- 博客(16)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 OSSEC与snort的连接实验
OSSEC客户端首先要跟服务端建立连接。OSSEC客户端的配置文件里面要添加 C:\Snort\log\alertfull.ids snort-full 其中,alertfull.ids是Snort产生的日志文件,好像必须为full模式的日志,fast模式实验没推送成功,同时,日志文件名不能有下划线 '_' ,不然也不能推送。snort-full是日
2011-10-27 16:54:12
2448
2
原创 网络报文的长度
对于以太网环境下UDP传输中的数据包长度问题,首先要看TCP/IP协议,涉及到四层:链路层,网络层,传输层,应用层。其中以太网(Ethernet)的数据帧在链路层,IP包在网络层,TCP或UDP包在传输层,TCP或UDP中的数据(Data)在应用层,它们的关系是: 数据帧{IP包{TCP或UDP包{Data}}} 在应用程序中我们用到的Data的长度最大是多少,
2011-10-27 16:48:49
9038
转载 Know Your Enemy
主页(英文)http://www.honeynet.org/papers 中文版http://www.4oa.com/Article/html/5/379/385/2005/9029_2.html
2011-10-27 09:29:37
719
原创 Sebek学习笔记
1、Sebek是一个数据捕获工具。2、Sebek是运行在内核空间的一段代码,记录系统用户存取的一些或者全部数据。 这个工具有这些功能:记录加密会话中击键,恢复使用SCP拷贝的文件,捕获远程系统被记录的口令,恢复使用 Burneye保护的二进制程序的口令还有其它的一些入侵分析任务相关的作用。 入侵者会使用加密工具来保护他们的传输通道,监视者如果没有密钥,基于网络的数据捕获工具
2011-10-25 21:04:58
2698
10
转载 Windows下安装Snort(2)
全面且官方的WinIDS Installation Guide:http://wenku.baidu.com/view/e676414f2b160b4e767fcf29.html 这个WINIDS以snort mysQL等为基础,在windows下搭建了一个IDS系统。这个是他的说明文档中关于Snort安装和配置的部分,值得参考。Install and configure Snort
2011-10-24 16:40:13
2943
原创 WINDOWS下安装Snort
需要在WINDOWS下安装Snort。过程比较麻烦,主要是配置麻烦。有个专门介绍如何在windows下安装Snort的网站,比较全面:http://www.winsnort.com/ 网上有些文章介绍,但是都比较老,环境也很复杂,要用到mysql。我只想用命令行用用snort就OK了。全面且官方的WinIDS Installation Guide:http://wenku.baid
2011-10-24 15:59:22
28716
5
转载 snort.conf分析(中文)
原帖:http://blog.csdn.net/jo_say/article/details/6302367 snort.conf分析此文件包含一个snort配置样例。共分五步骤:1 设置你的网络变量2 配置动态加载库3 配置预处理器4 配置输出插件5 增加任意的运行时配置向导6 自定义规则集step1:设置你的网络变量1 其中针对本地网络给出3种方
2011-10-24 11:01:17
8999
翻译 Snort 命令参数详解
用法: snort -[options] 选项:-A 设置报警模式,alert = full/fast/none/unsock,详解上一篇snort简介。-b 用二进制文件保存网络数据包,以应付高吞吐量的网络。-B 将IP地址信息抹掉,去隐私化。-c 使用配置文件,这会使得snort进入IDS模式,并从中读取运行的配置信息。-d
2011-10-24 10:50:50
18311
1
转载 snort简介
【引至Snort中文手册http://man.chinaunix.net/network/snort/Snortman.htm 】 snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定
2011-10-24 08:35:57
2145
转载 通过组策略阻止特定端口的流量
第一步,点击“开始”—>“运行”—>输入“gpedit.msc”,进入组策略,双击“windows设置”,双击打开“安全设置”,选中“IP 安全策略”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导。在向导中点击“下一步”按钮,为新的安
2011-10-19 09:35:38
2582
转载 freebsd vi使用
进入vi的命令vi filename :打开或新建文件,并将光标置于第一行首vi +n filename :打开文件,并将光标置于第n行首vi + filename :打开文件,并将光标置于最后一行首vi +/pattern filename:打开文件,并将光标置
2011-10-17 09:01:16
947
转载 linux Freebsd 特殊符号的用法
-- 就是选项的开始,一般一个字母的选项用 - 开头,多个字母的就用 -- 开头. ~/:用户主文件夹/:跟目录./:本级目录../:上级目录 1,> 重定向输出符号 用法:命令 >文件名 特性:覆盖(当输入文件和输出文件是同一
2011-10-14 12:48:28
851
原创 BotHunter试验
经过昨晚一晚上的实验,Snort获得了100多条log,但是这些log经过BotHunter处理一个bhProfile也没有得到。这可能是采集的网络流量的问题,等数据采集服务器采集到真实流量后再进行实验试试。另外,Snort的log里面,大部分跟183有关,有少数几条18
2011-10-14 12:23:41
1079
1
原创 BotHunter的使用实验
安装好BotHunter后,开始实验其使用。直接按照user guide,切换到cta-bh:su -l cta-bh ,执行BotHunter,却说Command not Found。想切回root:su root,提示sorry。google之,发现是因为cta-b
2011-10-13 18:15:32
2124
1
原创 BotHunter安装
想尝试安装下BotHunter,看看是什么样子。 1.安装环境: 在172.16.100.60这个freeBSD的虚拟机上,因为他是桥接在43服务器上的,他有这个网络的流量。2.安装过程: 过程很烦人。 首先,按他给的文档安装,tar z
2011-10-13 08:37:03
1777
2
转载 FreeBSD常用命令大全
FREEBSD是一个unix的分支.他的命令大部分也是从他的里面来的如果你从unix转到BSD来,那么你一定对他的命令会比较熟悉1: man 在线查询 man ls2: ls 查看目录与档案 ls -la3: ln 建立链接文件 ln -fs /usr/loc
2011-10-11 10:33:28
22588
netflow/argus的简单实现:Traffic Logger---一个可以统计记录本地所有网络流量详细信息的C程序
2012-11-13
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人