suricata
沈万三gz
浮躁一分,到处遍招尤悔因循二字,从来误尽英雄。
展开
-
Surciata源码分析之IpsNFQ模式(2)
2. 各模块功能分析 Receive:从NFQUEUE中接收数据包,并将封装在Packet结构中,然后放入下一个缓冲区。 Decode:对数据包进行解码,主要是对数据包头部信息进行分析并保存在Packet结构中。 StreamTCP:对数据包进行TCP流重组。 Detect:检测数据包是否包含入侵行为。 Verdict:对检测后的数据包转载 2014-07-15 17:00:56 · 914 阅读 · 0 评论 -
入侵检测IDS学习--snort基础
1.BM算法BM匹配算法是Boyer和Moore两人在KMP算法的启发下,提出的一种字符串快速匹配算法。它采用自右向左的方式扫描模式(P表示)与正文(T表示),一旦发现正文中出现模式中没有的字符时就可以将模式、正文进行一个大幅度的偏移。模式与正文在匹配比较的过程中,将P与T左对齐,即P[1]与T[1]对齐。匹配从P 的最右端字符开始,判断P[strlen(P)](strlen(p)为模式长度)转载 2014-07-24 10:46:02 · 2137 阅读 · 0 评论 -
入侵检测IDS学习--snort规则
1.入侵检测的检测引擎就是通过对规则选项的分析构成了Snort 检测引擎的核心。选项主要可以分为四类,第一类是数据包相关各种特征的描述选项,比如:content、flags、dsize、ttl等;第二类是规则本身相关一些说明选项,比如:reference、sid、classtype、priority等;第三类是规则匹配后的动作选项,比如:msg、resp、react、session、l转载 2014-07-24 10:59:48 · 5689 阅读 · 0 评论 -
工作记录--linux安装软件
1.autogen.sh------可以自动生成configure文件-------执行./configure转载 2014-07-10 18:08:50 · 918 阅读 · 0 评论 -
snort规则--flow分析
1.1 flow: 这个选项要和TCP流重建联合使用。它允许规则只应用到流量流的某个方向上。这将允许规则只应用到客户端或者服务器端。这将能把内网客户端流览web页面的数据包和内网服务器所发送的数据包区分开来。这个确定的关键字能够代替标志:A+ 这个标志在显示已建立的TCP连接时都将被使用。原创 2014-07-30 09:03:30 · 5085 阅读 · 3 评论 -
<suricata编译安装>
原文:http://blog.csdn.net/wsk004321/article/details/25594265想到研究suricata只读源码估计还不凑效,需要了解下真实环境下怎么应用,这样理解起来估计会更有感觉,于是在自己本地虚拟机中安装编译一下:1、虚拟机操作系统Linux centos5.02、下载suricata源码 http://ww转载 2014-07-11 10:28:32 · 1493 阅读 · 0 评论 -
入侵检测系统--snort知识
1. IPS简介入侵指的是破坏目标系统资源的完整性 、 机密性或可用性的一系列活动 。 I D S 所检测的入侵不包括物理入侵 , 而仅包括以电子方式从系统内部或者外部发起的 , 尝试或者实施对系统资源的非授权访问 、 操纵或破坏的行为 。 其工作原理基本基于一个假设 , 即入侵者的行为与正常用户的行为不同 , 而且这种不同会通过某种可观察的方式表现出来 , 这种不原创 2014-07-23 18:11:22 · 1700 阅读 · 0 评论 -
入侵检测IDS--snort规则的学习
原文:http://www.xfocus.net/releases/200509/a824.html转载 2014-07-24 15:02:20 · 11815 阅读 · 1 评论 -
suricata学习--结构及代码解读
《线程、槽和模块之间的关系》suricata中tv、slot和tm的关系必须要搞清楚,汇总如下:tv:ThreadVars类型,线程。slot:TmSlot类型,槽。tm:TmModule类型,模块。下面必须要结合三者的定义,阅读代码的时候也关注下三者关系。----------------------------------------转载 2014-07-17 09:34:45 · 6753 阅读 · 0 评论 -
Surciata源码分析之IpsNFQ模式(1)
1. IpsNFQ三种模式图IpsNFQ模式下还有三种模式,先来看看这三种模式的分析图。a) Auto模式b) AutoFP模式c) Worker模式对上图中的一些值说明一下。Queue数量是指NFQ的Queue数量;CPU数是指CPU的核心数;ratio是一个比率值,在suricata.yaml配置文件中设定,一般设转载 2014-07-15 17:02:06 · 1122 阅读 · 0 评论 -
入侵检测ids--dos学习
1.Echo服务是一种非常有用的用于调试和检测的工具。这个协议的作用也十分简单,接收到什么原封发回就是了。 基于TCP协议的Echo服务有一种Echo服务被定义为在TCP协议上的面向连接的应用。服务器就在TCP端口7检测有无消息,如果有发送来的消息直接返回就是了。转载 2014-07-24 16:34:50 · 1678 阅读 · 0 评论