Sistemas de Detec\u00e7\u00e3o de Intrusos s\u00e3o utilizados para perceber tr\u00e1fego an\u00f4malo em uma rede de dados e tomar decis\u00f5es de acordo com as regras e configura\u00e7\u00f5es definidas pelo gestor de seguran\u00e7a da rede.<\/p>\n
Estes sistemas s\u00e3o divididos ativos e reativos. Os sistemas ativos, tamb\u00e9m conhecidos como IDS (Intrusion Detection Systems), percebem o tr\u00e1fego malicioso fazem a grava\u00e7\u00e3o em log e alertam o administrador da rede sobre o que est\u00e1 acontecendo.<\/p>\n
Os sistemas reativos, conhecidos como IPS (Intrusion Prevention System), tem todas as caracter\u00edsticas do sistema ativo, por\u00e9m \u00e9 capaz de tomar decis\u00f5es e interferir no tr\u00e1fego malicioso e tornar o ataque invi\u00e1vel.<\/p>\n
Em alguns sistemas IDS \u00e9 poss\u00edvel torn\u00e1-lo em IPS bastando ativar as configura\u00e7\u00f5es para que ele intervenha no tr\u00e1fego. Esta artigo tem como objetivo mostrar a instala\u00e7\u00e3o e configura\u00e7\u00e3o do HLBR, que \u00e9 um IPS brasileiro, open source que tem como principal caracter\u00edstica a sua “invisibilidade” na rede e sua f\u00e1cil configura\u00e7\u00e3o.<\/p>\n
O que \u00e9 o HLBR?<\/p>\n
O HLBR (Hogwash Light Brasil) \u00e9 Sistema de Detec\u00e7\u00e3o de Intruso que trabalha de forma reativa o que o classifica como IPS, baseado no IPS HOGWASH desenvolvido originalmente por Jason Larsen que colhe dados diretamente na camada 2 do Modelo OSI. Funcionando como uma bridge, sendo capaz de interceptar tr\u00e1fego malicioso baseado em arquivos de regras e assinaturas de ataques.<\/p>\n
O HLBR \u00e9 invis\u00edvel na rede e \u00e9 praticamente imposs\u00edvel de ser detectado pelo atacante. Esta caracter\u00edstica \u00e9 poss\u00edvel pelo fato do HLBR n\u00e3o alterar o cabe\u00e7alho dos pacotes. O fato de citar que \u00e9 praticamente imposs\u00edvel de ser detectado \u00e9 porque at\u00e9 ent\u00e3o ainda nenhuma atacante n\u00e3o conseguiu comprovar sua presen\u00e7a na rede. O HLBR se comporta como um ativo de rede, como uma Ponte, Hub ou Switch. Isto \u00e9 poss\u00edvel pelo fato de suas placas de redes n\u00e3o usarem endere\u00e7os de IP ou ainda, usar endere\u00e7os de Ip n\u00e3o rote\u00e1veis.<\/p>\n
O HLBR \u00e9 respons\u00e1vel em fazer a ponte entre as placas de rede da m\u00e1quina. Por essa raz\u00e3o, n\u00e3o h\u00e1 aplicativos intermedi\u00e1rios como a Libcap para fazer tal trabalho. Todo o trabalho de capturar, desmontar, analisar e remontar \u00e9 feito pelo HLBR. O HLBR \u00e9 capaz de analisar o pacote TCP em todas as camadas do Modelo ISO\/OSI e TCP.<\/p>\n
Ele l\u00ea os campos dos cabe\u00e7alhos de camada 2 (ethernet), 3 (cabe\u00e7alho IP) e 4 (TCP e UDP). S\u00e3o esses valores que s\u00e3o testados pelas regras. \u00c9 importante notar que o pr\u00f3prio HLBR faz esse reconhecimento dos formatos dos cabe\u00e7alhos, sem o apoio da pilha TCP\/IP do sistema operacional. Isso esclarece o fato do HLBR poder negar ataques na camada 2 do Modelo ISO\/OSI mesmo a m\u00e1quina onde ele est\u00e1 instalado n\u00e3o possuir n\u00famero de IP.<\/p>\n
Hardware e softwares necess\u00e1rios<\/p>\n
1. Hardware necess\u00e1rio
\nO HLBR faz jus ao L (light), pois os recursos de hardware e software s\u00e3o m\u00ednimos, sendo poss\u00edvel instalar em m\u00e1quinas consideradas antigas com processador de 200Mhz e 64 de Ram. e um HD de 2 GB. Estes requisitos s\u00e3o suficientes para o HLBR funcionar. Em rela\u00e7\u00e3o aos adaptadores de rede, o HLBR necessita de no m\u00ednimo 2 placas para que seja poss\u00edvel fazer a ponte entre duas redes. O HLBR \u00e9 capaz de formar mais de uma ponte em uma mesma m\u00e1quina, sendo que para cada ponte, 2 placas de redes sejam utilizadas.<\/p>\n
2. Sistema operacional
\nPara instalar o HLBR aconselho que a m\u00e1quina seja instalada com um Debian Minimal Install que pode ser adquirido no seguinte link:<\/p>\n
http:\/\/cdimage.debian.org\/debian-cd\/4.0_r1\/i386\/iso-cd\/debian-40r1-i386-netinst.iso<\/p>\n
Este sistema instala o m\u00ednimo necess\u00e1rio em uma m\u00e1quina para ter o Linux funcionando. Sem servidores e servi\u00e7os adicionais, provendo assim uma maior prote\u00e7\u00e3o por n\u00e3o haver servi\u00e7os extras sendo executados na ponte.<\/p>\n
Um passo importante ap\u00f3s a instala\u00e7\u00e3o do Debian Minimal Install \u00e9 instalar os pacotes necess\u00e1rios para compila\u00e7\u00e3o de programas no Linux. Para isto execute:<\/p>\n
# apt-get install build-essential<\/p>\n
Voc\u00ea pode usar a distribui\u00e7\u00e3o que voc\u00ea achar melhor, n\u00e3o h\u00e1 problemas. Tamb\u00e9m pode ser usado outros sabores *NIX como o FREEBSD. Por\u00e9m vale salientar, que a equipe mantenedora do software recomenda Debian.<\/p>\n
Preparando o ambiente para o HLBR<\/p>\n
a) Desativando o suporte a IP do Kernel<\/p>\n
Para configurar o HLBR sem suporte a IP \u00e9 necess\u00e1rio ter o c\u00f3digo fonte do Kernel do Linux e recompilar sem o suporte a IP. Desta maneira as placas n\u00e3o ter\u00e3o nenhum tipo de endere\u00e7amento local sendo controladas pelo daemon do HLBR. Isso ser\u00e1 necess\u00e1rio porque o TCP\/IP ir\u00e1 conflitar com o fato dos adaptadores de rede estarem ativos sem endere\u00e7o IP. Assim, o HLBR poder\u00e1 ter problemas no seu funcionamento, como retardo nos no tr\u00e1fego (Eriberto Mota;Andr\u00e9 Bertelli, 2006).<\/p>\n
Por\u00e9m esta forma de configura\u00e7\u00e3o desabilita a possibilidade de analisar o tr\u00e1fego com ferramentas sniffers como TCPDump, IPTraf e o Wireshark.<\/p>\n
b) Utilizando endere\u00e7os de loopback<\/p>\n
Caso o usu\u00e1rio opte usar endere\u00e7o de nas placas do HLBR para facilitar a configura\u00e7\u00e3o basta utilizar os endere\u00e7os de loopback como 127.0.0.0\/8. Por exemplo:<\/p>\n
eth0 : 127.0.0.2
\neth1 : 127.0.0.3<\/p>\n
Esta maneira \u00e9 bem mais f\u00e1cil de fazer, e n\u00e3o diminui a seguran\u00e7a do sistema em nada, pois endere\u00e7os de loopback n\u00e3o s\u00e3o rote\u00e1veis. E ainda acrescenta a possibilidade de uso de Analisadores de Tr\u00e1fego como o TCPDump, IPTraf e o Wireshark na camada 3 do modelo ISO\/OSI (camada de rede), \u00e9 poss\u00edvel tamb\u00e9m com esta configura\u00e7\u00e3o que um IDS como o Snort possa colher dados para an\u00e1lise e confec\u00e7\u00e3o de novas regras caso seja instalado na mesma m\u00e1quina.<\/p>\n
Instalando o HLBR<\/p>\n
a) Baixe o c\u00f3digo fonte em:<\/p>\n
http:\/\/ufpr.dl.sourceforge.net\/sourceforge\/hlbr\/hlbr-1.1.tar.gz<\/p>\n
b) Descompacte:<\/p>\n
# tar xzvf hlbr-1.1.tar.gz<\/p>\n
c) Entre no diret\u00f3rio:<\/p>\n
# cd hlbr-1.1<\/p>\n
d) Fa\u00e7a a compila\u00e7\u00e3o e instala\u00e7\u00e3o com:<\/p>\n
# .\/configure
\n# make
\n# make install<\/p>\n
Nesta fase existe um grande diferencial. Na hora do .\/configure, o script pergunta se o HLBR deve ser instalado em Portugu\u00eas ou Ingl\u00eas. Assim os Logs e mensagens do HLBR estar\u00e3o traduzidos para voc\u00ea.<\/p>\n
Configurando o HLBR<\/p>\n
a) V\u00e1 para o diret\u00f3rio \/etc\/hlbr:<\/p>\n
# cd \/etc\/hlbr<\/p>\n
b) Abra o arquivo de configura\u00e7\u00e3o hlbr.config:<\/p>\n
# vi hlbr.config<\/p>\n
Aqui voc\u00ea dever\u00e1 apontar quais s\u00e3o os servidores e m\u00e1quinas que voc\u00ea quer proteger. Veja que o HLBR traz alguns exemplos para que voc\u00ea possa alterar de acordo com as suas necessidades. Veja abaixo:<\/p>\n
<\/iplist> <\/iplist> <\/iplist> <\/iplist> <\/iplist> <\/iplist> Voc\u00ea dever\u00e1 trocar os IPs para os correspondentes dos seus servidores. Abaixo um exemplo utilizando IPs de redes locais, mas com certeza voc\u00ea ir\u00e1 colocar os IPs reais dos seus servidores (caso o HLBR esteja protegendo sua WAN). Se o HLBR estiver em rede local, protegendo servidores ou uma DMZ, o exemplo abaixo \u00e9 v\u00e1lido.<\/p>\n <\/iplist> <\/iplist> <\/iplist> <\/iplist> <\/iplist> <\/iplist> <\/iplist> As regras de detec\u00e7\u00e3o de ataque<\/p>\n O HLBR j\u00e1 vem com muitas regras prontas. Todas elas ficam dentro do diret\u00f3rio \/etc\/hlbr\/rules em v\u00e1rios arquivos. Geralmente, estes arquivos armazenam regras por assunto. Por exemplo: o arquivo webattacks.rules trazem regras que inibem ataques aos servidores webs. Um arquivo pode (e deve) armazenar diversas regras.<\/p>\n Abaixo, veja um exemplo de uma regra que impede que usu\u00e1rios tentem fazer a mudan\u00e7a de diret\u00f3rio no seu servidor web e visualizar informa\u00e7\u00f5es importantes como o arquivo de senhas do seu servidor. Esta regra est\u00e1 no arquivo \/etc\/hlbr\/rules\/passwd.rules.<\/p>\n Note que toda regra come\u00e7a com a tag As “actions” (a\u00e7\u00f5es) est\u00e3o definidas no arquivo \/etc\/hlbr\/hlbr.config. Na instala\u00e7\u00e3o padr\u00e3o existem 3 actions:<\/p>\n Os par\u00e2metros utilizados nas actions s\u00e3o:<\/p>\n alert file dump packet drop Onde posicionar o HLBR?<\/p>\n O HLBR pode ser posicionado de diversas maneiras. A Mais comum \u00e9 voc\u00ea coloc\u00e1-lo na frente de seu firewall e depois do seu roteador. Por exemplo: Entre seu roteador em casa e seu PC.<\/p>\n Veja na figura abaixo:<\/p>\n Um um ambiente corporativo, n\u00e3o vai ser necess\u00e1rio alterar sua atual estrutura de rede, voc\u00ea pode estar usando qualquer tipo de arquitetura de firewall com ou sem DMZ, Honeynet ou qualquer outro recurso. O HLBR n\u00e3o vai alterar em nada, basta coloc\u00e1-lo da seguinte maneira:<\/p>\n Ou voc\u00ea pode proteger sua rede utilizando um HLBR na entrada da rede e outro HLBR junto aos usu\u00e1rios, que na maioria das vezes s\u00e3o os nossos inimigos em potencial.<\/p>\n Colocando para funcionar!<\/p>\n a) Para iniciar o servidor HLBR d\u00ea o seguinte comando:<\/p>\n # \/etc\/initd.d\/hlbr start<\/p>\n b) Verifique se o HLBR est\u00e1 no ar:<\/p>\n # ps aux | grep hlbr<\/p>\n c) Para parar o HLBR:<\/p>\n # \/etc\/initd.d\/hlbr stop<\/p>\n d) Se voc\u00ea prefere usar a inicializa\u00e7\u00e3o em linha de comando use:<\/p>\n # hlbr -c \/etc\/hlbr\/hlbr.config -r \/etc\/hlbr\/hlbr.rules &<\/p>\n Veja os par\u00e2metros poss\u00edveis via linha de comando:<\/p>\n hlbr -c Para visualizar as op\u00e7\u00f5es acima, basta digitar no console hlbr sem par\u00e2metros.<\/p>\n Voc\u00ea pode colocar em um arquivo de inicializa\u00e7\u00e3o do Linux para toda vez que a m\u00e1quina for ligada, a ponte seja “armada” e o hlbr esteja sempre analisando o tr\u00e1fego.<\/p>\n Use o \/etc\/initd.d\/bootmisc.sh e coloque a seguinte linha l\u00e1:<\/p>\n hlbr -c \/etc\/hlbr\/hlbr.config -r \/etc\/hlbr\/hlbr.rules &<\/p>\n Ou utilize o seguinte comando no Debian:<\/p>\n # update-rc.d -n hlbr defaults<\/p>\n Auditoria: Visualizando LOGS e arquivos de DUMP<\/p>\n Todos os logs do HLBR est\u00e3o em \/var\/log\/hlbr (local padr\u00e3o). L\u00e1 voc\u00ea encontrar\u00e1 um arquivos textos com extens\u00e3o .log e arquivos de dump do tcpdump com extens\u00e3o dump.<\/p>\n Para visualizar os arquivo de log em modo texto basta usar o vi.<\/p>\n Ex: vi hlbr.log<\/p>\n Para visualizar os dumps do tcpdump, utilize a seguinte sintaxe:<\/p>\n # tcpdump -s 1500 -vvv -tttt -X -r hlbr.dump<\/p>\n Onde:<\/p>\n -s: Tamanho m\u00e1ximo do segmento (mtu) Nota: Para visualizar com o TCPDUMP, este aplicativo deve estar instalado no sistema. para isso utilize apt-get install tcpdump (caso voc\u00ea use Debian e derivados).<\/p>\n Testando: Provocando uma rea\u00e7\u00e3o do HLBR<\/p>\n Depois de todo o ambiente instalado, precisamos saber se o HLBR est\u00e1 no ar.<\/p>\n Como o HLBR \u00e9 o respons\u00e1vel em fazer a ponte entre as m\u00e1quinas. o fato de voc\u00ea executar um ping entre m\u00e1quinas que tem o HLBR no meio j\u00e1 \u00e9 suficiente para saber que ele est\u00e1 no ar e funcionando.<\/p>\n Por\u00e9m vamos testar com um ataque. Para vermos a a\u00e7\u00e3o do HLBR em tempo real, v\u00e1 em um console onde o HLBR est\u00e1 instalado e fa\u00e7a:<\/p>\n # tail -f \/var\/log\/hlbr\/hlbr.log<\/p>\n Vamos fazer um ataque simulando o v\u00edrus CODRED que atacava uma vulnerabilidade de um servidor IIS causando um Buffer Overflow.<\/p>\n Supondo que seu servidor Web seja 192.168.10.100, digite no browser:<\/p>\n http:\/\/192.168.0.100\/GET\/default.ida?<\/p>\n Veja no HLBR que o Log come\u00e7a a aparecer com a mensagem:<\/p>\n 22\/09\/2007 13:20:27 XXX.1.249.50:50019->200.XXX.XXX.XXX:80 (codered-nimda-1) default.ida request<\/p>\n Outro ataque, seria a mudan\u00e7a de diret\u00f3rio em um servidor Web. Este ataque permitia ao invasor navegar na estrutura de disco do servidor Web.<\/p>\n http:\/\/192.168.10.100\/..\/.. Veja no HLBR que o Log come\u00e7a a aparecer com a mensagem:<\/p>\n 03\/07\/2007 17:08:12 XXX.1.249.50:50019->200.XXX.XXX.XXX:80 (webattacks-1-re) directory change attempt (unicode,asc,plain)<\/p>\n Ou ainda, um ataque para explorar o Shell das m\u00e1quinas Windows (ataque que caracterizava o v\u00edrus NINDA)<\/p>\n http:\/\/192.168.10.100\/system\/cmd.exe?dir+c:<\/p>\n Veja no HLBR que o Log come\u00e7a a aparecer com a mensagem:<\/p>\n 22\/09\/2007 13:30:07 XXX.1.249.50:50019->200.XXX.XXX.XXX:80 (codered-nimda-2-re) (root|cmd|explorer) request<\/p>\n V\u00eddeos do HLBR em a\u00e7\u00e3o<\/p>\n Se voc\u00ea quer ver o HLBR em a\u00e7\u00e3o, voc\u00ea pode ver atrav\u00e9s dos seguintes v\u00eddeos:<\/p>\n V\u00eddeo 1: Ataque a um servidor DNS sem o HLBR Brinde. Se quiser ver um v\u00eddeo de como \u00e9 feita a instala\u00e7\u00e3o do HLBR veja em:<\/p>\n http:\/\/ufpr.dl.sourceforge.net\/sourceforge\/hlbr\/hlbr_install.avi <\/p>\n Obs: Todos os v\u00eddeos foram produzidos pela equipe do HLBR.<\/p>\n Conclus\u00e3o, cr\u00e9ditos e links<\/p>\n A inser\u00e7\u00e3o de mais uma camada de prote\u00e7\u00e3o em profundidade na nossa rede seja ela dom\u00e9stica ou corporativa \u00e9 um fato a se considerar. Implementar novas camadas ao nosso sistema de Firewall com IDS, IPS, Briges\/Pontes, Anti-V\u00edrus, Proxys, Roteador Blindado com ACLs (Screening Router) deve ser estudada e implementada. Atribuir diversas tarefas ao firewall \u00e9 uma maneira err\u00f4nea de pensar em prote\u00e7\u00e3o. Sobrecarregar m\u00e1quinas com diversos servi\u00e7os de prote\u00e7\u00e3o provoca uma falsa sensa\u00e7\u00e3o de seguran\u00e7a.<\/p>\n O HLBR \u00e9 um projeto Promissor, que venho usando a 2 anos na empresa em que trabalho sem nenhum “crash” durante todo este tempo.<\/p>\n Site Oficial do HLBR:<\/p>\n http:\/\/hlbr.sourceforge.net <\/p>\n Obrigado e lembrem-se…<\/p>\n flames > \/dev\/null !!!<\/diret><\/arquivo><\/args><\/rules><\/iplist><\/p>\n","protected":false},"excerpt":{"rendered":" Sistemas de Detec\u00e7\u00e3o de Intrusos s\u00e3o utilizados para perceber tr\u00e1fego an\u00f4malo em uma rede de dados e tomar decis\u00f5es de acordo com as regras e configura\u00e7\u00f5es definidas pelo gestor de seguran\u00e7a da rede. Estes sistemas s\u00e3o divididos ativos e reativos. Os sistemas ativos, tamb\u00e9m conhecidos como IDS (Intrusion Detection Systems), percebem o tr\u00e1fego malicioso fazem […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[1],"tags":[30,29,26],"class_list":["post-78","post","type-post","status-publish","format-standard","hentry","category-viazap","tag-blind","tag-blindando","tag-hlbr"],"_links":{"self":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/78","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=78"}],"version-history":[{"count":1,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/78\/revisions"}],"predecessor-version":[{"id":79,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/78\/revisions\/79"}],"wp:attachment":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=78"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=78"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=78"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n200.xxx.yyy.195
\n200.xxx.yyy.196<\/p>\n
\n200.xxx.yyy.195
\n200.xxx.yyy.197<\/p>\n
\n200.xxx.yyy.198<\/p>\n
\n200.xxx.yyy.210<\/p>\n
\n200.xxx.yyy.192\/26<\/p>\n
\n200.xxx.yyy.194
\n200.xxx.yyy.199<\/p>\n
\nwww
\ndns
\nemail
\nfirewall
\nothers
\n200.xxx.yyy.209<\/p>\n
\n192.168.0.1<\/p>\n
\n192.168.0.2<\/p>\n
\n192.168.0.3<\/p>\n
\n192.168.0.4<\/p>\n
\n192.168.0.0\/24<\/p>\n
\n192.168.0.5<\/p>\n
\nwww
\ndns
\nemail
\nfirewall
\nothers<\/p>\n
\nip dst(servers)
\ntcp dst(53,80,110,220)
\ntcp content(\/etc\/passwd)
\nmessage=(passwd-1) \/etc\/passwd call
\naction=action1
\n<\/rule><\/p>\n
\nresponse=alert file(\/var\/log\/hlbr\/hlbr.log)
\nresponse=dump packet(\/var\/log\/hlbr\/hlbr.dump)
\nresponse=drop
\n<\/action><\/p>\n
\nresponse=alert file(\/var\/log\/hlbr\/hlbr-2.log)
\nresponse=dump packet(\/var\/log\/hlbr\/hlbr-2.dump)
\n<\/action><\/p>\n
\nresponse=alert file(\/var\/log\/hlbr\/virus.log)
\nresponse=dump packet(\/var\/log\/hlbr\/virus.dump)
\nresponse=drop
\n<\/action><\/p>\n
\nCaminho do arquivo onde ser\u00e1 gravado o log.<\/p>\n
\nCaminho do arquivo de dump no formato do TCPDump.<\/p>\n
\nCaso este par\u00e2metro seja declarado, o pacote ser\u00e1 negado e descartado pelo HLBR.<\/p>\n
\n -r <\/arquivo>
\n -l
\n -t Analisa regras e sai \/ Parse rules and exit
\n -n Processa n pacotes e sai \/ Process n packets and exit
\n -d Executa em modo daemon \/ Enter Daemon Mode (Background Execution)
\n -v Mostra vers\u00e3o e sai \/ Print version and exit <\/p>\n
\n -vvv: Em modo detalhado
\n -tttt: Modo de tempo detalhado (hora e data)
\n -X: Exibe os valores em Hexadecimal
\n -r: Especifica o arquivo de entrada. <\/p>\n
\nou
\nhttp:\/\/192.168.10.100\/..\/..\/etc\/passwd<\/p>\n
\n V\u00eddeo 2: Ataque a um servidor DNS com o HLBR
\n V\u00eddeo 3: Ataque a um Servidor HTTP <\/p>\n