Snort Çıktılarında IP Adreslerini Gizleme

Zaman zaman e-posta listelerine örnek trafik çıktıları gönderilmektedir, bu trafik çıktılarında gereksiz yere şirketin internete doğrudan verilmemiş ip adresleri yer alabilir. Bunun önüne geçebilmek amacıyla Snort, ağ üzerinden yakaladığı trafikteki IP adreslerini gizleme özelliği sunmaktadır.

-O parametresi kullanılarak alınan örneklerde kaynak ve hedef IP adresi alanlarında xxx.xxx.xxx.xxx değeri gözükecektir.

# snort -O -vd
Snort BPF option: …
Running in packet dump mode

–== Initializing Snort ==–
Initializing Output Plugins!
Verifying Preprocessor Configurations!
***
*** interface device lookup found: pflog0
***

Initializing Network Interface pflog0
OpenPcap() device pflog0 network lookup:
pflog0: no IPv4 address assigned
Decoding OpenBSD PF log on interface pflog0

–== Initialization Complete ==–

,,_ -*> Snort! <*- o” )~ Version 2.8.2.1 (Build 16) ”” By Martin Roesch & The Snort Team: http://www.snort.org/team.html (C) Copyright 1998-2008 Sourcefire Inc., et al. Using PCRE version: 7.7 2008-05-07 Not Using PCAP_FRAMES 06/30-20:34:10.870543 xxx.xxx.xxx.xxx:25 -> xxx.xxx.xxx.xxx:35115
TCP TTL:64 TOS:0×0 ID:23256 IpLen:20 DgmLen:68 DF
***AP*** Seq: 0x76B02441 Ack: 0x544CF27E Win: 0xFFFF TcpLen: 20
32 35 30 20 6F 6B 20 31 32 37 37 39 31 39 32 35 250 ok 127791925
30 20 71 70 20 36 32 39 37 34 0D 0A 0 qp 62974..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

06/30-20:34:10.939840 xxx.xxx.xxx.xxx:17758 -> xxx.xxx.xxx.xxx:25
TCP TTL:64 TOS:0×0 ID:23257 IpLen:20 DgmLen:60 DF
******S* Seq: 0x3A8F4747 Ack: 0×0 Win: 0xFFFF TcpLen: 40
TCP Options (5) => MSS: 1460 NOP WS: 3 SackOK TS: 2581132713 0

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

06/30-20:34:11.064449 xxx.xxx.xxx.xxx:35115 -> xxx.xxx.xxx.xxx:25
TCP TTL:51 TOS:0×0 ID:51893 IpLen:20 DgmLen:46 DF
***AP*** Seq: 0x83D0FA73 Ack: 0x5DF9D6FF Win: 0×6180 TcpLen: 20
51 55 49 54 0D 0A QUIT..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

06/30-20:34:11.064509 xxx.xxx.xxx.xxx:25 -> xxx.xxx.xxx.xxx:35115
TCP TTL:64 TOS:0×0 ID:23261 IpLen:20 DgmLen:64 DF
***AP*** Seq: 0x76B0245D Ack: 0x544CF284 Win: 0xFFFF TcpLen: 20
32 32 31 20 6D 61 19 6C 2E 73 69 73 75 65 6D 62 221 mail.siber..
69 6C 2E 63 6F 65 0D 0A il.com..

#man snort

-O Obfuscate the IP addresses when in ASCII packet dump mode. This
switch changes the IP addresses that get printed to the
screen/log file to “xxx.xxx.xxx.xxx”. If the homenet address
switch is set (-h), only addresses on the homenet will be obfus-
cated while non- homenet IPs will be left visible. Perfect for
posting to your favorite security mailing list!