kembali dari file dengan sniffer yang mendukung format biner tcpdump (seperti tcpdump, Ethereal, atau wireshark). Snort juga dapat membaca paket kembali dengan menggunakan switch -r, yang menempatkan ke mode playback. Paket dari setiap tcpdump diformat file yang dapat diproses melalui Snort dalam mode yang dijalankan. Misalnya, jika Kita ingin menjalankan file log biner melalui Snort dalam mode sniffer untuk menampilkan paket ke layar, Kita dapat mencoba sesuatu seperti ini:
  
 
  snort -dv -r packet.log
 
  snort -dv -r packet.log
  
Anda dapat memanipulasi data di file dengan sejumlah cara melalui packet logging dan mode deteksi intrusi, serta dengan antarmuka BPF yang tersedia dari baris perintah. Misalnya, jika Anda hanya ingin melihat paket ICMP dari file log, hanya menentukan filter BPF pada baris perintah dan Snort hanya akan melihat paket ICMP dalam file:
+
Kita dapat memanipulasi data di file dengan sejumlah cara melalui packet logging dan mode deteksi intrusi, serta dengan antarmuka BPF yang tersedia dari baris perintah. Misalnya, jika Kita hanya ingin melihat paket ICMP dari file log, hanya menentukan filter BPF pada baris perintah dan Snort hanya akan melihat paket ICMP dalam file:
  
 
  snort -dvr packet.log icmp
 
  snort -dvr packet.log icmp
Line 38: Line 52:
 
Untuk informasi lebih lanjut bagaimana cara menggunakan interface BPF, ada baiknya membaca manual tcpdump dan snort.
 
Untuk informasi lebih lanjut bagaimana cara menggunakan interface BPF, ada baiknya membaca manual tcpdump dan snort.
  
 +
==Logging ASCII==
  
==Logging ASCII==
+
Bagi kita yang hanya ingin membaca rekaman traffic dengan mudah menggunakan format text ASCII dapat menggunakan perintah berikut,
  
 
  snort -A console -c /etc/snort/snort.conf -l /var/log/snort/ -K ascii
 
  snort -A console -c /etc/snort/snort.conf -l /var/log/snort/ -K ascii
  
 +
Jika dibuang -A console, maka hasil rekaman tidak akan di tampilkan di layar / console. Perintah yang digunakan adalah,
 +
 +
snort -c /etc/snort/snort.conf -l /var/log/snort/ -K ascii
  
 
==Pranala Menarik==
 
==Pranala Menarik==
  
 
* http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node5.html
 
* http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node5.html

Revision as of 11:17, 1 April 2017

Sumber: http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node5.html

Snort adalah aplikasi untuk pendeteksi penyusup yang masuk ke jaringan komputer kita. Salah satu fitur yang akan sangat bermanfaat adalah merekam semua data yang terdengar oleh komputer yang mengoperasikan snort. Teknik ini biasanya akan sangat bermanfaat untuk melakukan proses forensic pada saat terjadi kejadian cybercrime. Pada kesempatan ini kita akan membahas lebih dalam tentang teknik melakukan perekaman paket data menggunakan snort.

Mode untuk merekam paket pada snort sering di sebut packet logger mode. Format rekaman paket merupakan format pcap library. Oleh karena itu, bisa dengan mudah di baca oleh aplikasi penyadapan seperti wireshark.

Folder untuk Merekam

Teknik merekam paket tidak berbeda jauh dengan teknik sniffer pada snort. Bedanya kita hanya perlu memberitahukan folder yang digunakan sebagai tempat untuk menyimpan data yang di rekam. Folder tersebut diberitahukan menggunakan switch -l, sebagai berikut,

snort -dev -l ./log
snort -dev -l /var/log/snort

Ketika Snort berjalan dalam mode ini, ia mengumpulkan setiap paket yang dilihatnya dan menempatkannya dalam hirarki direktori berdasarkan alamat IP dari salah satu host di datagram

Jika Kita hanya menggunakan switch -l saja, akan melihat snort kadang kala menggunakan alamat remote komputer sebagai directory di mana ia menempatkan paket dan kadang-kadang menggunakan alamat host lokal. Agar menyimpan log relatif ke jaringan lokal, Kita perlu memberitahukan snort mana yang home network / jaringan lokal:

snort -dev -l /var/log/snort -h 192.168.0.0/24

Perintah ini memberitahu Snort bahwa Kita ingin mencetak data link dan TCP/IP header serta data aplikasi ke dalam direktori /var/log/snort, dan Kita ingin log paket relatif terhadap jaringan kelas C 192.168.0.0. Semua paket yang masuk akan disimpan ke subdirektori dari direktori log, dengan nama direktori yang berbasis pada alamat remote host (non-192.168.0).

Catatan: Perhatikan bahwa jika kedua sumber dan tujuan host di jaringan lokal yang sama, mereka akan di catat ke direktori dengan nama berdasarkan nomor port yang lebih tinggi lebih dulu, jika sama, maka digunakan alamat sumber.

Logging Biner

Jika Kita berada di jaringan kecepatan tinggi atau Kita ingin log paket ke bentuk yang lebih kompak untuk analisis nanti, Kita harus mempertimbangkan logging dalam mode biner. Log paket dalam mode biner dalam format tcpdump ke file biner tunggal dalam direktori logging:

snort -l /var/log/snort -b

Perhatikan baris perintah perubahan di sini. Kita tidak perlu menentukan jaringan rumah lagi karena mode biner menyimpan semua ke dalam satu file, yang menghilangkan kebutuhan untuk memberitahukan bagaimana format struktur direktori output. Selain itu, kita tidak perlu berjalan dalam mode verbose atau menentukan switch -d atau -e karena dalam mode biner seluruh paket di catat, bukan hanya sebagian. Yang benar-benar Kita perlu lakukan untuk menempatkan Snort ke mode logger adalah untuk menentukan direktori logging pada baris perintah menggunakan switch -l sementara switch binary logging -b hanya memberitahu Snort untuk log paket dalam format output selain default teks ASCII biasa.

Membaca Log

Setelah paket telah dicatat ke file biner, Kita dapat membaca paket kembali dari file dengan sniffer yang mendukung format biner tcpdump (seperti tcpdump, Ethereal, atau wireshark). Snort juga dapat membaca paket kembali dengan menggunakan switch -r, yang menempatkan ke mode playback. Paket dari setiap tcpdump diformat file yang dapat diproses melalui Snort dalam mode yang dijalankan. Misalnya, jika Kita ingin menjalankan file log biner melalui Snort dalam mode sniffer untuk menampilkan paket ke layar, Kita dapat mencoba sesuatu seperti ini:

snort -dv -r packet.log

Kita dapat memanipulasi data di file dengan sejumlah cara melalui packet logging dan mode deteksi intrusi, serta dengan antarmuka BPF yang tersedia dari baris perintah. Misalnya, jika Kita hanya ingin melihat paket ICMP dari file log, hanya menentukan filter BPF pada baris perintah dan Snort hanya akan melihat paket ICMP dalam file:

snort -dvr packet.log icmp

Untuk informasi lebih lanjut bagaimana cara menggunakan interface BPF, ada baiknya membaca manual tcpdump dan snort.

Logging ASCII

Bagi kita yang hanya ingin membaca rekaman traffic dengan mudah menggunakan format text ASCII dapat menggunakan perintah berikut,

snort -A console -c /etc/snort/snort.conf -l /var/log/snort/ -K ascii

Jika dibuang -A console, maka hasil rekaman tidak akan di tampilkan di layar / console. Perintah yang digunakan adalah,

snort -c /etc/snort/snort.conf -l /var/log/snort/ -K ascii

Pranala Menarik