Suricata规则编写——数据包头部关键字

最新推荐文章于 2024-03-26 10:15:20 发布
最新推荐文章于 2024-03-26 10:15:20 发布
阅读量4.2k 收藏 9
点赞数
分类专栏: 流量检测 文章标签: 流量检测 suricata snort规则
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyangbotianshi/article/details/44804529
版权
本文详细介绍了Suricata如何利用IP(ttl, ipopts, sameip, ip_proto, id, fragbits, fragoffset, Geoip)、TCP(seq, ack, window)和ICMP(itype, icode, icmp_id, icmp_seq)协议关键字进行流量检测。通过这些关键字,可以检测和分析网络中不同协议数据包的头部信息,以实现更精确的流量管理和安全防护。" 125909732,14830920,Android实现底部导航栏与Fragment页面切换,"['Android开发', 'Java', 'UI设计', '导航', '适配器']
摘要由CSDN通过智能技术生成

1.简介

本文介绍suricata支持的IP、TCP、ICMP三种协议的数据包头关键字,http协议由于比较常用,关键字也比较多所以后面单独介绍,而其他应用层协议暂无特定的关键字。

2.IP协议关键字

首先需要对IP协议有一定的了解,网际协议-维基百科RFC 791IPv4-维基百科

IPv4协议的格式如下:

这里写图片描述

     0                   1                   2                   3   
     0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |Version|  IHL  |Type of Service|          Total Length         |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |         Identification        |Flags|      Fragment Offset    |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |  Time to Live |    Protocol   |         Header Checksum       |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                       Source Address                          |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                    Destination Address                        |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                    Options                    |    Padding    |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

                    Example Internet Datagram Header

2.1 ttl

ttl关键字用于检测IP数据包头部的TTL(time to live)字段,表示这个数据包能在网络中的最大生存时间,每经过一个路由器便会减1,当这个数值变为0时数据包便会被丢弃,ttl字段是防止数据包在不可达的情况下一直占用网络资源。ttl关键字的格式为:

ttl:number;

2.2 ipopts

ipopts关键字检查的是IP数据包中可选字段中设置的选项,格式如下,每条规则只

最低0.47元/天 解锁文章
Traxer
关注
专栏目录
Suricata规则编写——常用关键字
Traxer的学习之路
03-31 1万+
1.简介现在的NIDS领域snort一枝独秀,而suricata是完全兼容snort规则的多线程IDS,无论在效率还是性能上都超过原有的snort,这个系列主要针对suricata规则中的一些关键字进行了解和学习,参考链接为:https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules2.基本关键字
Suricata详解
IAMZTDSF的博客
06-15 1万+
Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。是一款开源、快速、高度稳定的网络入侵检测系统Suricata引擎能够实时入侵检测,内联入侵防御和网络安全监控。Suricata由几个模块组成,如捕捉、采集、解码、检测和输出。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elast
suricata规则编写-检测SYN-Flood攻击
whime
05-22 3455
步骤 Kali虚拟机使用hping3发起SYN泛洪攻击,伪造随机地址。 利用flags标志和threshold关键字编写规则 测试 hping3发起SYN泛洪攻击 利用Kali工具hping3 发起SYN半连接泛洪攻击 编写规则 suricata兼容snort规则 ,使用flags标志配合threshold编写规则,flags:S表示匹配SYN标志位为1的tcp包,根据dst进行跟踪,在30...
suricate签名规则
Fogo_XD的博客
06-24 890
suricata防火墙学习
Suricata规则编写——HTTP关键字
Traxer的学习之路
04-03 8481
1.简介之前的常用关键字中介绍了content以及许多修饰它的关键字,除此之外,http协议中还有一些修饰content的关键字,也是由于http协议使用量较大,关键字较多,因此单独拿出来学习。参考:HTTP协议-维基百科。2.Request和Responsehttp协议包括了http request和http response数据包。通常,由HTTP客户端发起一个request请求,创建一个到服务
suricata规则编写-检测ssh爆破攻击
whime
05-22 3675
步骤: 1. 使用hydra攻击ssh服务器,利用tcpdump 抓包。 2. 编写suricata规则 3. 重放pcap包测试效果。 利用hydra和 tcpdump获取攻击流量包 在
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新Suricata规则,并将其保存在管理良好的数据库中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分...
网络入侵检测系统之Suricata(七)--DDOS流量检测模型
hhd1988的专栏
08-19 3062
Suricata支持DDOS流量检测模型 What 分布式拒绝服务(Distributed Denial of Service,简称DDoS)将多台计算机联合起来作为攻击平台,通过远程连接利用恶意程序,对一个或多个目标发起DDoS攻击,消耗目标服务器性能或网络带宽,从而造成服务器无法正常地提供服务。 How 通常,攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上,并在网络上的多台计算机上安装代理程序。在所设定的时间内,主控程序与大量代理程序进行通讯,代理程序收到指令时对目标发动攻击,主
Suricata用户手册 V4.0.0
08-28
欢迎大家下载阅读,提出宝贵意见:resehist@gmail.com
Suricata常用规则和入侵检测案例。
qq_39330735的博客
03-30 4705
1、Suricata是来来源于经典的NIDS系统,是一套基于网络流量的危险检测引擎,整合了IDS(Instrusion detection)、IPS(Instrusion Prevention)、NSM(Network Security Monitoring)和PCAP等功能2、IDS功能通过监听网卡流量并匹配规则引擎进行入侵实时检测和预警,检测手段和wazuh比较类似3、、IPS功能。
suricata
最新发布
ice_rib的博客
03-26 975
action决定当规则匹配的时候的行为。
suricata 开源工具学习-规则 关键字开发应用
qq_41167620的博客
01-22 1005
查看默认规则位置,打开suricata.yaml文件,找到rules部分,追加test.rules。这个规则的含义,数据包中存在连续ascll值http内容,且tcp首尾值10进制为104,110。suricata提供了组件式的开发方式,在SigTableSetup注册所有规则关键字。从上得出结论,每个检测关键字提供了三个检测功能,分别为数据包匹配,协议流匹配,和文件匹配。这个匹配接口实现,数据包负载部分首尾值匹配,匹配条件取决于规则中给出的首尾10进制内容。版本中使用,因为他是裁剪的所以我还是用主干。
网络层协议和IP数据包的格式(详解)
weixin_48271370的博客
07-12 2250
网络层协议和IP数据包的格式(详解)
suricata如何进行性能分析
村中少年的专栏
10-24 2947
介绍一下suricata中提供的一些性能分析方法。
suricata的基本使用
yeshankuangrenaaaaa的博客
09-04 6109
suricata suricata安装 规则管理 Oinkmaster 依赖 apt-get install liblua5.1-dev #配置支持lua,--enable-lua apt-get install libgeoip-dev #配置支持GeoIP,--enable-geoip apt-get install cargo #配置支持Rust suricata配置相关 设置EXTER...
suricata学习
热门推荐
wsk004321的专栏
05-12 1万+
suricata简介》
Suricata默认规则集相关
weixin_30338481的博客
03-29 1149
Suricata规则Suricata基于规则检测和控制数据流量,所有规则的配置文件保存在rules目录内 1、这些是已知和确认的活动僵尸网络和其C&C(command and control)服务器。由一些组织生成,每日更新 botcc.portgrouped.rules botcc.rules 2、封锁被ciArmy.com标记出来的Top Attacke...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值