国科大网络协议安全大作业——分析流量并使用Snort规则进行检测_snort检测pcap中的恶意流量(1)

最新推荐文章于 2024-06-30 22:54:19 发布
最新推荐文章于 2024-06-30 22:54:19 发布
阅读量551 收藏 19
点赞数 20
分类专栏: 程序员 文章标签: 网络安全 学习 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84281601/article/details/138809711
版权

一、网安学习成长路线图

网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2.2.1在终端执行 file命令查看文件类型

file malware.pcap

2.2.2计算该文件的SHA256
shasum -a 256 malware.pcap

得到哈希值为68bdbde81313644728076c1f1dd4c3106d08a3bb428269d3866ee29520f2fb62

额外知识:在windows里使用SHA256计算哈希值

 CertUtil -hashfile "I:\virtual_machine_linux\virtual_machine\ubuntu_polyos\Ubantu_polyos-disk1.vmdk" SHA256

把文件拖到"" 内会自动出现路径

2.3 用wireshark打开.pcap文件

2.3.1 什么是.pcap文件

全称叫做packet capture,即抓到的包,被导出来,形成文件,文件就是.pcap格式,哈哈哈不是那种导出来。

2.3.2 在linux中打开.pcap文件

直接进入文件夹,找到目标文件,然后选择用wireshark打开

2.2

在导出http报文之前,先停止抓包

三、 安装snort

使用以下代码安装snort

sudo apt-get update
sudo apt-get install -y snort

出现这个界面,是选择监听的网络块,保持默认,使用方向键,然后点击OK

使用以下代码查看snort是否安装成功

snort -V

可以看到snort安装成功

四、 重点关注malware.pcap中的HTTP流量

参考以下链接学习如何导出可疑流量,然后放入检查网站检测是否是病毒

Wireshark Tutorial: Exporting Objects from a Pcap

4.1 筛选出http的请求流量

4.2 导出http的请求流量

4.3 选择全部导出

4.4 选择保存位置

4.5 通过VirusTotal鉴别文件是否是病毒

网站:VirusTotal

可以看到众多病毒检测网站都认为这个文件是一个病毒文件

4.6 回过头来再分析

这个时候我们看到,看似他是一个.pdf,实则是一个可执行文件

它的SHA256值:f25a780095730701efac67e9d5b84bc289afea56d96d8aff8a44af69ae606404

五、使用Snort来筛选病毒

5.1 将规则保存为一个文本文件,例如example.rules,并放在snort的规则目录中,例如/etc/snort/rules/

5.2 在snort的配置文件中,例如/etc/snort/snort.conf,添加一行来引用规则文件,例如include $RULE_PATH/example.rules

5.3 重启snort服务或重新加载snort配置,以使规则生效。

sudo systemctl restart snort
sudo snort -c /etc/snort/snort.conf -A console # 重新加载snort配置并在控制台显示警报

5.4 设置配置文件和监听网卡

sudo /usr/sbin/snort -d -l /var/log/snort/ -c /etc/snort/snort.conf -i ens33

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84281601
关注
专栏目录
国科大网络协议安全大作业——分析流量使用Snort规则进行检测_snort检测pcap恶意流量
2301_82257383的博客
05-02 721
全称叫做packet capture,即抓到的包,被导出来,形成文件,文件就是.pcap格式,哈哈哈不是那种导出来。
国科大网络协议安全大作业——分析流量使用Snort规则进行检测_snort检测pcap恶意流量(2)
2401_84248681的博客
04-29 655
全称叫做packet capture,即抓到的包,被导出来,形成文件,文件就是.pcap格式,哈哈哈不是那种导出来。
网络信息安全大作业
04-24
网络信息安全大作业,蛙跳攻击,snort软件分析各协议分析
国科大网络协议安全大作业——分析流量使用Snort规则进行检测
weixin_44357071的博客
12-16 2497
SHA256(Secure Hash Algorithm 256-bit)是一种密码学哈希函数,用于计算数据的哈希值。每个文件使用一个哈希算法只会有一个确定的哈希值。
[转]如何编写snort检测规则
heiyeluren的blog(黑夜路人的开源世界)
12-16 5021
如何编写snort检测规则from:  http://kunming.cyberpolice.cn/aqjs/200010.html              摘要snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时
网络安全技术大作业
最新发布
m0_74089260的博客
06-30 1061
网络安全技术大作业
Snort分析报告
LBY8203XJ的专栏
07-08 3710
1.--snort的简介 snort 是一个基于libpcap的数据包嗅探器并可以作为一个轻量级的网络入侵检测系统( NIDS)。所谓的轻量级是指在检测时尽可能低地影响网络的正常操作,一个优秀的轻量级的NIDS应该具备跨系统平台操作,对系统影响最小等特征并且管理员能够在短时间内
开源入侵检测系统—Snort的配置与检测规则编写
negnegil的博客
10-18 7326
IDS(入侵检测系统)模式配置 1、创建snort用户和组,其snort为非特权用户 groupadd snort useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort 2、配置目录 IDS 模式运行时会创建一些目录,其配置文件储存在 /etc/snort 规则储存在 /etc/snort/rules,编译规则储存在 /usr/local/lib/snort_dynamicrules ,日志粗存在 /var/log/snort #创
snort源码分析
qq_43445553的博客
02-24 3712
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eS0IVwzj-1645710889444)(snort分析.assets/xiaoming.jpg)] 《入侵检测技术》课程报告 《入侵检测技术》 snort分析 ​ 课程名称 入侵检测技术 ​ .
超详细 snort源码分析
04-27
在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System)
snort源码
05-07
比较新的网络嗅探器snort的源码
snort源代码
05-20
snort源代码, 最近做相关项目,正在研究,大家也可去官网下载
snort抓包命令
02-14
snort常用抓包命令,如log文件存放位置,抓包的格式等等
snort提高抓包效率和方法(青)
08-27
本资源在许多上面需要用钱,这里不用,呵呵,好东西,大家一起分享.
snort 源码分析规则结构分析(一)
guoguangwu的专栏
03-10 3394
snort比较复杂的结构很多,今天和大家分享一下snort规则设计的数据结构:规则头和规则选项 先从一条规则实例开始分析: alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"MALWARE-CNC GzWaaa outbound data connection"; flow:to_server,established...
Kali 下安装snort并且配置规则(保姆级教学)
weixin_67066346的博客
04-20 4740
你还在为安装snort报错而烦恼么?这篇文章将解决你的问题!!!下面便进入正题吧,以下是snort的安装第一步:首先是先安装好以下几个包:如果报错了,就用aptitude install + 包名 这条指令(记得先Apt-get isnatll aptitude)接着先去snort官网下载daq接下来在安装snort前,我们先安装LuaJIT库安装好后,我们便可以下载安装snort了,老样子,和装daq一样的,右键复制snort的链接网址,然后下载。
实验 snort安装配置与规则编写
weixin_30411239的博客
05-18 1790
实验snort安装配置与NIDS规则编写 1 实验目的 在linux或windows任意一个平台下完成snort的安装,使snort工作在NIDS模式下,并编写符合相关情景要求的snort规则。 2 实验环境 物理机:windows 8.1 虚拟机:ubuntu 12.04 和 windows xp sp3 软件:winpcap 4.0.2 、 snort 2.9....
入侵检测:IDS-snort的安装配置及pcap规则编写思路
KEY0NE的个人博客
03-29 1753
介绍windows环境下的snort安装和配置,主要是为了下面写snort规则和验证规则做铺垫下载安装官网下载:https://www.snort.org/直接默认安装进入安装目录:C:\Snort配置文件编辑C:\Snort\etc\snort.conf 修改成如下图# Path to your rules files (this can be a relati...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值