Trong chương trình CEH v12 module 12 có bài hướng dẫn cài đặt SNORT trên Windows Server 2019 và thử nghiệm phát hiện các tình huống xâm nhập trái phép. Khi triển khai trên Windows khá mất công do cần chỉnh file config sao cho thích hợp, sau đây là một bài minh họa phần mà tôi đã trình bày khá lâu trong khóa học SCNP, nay cài Snort trên Windows vẫn “khoai” hơn nhiều so với triển khai trên Kali
Tuy nhiên, Kali Linux hiện nay không còn chứa snort trong repo như trước đây, ví dụ bản Kali 2018 hay Kali 2019 ta chỉ cần gõ apt install snort rồi click thêm vài phát sau đó chỉnh lại biên Home Net là ổn, còn hiện nay ta phải tinh chỉnh đôi chút file repo cho thích hợp.
Hãy xem bài trình bày cài snort trên Kali 2018
Trước đây nữa Sort có sẵn luôn trên BackTrack 5R3
Vậy, với Kali 2023.4 hiện nay ta cần bổ sung đôi chút để cài Snort phục vụ cho việt phát hiện và dò tìm xâm phạm trái phép, hãy tham khảo các bước sau (khá giống với khi cài INETSIM trên Kali trước đây, nhưng bản Kali 2023 thì c1o sẵn INETSIM nên khá thuận tiện) :
Sau lưu source list trên Kali
mv /etc/apt/sources.list /etc/apt/sources.list.bak
Hiệu chỉnh nội dung source.list
sudo nano /etc/apt/sources.list
Copy nội dung sau vào file source.list (nếu dùng máy ảo copy phần kế tiếp)
deb http://archive.ubuntu.com/ubuntu/ focal main restricted universe multiverse<br>
deb-src http://archive.ubuntu.com/ubuntu/ focal main restricted universe multiverse<br>
deb http://archive.ubuntu.com/ubuntu/ focal-updates main restricted universe multiverse<br>
deb-src http://archive.ubuntu.com/ubuntu/ focal-updates main restricted universe multiverse<br>
deb http://archive.ubuntu.com/ubuntu/ focal-security main restricted universe multiverse<br>
deb-src http://archive.ubuntu.com/ubuntu/ focal-security main restricted universe multiverse<br>
deb http://archive.ubuntu.com/ubuntu/ focal-backports main restricted universe multiverse<br>
deb-src http://archive.ubuntu.com/ubuntu/ focal-backports main restricted universe multiverse<br>
deb http://archive.canonical.com/ubuntu focal partner<br>
deb-src http://archive.canonical.com/ubuntu focal partner<br>
Nếu dùng máy ảo thi copy nội dung sau vào source.list
deb [arch=arm64] http://ports.ubuntu.com/ubuntu-ports focal main restricted universe multiverse<br>
deb [arch=arm64] http://ports.ubuntu.com/ubuntu-ports focal-updates main restricted universe multiverse<br>
deb [arch=arm64] http://ports.ubuntu.com/ubuntu-ports focal-security main restricted universe multiverse<br>
deb [arch=i386,amd64] http://us.archive.ubuntu.com/ubuntu/ focal main restricted universe multiverse<br>
deb [arch=i386,amd64] http://us.archive.ubuntu.com/ubuntu/ focal-updates main restricted universe multiverse<br>
deb [arch=i386,amd64] http://security.ubuntu.com/ubuntu focal-security main restricted universe multiverse<br>
Thêm các khóa sau :
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3B4FE6ACC0B21F32
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 871920D1991BC93C
Cập nhật
sudo apt update
Rồi cài :
sudo apt install snort
Bài học record từ buổi live stream qua zoom , hướng dẫn cài Snort trên Kali 2023.4 của lớp CEH v12
Tiêp theo, chạy honeypot port 80 với Penbox rồi thử flood và scan port các thứ sẽ thấy scan chậm (1 port) snort nó chẳng báo gì (bypass, nếu dùng nmap -T4 snort chắc thua) , còn quét -p- hay nhiều port và nhanh nó báo ngay
Lưu ý lệnh là #snort -q -A console -i eth0 -c /etc/snort/snort.conf
Bài trình bày …….. LearnSecurity Online
Tham khảo thêm các room IDS trên TryHackMe:
Xem Các Khóa học Trực Tuyến @ Learn Security Online tại đây : CHFI v10 – CEH v12
CEH v13 AI - CEH VIETNAM 
Bình luận về bài viết này