безопасность

MRTG + SNORT

«Лучше один раз увидеть, чем сто раз услышать» гласит пословица. Многие вещи мы лучше
понимаем, представляем и запоминаем, если видели их собственными глазами. При этом не
всякое нами увиденное воспринимается одинаково хорошо. Очень сильно на процесс восприятия
влияет наглядность. В этой статье будет рассмотрен именно такой вариант отображения данных
об интенсивности атак, регистрируемых с помощью Snort. В качестве средства отображения
используется MRTG.

ПАВЕЛ ЗАКЛЯКОВ
22

Предполагается, что имеется СОА Snort, данные с одного
или нескольких сенсоров которой заносятся в БД инци-
дентов. Необходимо организовать визуальное отображе-
ние среднего уровня атак в зависимости от времени. Для
отображения удобнее всего использовать штатное сред-
ство большинства Linux-систем – MRTG (The Multi Router
Traffic Grapher) [1, 2 стр. 52-53, 3 стр. 316, 4 стр. 208-216].
Предполагается, что MRTG у вас уже установлен. Рассмот-
рим его настройку. Конфигурационный файл MRTG обыч-
но называется mrtg.cfg и находится в директории /etc/mrtg.
Нам необходимо отредактировать или создать заново этот
файл, добавив туда следующие строки:
mrtg.cfg
# Ðàáî÷àÿ äèðåêòîðèÿ mrtg, ãäå ñîçäàþòñÿ ïîääèðåêòîðèè
# äëÿ îò÷¸òîâ, îáû÷íî îíà óæå óêàçàíà
WorkDir: /var/www/html/mrtg
# Âûáîð ÿçûêà – âíîñèò â çàãîëîâîê html-còðîêó
# ñ CONTENT="text/html; charset=koi8-r" è ëîêàëèçóåò
# html-ôàéëû ñîçäàâàåìûõ îò÷¸òîâ
Language: russian
# Âíåøíèé ôàéë, êîòîðûé áóäåò ÿâëÿòüñÿ èñòî÷íèêîì äàííûõ
# äëÿ mrtg, çàïèñûâàåòñÿ â îáðàòíûõ êàâû÷êàõ
Target[snort]:`/etc/mrtg/snort_stat.pl`
# Ìàêñèìàëüíîå ÷èñëî àòàê â åäèíèöó âðåìåíè
# Çíà÷åíèÿ âûøå èãíîðèðóþòñÿ, íóæíî áîëüøå äëÿ íàãëÿäíîñòè
MaxBytes[snort]: 2000
AbsMax[snort]: 2000
# Çàãîëîâîê îêíà áðàóçåðà, òåã <title> â html
Title[snort]: Ñòàòèñòèêà àòàê (äàííûå Snort)
# Çàãîëîâîê ñòðàíèöû ñ ãðàôèêàìè
PageTop[snort]: <H1>Ñòàòèñòèêà àòàê (äàííûå Snort)</H1>
# Ïîääèðåêòîðèÿ â WorkDir, ãäå áóäóò ñîçäàâàòüñÿ îò÷¸òû
Directory[snort]: snort
# Ðàçìåð ãðàôèêîâ ïî øèðèíå â òî÷êàõ
XSize[snort]: 600
# Ðàçìåð ãðàôèêîâ ïî âûñîòå â òî÷êàõ
YSize[snort]: 160
# Ïîäïèñü ãðàôèêîâ ïî îñè îðäèíàò
YLegend[snort]: Attacks per minute
# Ïîäïèñü ëåãåíäû, ïîÿñíåíèå, ÷òî èìåííî çà ãðàôèê
# íàðèñîâàí òàêèì-òî öâåòîì.(Íåîáõîäèìî, ÷òîáû íå
# çàïóòàòüñÿ, êîãäà ãðàôèêîâ íåñêîëüêî)
Legend1[snort]: ×èñëî àòàê â ìèíóòó
# Óáðàòü ëèøíþþ èíôîðìàöèþ
LegendI[snort]: &nbsp;
LegendO[snort]:
# Çàäàòü íàïðàâëåíèå ðèñîâàíèÿ ãðàôèêîâ è ÷òî çíà÷åíèÿ,
# âûäàâàåìûå ïðîãðàììîé, óêàçàííîé â Target, ÿâëÿþòñÿ
# àáñîëþòíûìè
Options[snort]: absolute, growright
# Ïîäïèñü åäèíèö èçìåðåíèÿ àòàê
ShortLegend[snort]: àòàê/ìèí
После того как внесена правка в конфигурационный
файл mrtg.cfg, необходимо создать файл, на который мы
сделали ссылку в поле Target[snort]: /etc/mrtg/snort_stat.pl.
Этот файл будет запускаться по запросу mrtg, и он должен
подключаться к БД snort и подсчитывать число атак, на-
пример за последние 5 минут, после чего выдавать это зна-
чение в требуемом mrtg формате. Реализовать данную
идею возможно с помощью следующего SQL-запроса:
SELECT count(timestamp) FROM event
WHERE unix_timestamp(now())-unix_timestamp(timestamp)<300
который фактически является основным ядром нижесле-
дующего perl-скрипта, который лишь осуществляет авто-
матизацию процесса подключения и работы с БД и выво-
дит результат в нужном формате.
Перед созданием скрипта убедимся, что данный зап-
рос работает правильно, подключившись к БД из консоли
№5(18), май 2004
безопасность
от имени пользователя snort. Выполним подключение ко-
мандой:
# mysql -u snort -p
введя после соответствующий пароль, если он был задан.
Далее выберем БД snort командой:
mysql> USE snort;
и выполним вышеописанный SQL-запрос. В результате на
экране у вас может быть примерно следующее:
Если БД с инцидентами у вас достаточно большая, то
запрос может выполняться несколько десятков секунд.
Убедившись, что число строк в таблице event, время
которых лежит в интервале последних 300 секунд, счита-
ется правильно, создадим файл snort_stat.pl в директории
/etc/mrtg, который будет выполнять все проделанные нами
действия в автоматическом режиме. Подробнее о созда-
нии подобных скриптов можно прочитать в [7, 8].
Ôàéë snort_stat.pl
#!/usr/bin/perl
# Ôàéë, âûäàþùèé ÷èñëî àòàê çà ïîñëåäíèå 300 ñåêóíä
use DBI;
# Õîñò, ãäå çàïóùåíà ÁÄ MySQL
$hostname="àäðåñ_õîñòà_MySQL_ñ_ÁÄ_snort";
# Ïîðò, íà êîòîðîì çàïóùåíà ÁÄ MySQL
$port="3306";
# Èìÿ ïîëüçîâàòåëÿ, îò êîòîðîãî ïîäêëþ÷àòüñÿ ê ÁÄ
$user="snort";
# Ïàðîëü ïîëüçîâàòåëÿ, óêàçàííîãî âûøå
$password="ïàðîëü_ïîäêëþ÷åíèÿ_ê_ÁÄ";
# Èìÿ ÁÄ, ê êîòîðîé îñóùåñòâëÿåòñÿ ïîäêëþ÷åíèå
$database="snort";
# Ïîäêëþ÷èòüñÿ ê ÁÄ
$dbh = DBI->connect("DBI:mysql:$database:$hostname:$port", ↵
$user,$password);
# Ïîäãîòîâèòü SQL-çàïðîñ, âûïîëíÿþùèé ïîäñ÷¸ò ÷èñëà àòàê
# çà ïîñëåäíèå 300 ñåêóíä íà âûïîëíåíèå
$sth = $dbh->prepare("SELECT count(timestamp) FROM event ↵
WHERE unix_timestamp(now())-unix_timestamp(timestamp)<300");
# Âûïîëíèòü çàïðîñ
$sth->execute;
# Ðåçóëüòàò âûïîëíåííîãî ðàíåå çàïðîñà ïîìåñòèòü â ìàññèâ ref
@ref = $sth->fetchrow_array;
# Âûâåñòè ïîëó÷åííîå â ðåçóëüòàòå çàïðîñà çíà÷åíèå
print $ref[0],"\n";
# Çàâåðøèòü ðàáîòó ñ ÁÄ è îòêëþ÷èòüñÿ îò íå¸.
$rc = $sth->finish;
$rc = $dbh->disconnect;
# Âûâåñòè äîïîëíèòåëüíûå çíà÷åíèÿ, íåîáõîäèìûå äëÿ ñîáëþäåíèÿ
# ôîðìàòà ïåðåäà÷è äàííûõ â mrtg
print "0\n";
23
 безопасность
print "0\n";
print "snort\n";
Соответствующие параметры: адреса MySQL-сервера
и пр. следует задать самостоятельно, в зависимости от
вашей конфигурации. Следует отметить, что сам скрипт
и БД могут быть разнесены и выполняться на разных ком-
пьютерах, если вы запускаете скрипт на том же самом
компьютере, где находится БД, что наиболее вероятно, то
без сомнения можно использовать значение «localhost».
После указания в файле правильных значений необходи-
мо придать файлу атрибут запускаемости следующей ко-
мандой:
# chmod +x /etc/mrtg/snort_stat.pl
Далее, для того чтобы данный сценарий работал без
ошибок, перед его тестовым запуском необходимо убе-
диться в том, что в системе установлен не только сам perl
по тому адресу, что указан в первой строчке, который бу-
дет выполнять написанный нами скрипт, но и его пакеты-
расширения, позволяющие ему взаимодействовать с БД.
Это perl-DBD-MySQL и perl-DBI. Проверить их наличие
можно командой:
# rpm -qa|grep perl
которая выдаст имена всех пакетов в вашей системе, в
которых содержится слово perl. В случае отсутствия двух
вышеуказанных пакетов, содержащих необходимые нам
для работы perl-модули, следует установить их, например
для RedHat v.7.3, командами:
# rpm -ihv perl-DBI-1.21-1.i386.rpm
# rpm -ihv perl-DBD-MySQL-1.2219-6.i386.rpm
(Эти rpm-пакеты с модулями можно найти на втором и
третьем компакт-дисках соответственно.)
В случае если система обнаружения атак у вас рабо-
тает и регистрирует атаки, запустив данный скрипт вруч-
ную, при правильной его работе вы сможете увидеть при-
мерно следующий результат в виде четырёх строк.
19
0
0 нять все записи в crontab-файлах, да и потом в случае
snort
Первая цифра – число атак за последние 5 минут, сле-
дует заметить, что она может отличаться от той цифры,
что была выдана при ручном вводе соответствующего
SQL-запроса ранее, так как время не стоит на месте, то
пятиминутные интервалы, в промежутке которых осуще-
ствляется подсчёт, будут разные для разных моментов
запуска. В случае отсутствия атак первая цифра будет 0.
Три последующие строки меняться не будут, что легко
заметить из последних строчек выводящего их скрипта.
Нужны они лишь для того, чтобы правильно работал
mrtg и не ругался. Так как чаще всего mrtg работает с мар-
шрутизаторами, то на месте этих строчек оказываются не
пустые значения, а значения входящего и исходящего тра-
фика, uptime соответствующего устройства и его имя.
24
После того как как мы убедились, что скрипт работа-
ет, можно запустить mrtg. Первые три раза лучше это сде-
лать вручную, так как директория snort к моменту запуска
скорее всего будет отсутствовать со всем её будущим
содержимым, то в первые два раза будет выдано сооб-
щение о создании директории, и будут выданы сообще-
ния об ошибках. Mrtg будет жаловаться на то, что отсут-
ствует log-файл, где хранятся данные и отсутствует его
резервная копия. Третий раз запуск программы должен
пройти тихо, без выдачи каких-либо сообщений об ошиб-
ках. Если это так, то можно смело переходить к автомати-
зации процесса запуска mrtg. Если бы мы сразу решили
автоматизировать запуск, то эти и, возможно, другие со-
общения об ошибках могли бы оказаться в log-файлах
вашей системы, что усложнило бы процесс отладки и по-
иска возможных ошибок.
Дополнительно убедиться в правильности работы mrtg
можно, изучив содержимое директории /var/www/html/mrtg/
snort командой:
# ls /var/www/html/mrtg/snort
Там должны быть 7 файлов:
! snort-day.png ! snort.html
! snort.log ! snort-month.png
! snort.old ! snort-week.png
! snort-year.png
Процесс автоматизации запуска mrtg возможно орга-
низовать двумя путями: запускать mrtg в виде демона один
раз из стартовых скриптов, например из /etc/rc.d/rc.local,
указав дополнительно соответствующий параметр в фай-
ле конфигурации, либо запускать с помощью демона
crond. Второй вариант мне нравится больше. Для его реа-
лизации необходимо в файле /etc/crontab прописать сле-
дующие две строчки:
# mrtg-ñòàòèñòèêà
0-59/5 * * * * root /usr/bin/mrtg /etc/mrtg/mrtg.cfg ↵
--logging /var/log/mrtg.log
Строка-комментарий никакой смысловой нагрузки не
несёт, кроме того, что это правила хорошего тона, пояс-
чего проще будет разобраться.
Сообщения от mrtg лучше вести в отдельный файл /var/
log/mrtg.log, дабы не замусоривать и так перегруженный
/var/log/messages, хотя это не обязательно. MRTG лучше
запускать раз в пять минут (запись 0-59/5), каждого часа,
каждого дня месяца, каждого месяца в любой день неде-
ли (оставшиеся четыре *). Подробнее про синтаксис и про-
цесс автоматизации см. [9 стр.34-38]. В случае если вы
будете запускать его чаще или реже, следует изменить и
скрипт, подсчитывающий значение числа атак, заменив
там соответствующее 5 минутам значение в 300 секунд.
После того как добавлены эти строчки, можно считать,
что работа по настройке закончена, и если у вас, как и
положено, запущен демон crond, то всё будет работать. И
уже через несколько часов можно будет наблюдать не
совсем пустые гистограммы. В случае если у вас запу-

щен веб-сервер, просмотрите любым графическим брау-
зером файл http://yourserver/mrtg/snort/snort.html, либо файл
/var/www/html/mrtg/snort/snort.html локально в противном
случае. В результате вы увидите картинку, подобную ни-
жеследующей:
После того как, казалось бы, всё рассказано и показа-
но, хочется сделать пару замечаний.
Первое касается точности построения графиков. Как
легко заметить, для запуска используется демон crond, ко-
торый запускается после указанного времени, когда не толь-
ко загрузка системы позволит это сделать, но и будет ниже
определённой. В результате следует понимать, что запуск
происходит не точно каждые 5 минут. Если будет запозда-
ние, то скрипт, подсчитывающий атаки, запустится позже,
в результате его пятиминутный интервал не перекроется с
предыдущим и будет дырка, то есть часть атак не будет
подсчитано. Если же после «запоздавшего» задания сле-
дующее будет вовремя, то произойдёт перекрытие и неко-
торые атаки будут подсчитаны дважды. Для систем с гру-
бой оценкой это не важно, так как отклонения эти не боль-
шие и примерно компенсируются и не накапливаются в силу
случайно флуктуирующего числа атак в единицу времени.
Для более точных оценок данный метод следует корректи-
ровать. Именно по причине грубости данного метода я не
вижу смысла запускать mrtg чаще чем раз в 5 минут.
№5(18), май 2004
безопасность
Второе замечание касается подсчёта числа атак в еди-
ницу времени при построении графика. В случае если по
каким-то причинам придётся запускать mrtg в разные интер-
валы времени, то, возможно, вам пригодится следующая
информация. Сейчас, когда запускается mrtg то, так как в
Options указано слово absolute, осуществляется деление
переданного значения от скрипта на время, равное разнице
между текущим запуском mrtg и предыдущим. Это время
приблизительно равно 300 секундам и там, и там, поэтому
получается примерно точно. Однако если по каким-то при-
чинам с момента последнего запуска mrtg прошло другое
количество времени, то как легко предположить, среднее чис-
ло атак будет подсчитано неправильно. Несколько исправить
ситуацию может использование опции gauge вместо absolute,
но не всегда. Если указана опция gauge, то значение не де-
лится на интервал времени, а принимается равным тому, что
передали. Соответственно, для правильного подсчёта и ото-
бражения в скрипте snort_stat.pl необходимо будет делить
выводимое значение на 5. Этот способ подсчёта также яв-
ляется грубым, но может помочь вам несколько уменьшить
ошибку, поменяв правила её подсчёта.
Литература, ссылки:
1. MRTG: The Multi Router Traffic Grapher http://
people.ee.ethz.ch/~oetiker/webtools/mrtg/
2. Закляков П. Разводной мост на Linux. – //Журнал «Си-
стемный администратор» №4(5), апрель 2003 г.
3. Манн С., Крелл М. Linux. Администрирование сетей
TCP/IP. Пер. с англ. – М.: ООО «Бином-Пресс», 2003 г.
4. Колисниченко Д.Н. Linux-сервер своими руками. – СПб:
Наука и Техника, 2002 г.
5. Закляков П. Удобнее, эффективнее, лучше: snort +
MySQL – //Журнал «Системный администратор» №11(12),
ноябрь 2003 г.
6. Холзнер С. Perl: Специальный справочник – СПб: Пи-
тер, 2000 г.
7. Дюбуа П. Применение MySQL и Perl в Web-приложе-
ниях.: Пер. с англ. – М.:Издательский дом «Вильямс»,
2002 г.
8. Как получить доступ к базе данных из cgi-скриптов?
(Техническая поддержка Zenon N.S.P.: Виртуальные
unix-серверы : Вопросы по MySQL) http://www.host.ru/
documentation/v-www/0025.html#11
9. Тейнсли Д. Linux и UNIX: программирование в shell. Ру-
ководство разработчика: Пер. с англ. – К.: Издательс-
кая группа BHV, 2001 г.
25