Projet Snort 3 - Détection d'attaques

Configuration technique

Snort 3 est configuré pour analyser le trafic réseau et générer des alertes en cas de comportement malveillant. Voici les règles personnalisées implémentées :

Détection des scans TCP (ex. Nmap)
Détection des attaques Ping Flood (DDoS)
Détection des tentatives de Brute Force SSH
Journalisation des paquets suspects dans un fichier de log

Exemple de règle Snort :

alert tcp any any -> any any (msg:"TCP Scan Detected"; sid:1000001; rev:1;)
alert icmp any any -> any any (msg:"Ping Flood Attack"; threshold:type threshold, track by_src, count 100, seconds 1; sid:1000002; rev:1;)
alert tcp any any -> any 22 (msg:"SSH Brute Force Attempt"; flow:to_server,established; content:"SSH-2.0"; fast_pattern; threshold:type limit, track by_src, count 5, seconds 60; sid:1000003; rev:1;)

Environnement de test

Les attaques sont simulées depuis une machine Kali Linux avec les outils suivants :

Nmap : pour les scans TCP
Hping3 : pour les attaques Ping Flood
Hydra : pour le Brute Force SSH

Topologie réseau :

Topologie réseau Snort

Pourquoi ce projet ?

Ce projet m'a permis de :

Comprendre le fonctionnement d'un IDS (Intrusion Detection System) moderne.
Apprendre à écrire des règles Snort pour détecter des attaques spécifiques.
Simuler des attaques réelles et observer les réactions du système en temps réel.
Renforcer mes compétences en analyse de logs et en réponse aux incidents.

Ce projet s'inscrit dans ma démarche pour maîtriser les outils essentiels de la cybersécurité offensive et défensive.

Technologies utilisées

Snort 3

IDS open-source pour la détection d'intrusions.

Kali Linux

Distribution pour les tests d'intrusion.

Règles personnalisées

Création de règles pour détecter des attaques spécifiques.

Logs Snort

Analyse des alertes générées en temps réel.

Projet Snort 3 - Détection d'attaques en temps réel

Démonstration en vidéo