【suricata对HTTP/S实时日志跟踪】

最新推荐文章于 2024-06-13 09:01:52 发布
最新推荐文章于 2024-06-13 09:01:52 发布
阅读量321 收藏 6
点赞数 4
分类专栏: web网络安全 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76261573/article/details/139080332
版权

【web网络安全】网络安全基础阶段六(实战篇)

suricata对HTTP/S实时日志跟踪

文章目录

前言

提示:这里可以添加本文要记录的大概内容:

这章是对上一章的拓展,对上一章做出了suricate基于HTTP和HTTPS协议的安全防守的策略和实时的日志跟踪,由于和上一章基本差不都,我就不多赘述了。

提示:以下是本篇文章正文内容,下面案例可供参考

一、制作基于CS的HTTPS有效载荷

1.制作HTTPS的监听机

在这里插入图片描述这里可以看到已经制作了8888端口的HTTPS协议的有效监听。

2.制作HTTPS的有效载荷。
在这里插入图片描述

二、 https 类型后门的强特征

1.对比clienthello 和 serverhello 的 JA3 值

在这里插入图片描述[JA3: 652358a663590cfc624787f06b82d9ae]
在这里插入图片描述[JA3S: 2253c82f03b621c5144709b393fde2c9]

小白:为什么我找不到HTTPS的数据包啊?不是发送了吗?
小坤:你先啊,HTTPS和HTTP之前就加了一个S,说明HTTPS协议是加密的,不让你看见的,加了一层SSL保护层,平常我们的网页大部分都是HTTPS的

一共还是有下面四个结果:
chello
652358a663590cfc624787f06b82d9ae
4d93395b1c1b9ad28122fb4d09f28c5e

shello
15af977ce25de452b96affa2addb1036
2253c82f03b621c5144709b393fde2c9

三、反制规则-CS-Suricata规则-编写&检测

输入命令:suricata -c/etc/suricata/suricata.yaml -s /etc/suricata/rules/cobaltstrike.rules -i eth0

在这里插入图片描述这里可以看到完成了suricate的实时监控。

总结

以上就是今天要讲的内容,本文完成了suricate基于HTTP和HTTPS协议的安全防守的策略和实时的日志跟踪
小编制作不易,你的点赞和关注就是给小编的最大支持

我要疯掉了
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
suricata匹配从入门到精通(一)----suricata安装配置及使用
leeezp的博客
08-15 34万+
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。 Suricata安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。 在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata的环境配置、详细安装过程和使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...
suricata的安装与使用
qq_43671947的博客
08-13 5782
记第一次使用suricata 1.安装 网上有许多安装方法,我试过用ubuntu21版安装,但失败了,好像用ubuntu18.04版安装会好一点,但我这里直接使用kali安装的(kali永远的神,我这用的2021最新版,kali越更新越好用),直接apt-get install suricata就安装好了,很快,感绝就像假的一样,但就是能用,之后就是安装签名(就是规则rules文件)就可以了,命令是suricata-update, 注意这是官方更新的rule规则,更新的配置文件存放在/var/lib/sur
Suricata + Wireshark离线流量日志分析
10-06
Suricata + Wireshark离线流量日志分析
Suricata规则编写——HTTP关键字
Traxer的学习之路
04-03 8408
1.简介之前的常用关键字中介绍了content以及许多修饰它的关键字,除此之外,http协议中还有一些修饰content的关键字,也是由于http协议使用量较大,关键字较多,因此单独拿出来学习。参考:HTTP协议-维基百科。2.Request和Responsehttp协议包括了http request和http response数据包。通常,由HTTP客户端发起一个request请求,创建一个到服务
suricata HTTP关键字
weixin_30384217的博客
04-11 756
http request http request请求包括请求行、请求头、空行和内容。一个普通的request请求如下: http response http response应答包括应答行,头部,空行和内容,整体结构和request差不多,下图是针对上节request的应答包 HTTP关键字 之前的常用关键字中介绍了content以及许多修饰它的关键字,除此之外,http协议...
Suricata详解
IAMZTDSF的博客
06-15 1万+
Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。是一款开源、快速、高度稳定的网络入侵检测系统Suricata引擎能够实时入侵检测,内联入侵防御和网络安全监控。Suricata由几个模块组成,如捕捉、采集、解码、检测和输出。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elast
suricata学习
热门推荐
wsk004321的专栏
05-12 1万+
suricata简介》
Suricata(Ubuntu)的安装以及使用过程(超详细)
stillaway的博客
12-30 2021
Suricata(Ubuntu)的安装以及使用过程
Bro与Snort或Suricata对比
sj_djw的博客
08-21 5110
Snort是最初于1998年开发的开源入侵检测系统(IDS)/入侵防护系统(IPS) Snort标志性格式的规则是整个威胁情报业的事实标准,它借用当时几款流行的开源工具(这些工具用于给网络流量指定唯一的特征,当特征满足时,则产生告警。在IPS模式下,如果希望,也可以丢弃或者阻止通信),提供了一种简单的规则定义语言。作为最早的全功能开源IDS平台,它在安全社区非常普及。普及性促使Snort成熟,但...
SELKS, 基于Suricata的ids/ips发行版.zip
09-18
SELKS, 基于Suricata的ids/ips发行版 SELKS 介绍SELKS是一个免费开源的基于 linux ( with x 窗口管理器)的ids/ips平台,它从Stamus网络( https://www.stamus-networks.com/ ) 中发布。SELKS ISO
docker-suricata:Suricata Docker映像
05-07
Suricata Docker映像用法您很可能希望在主机上的网络接口上运行Suricata,而不是在容器内通常提供的网络接口上运行: docker run --rm -it --...i 它将日志目录(在当前目
docker-suricata:使用Docker在容器内的Suricata
05-24
码头工人苏里卡塔(Docker SuricataSuricata是一个开源IDS,IPS和NSM引擎。 有关更多信息,请访问其或查阅官方以获取技术信息。 对于高山用户:使用Docker和Docker Compose运行Suricata的4.0.4版本。 这是...
snort v.s. suricata规则对比
10-25
入侵检测snort、suricata 规则语法对比,枚举出支持的keyword
suricata的netmap抓包模式安装
08-15 917
suricata 简介Suricata 是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata 引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(...
网络安全管理组织架构复习
LongL_GuYu的博客
06-12 314
网络安全管理组织架构复习
网络安全练气篇——OWASP TOP 10
weixin_55762309的博客
06-13 502
OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。最重要的版本应用程序中最严重的十大风险。
网络安全 - ARP 欺骗原理+实验
最新发布
z339521的博客
06-13 997
APRAPR(Address Resolution Protocol)即地址解析协议,负责将某个 IP 地址解析成对应的 MAC 地址。在网络通信过程中会使用到这两种地址,逻辑 IP 地址和物理 MAC 地址,一般情况下,正常通信需要这两种地址协同工作。一个主机要和另一个主机进行直接通信,必须要知道目标主机的 MAC 地址。但这个目标 MAC 地址是如何获得的呢?就是需要通过 ARP 协议获得的。
【网络安全的神秘世界】web应用程序安全与风险
weixin_54750312的博客
06-05 1346
web攻击的本质,就是通过http协议篡改应用程序(永远不要相信用户的输入)可利用点:请求方法、请求头、请求体利用过程:认证、会话、授权弱口令强口令账号枚举认证不满足强口令条件密码长度至少8位包含大小写字母、数字、特殊字符中的至少3类密码和用户名无相关性尝试大量可能的账号名称,以找出系统中存在的有效账号为了密码爆破做准备,节省攻击时间判断下面属于什么口令:admin@123#1 --弱口令,与用户名相关。
CMake Error at data-plane/suricata-3.0/nanomsg/src/CMakeLists.txt:347 (add_library): add_library cannot create target "nanomsg" because another target with the same name already exists. The existing target is a shared library created in source directory "/home/wzw/gy_tsource_zw/data-plane/suricata-3.0/src". See documentation for policy CMP0002 for more details.
06-08
这个错误提示说明在你的项目中已经有一个叫做"nanomsg"的目标存在了,而你又在data-plane/suricata-3.0/nanomsg/src/CMakeLists.txt文件中尝试创建一个同名的目标。因此,CMake无法创建这个目标并报错了。 为了解决这个问题,你可以采取以下两种方法: 1. 修改data-plane/suricata-3.0/nanomsg/src/CMakeLists.txt文件中的目标名称,使用一个不同的名称,如"nanomsg_lib",这样就不会与已有的目标冲突了。 2. 如果你想使用已有的"nanomsg"目标,可以在data-plane/suricata-3.0/nanomsg/src/CMakeLists.txt文件中使用add_library命令的IMPORTED选项,将已有的"nanomsg"目标导入到当前项目中,如下所示: ``` add_library(nanomsg IMPORTED) set_target_properties(nanomsg PROPERTIES IMPORTED_LOCATION /path/to/nanomsg/libnanomsg.so) ``` 这里假设你已经知道了已有的"nanomsg"目标的安装路径,并将其设置为IMPORTED_LOCATION属性的值。这样,CMake就会将已有的"nanomsg"目标导入到当前项目中,并且不会再创建一个同名的目标了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我要疯掉了

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值