suricata匹配从入门到精通(三)----开始编写简单的snort规则_suricata源码规则匹配

于 2024-05-13 03:54:07 发布
阅读量613 收藏 14
点赞数 13
分类专栏: 程序员 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84971783/article/details/138778292
版权

如果想匹配GET请求,改成:

http.method; content:"GET";

如果想匹配请求头中的字段,例如UserAgent,含有hacktool:

http.user_agent; content:"hacktool";

如果想匹配请求体含有 helloworld:

http.request_body; content:"helloworld";

如果想匹配URL,含有/usdt:

http.uri; content:"/usdt";

合起来就是一条规则,最后补上msg字段,以及sid(规则号)字段:

alert http any any -> any any (msg:“web-attack.new_test”; flow:established,to_server; http.method; content:“POST”; http.user_agent; content:“hacktool”; http.request_body; content:“helloworld”; http.uri; content:“/usdt”; sid:100000001;)

至于 classtype 字段,表示规则分类,是可选字段。

这条规则可以放到suricata 规则里面跑,如果流量中匹配特征,就可以产生告警。怎么样,你学会了吗?

0x01 工具化探索

上面的步骤相对简单,可以适配简单的匹配情况,我把这个过程工具化,并向我的团队推广,这样可以减少规则编写过程中的出错,它编写出来的东西语法很规范,也可以节约很多时间成本,将更多时间放在威胁分析及攻防上面。

效果演示

我这个工具可以适配匹配多个请求头里的关键字以及匹配请求体里面多处特征的需求。

就像中学时的"完形填空"一样,点击“生成”按钮,复制完生成的规则改一下规则号即可。

如果想匹配多处请求头内容,例如同时匹配请求头中同时含有 Cookie:qwerasdf ,请求体中同时含有 white hat leeezp :

好了,今天的分享就到这里,欢迎关注专栏,会持续更新,如有疑问请在评论区留言。

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

//bbs.csdn.net/topics/618653875)

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84971783
关注
  • 13
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
suricata匹配从入门到精通()----开始编写简单snort规则
leeezp的博客
08-31 32万+
suricata 兼容 snort规则的大部分语法。今天我来教大家编写一条检测请求的规则。基于suricata 6.0.x 版本。 欢迎关注专栏,会持续更新...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新Suricata规则,并将其保存在管理良好的数据库中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分...
03-构建xss漏洞环境(1)
最新发布
2401_84968222的博客
05-11 405
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
tcpreplay 回放报文
guoguangwu的专栏
04-10 1927
sudo tcpreplay --loop=0 --mbps=10.0 --intf1=enp4s0 Downloads/test.pcap 表示 以10M/s的速度无限循环回放此报文。 --loop=0 :无限回放 --intf1=enp4s0 : 使用哪个网卡 ...
【2024版】最新6款漏洞扫描工具来了!(附下载)看完这一篇就够了
bdfcfff77fa的博客
04-09 1011
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,它的官方网站是:https://www.acunetix.com,我刚才看了一眼没有找到试用版下载链接,之前是有的,可以免费试用14天,当然你也可以去网上搜索破解版进行下载安装,有经济实力的朋友可以考虑购买正版软件,下图就是AWVS的主界面,里边还保存着我扫描过的两个站点,发现了4个高危漏洞,4个中危漏洞和20个低危漏洞。
tcpreplay的使用方法
新雪兰
12-17 1万+
Tcpreplay 是一系列工具的总称,包括 Tcpreplay ,Tcprewrite 和Tcpprep ,是用来在Unix 或linux 系统上重放数据包的软件。实现数据报文回放分为步: 用Tcpprep 对报文的通信流量的两方(服务器/ 客户端)进行分离 Tcpprep 的作用是划分客户端和服务器,区分PCAP 数据包的流向,即划分哪些包是客户端的,哪些包是服务器的。在回放包...
2024年全国职业技能大赛“网络安全赛项”国赛 模块B 任务解析(超详细)_2024年全国职业院校技能大赛高职组“网络空间安全(1)
2401_84247559的博客
04-26 444
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。,毕竟实战是检验真理的唯一标准嘛~最后就是项目实战,这里带来的是。
suricata-update:更新您的Suricata规则的工具
04-30
Suricata更新 用于更新您的Suricata规则的工具。 安装 点安装--upgrade suricata-update ... 从/ etc / suricata / rules中读取Suricata发行版随附的规则文件。 应用禁用,启用,删除和修改过滤器。 解
pfsense-suricata-elk-docker:使用docker-compose将pfSense和Suricata绑定到ELK
05-08
使用docker-compose将pfSense与Suricata绑定到ELK(Elasticsearch,logstash和kibana) 已针对Windows使用docker在Elasticsearch 6.3.0和pfSense 2.4.3-RELEASE-p1上进行了测试 这里的想法是使用由发布的普通...
DPDK_SURICATA-4_1_1:用于软件加速的dpdk基础结构。 目前正在研究RX和ACL预过滤器
05-06
从3.0移植ACL-保留creating patch request for dev branch of Suricata 6.0 动机 创建简单的DPDK RX-TX,以允许数据包进入SURICATA处理流水线模式。 要做的事 将数据包缓冲区展平为完全零复制模式。 使用零拷贝...
suricata-verify:Suricata验证测试-测试Suricata输出
03-30
Suricata验证测试这些测试使用特定的配置和/或输入运行Suricata,并验证输出。运行所有测试在您的Suricata源目录中运行: ../path/to/suricata-verify/run.py或运行一个测试: ../path/to/suricata-tests/run.py ...
6款漏扫工具来了!(附下载)
小司机的奥拓
12-19 874
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,它的官方网站是:https://www.acunetix.com,我刚才看了一眼没有找到试用版下载链接,之前是有的,可以免费试用14天,当然你也可以去网上搜索破解版进行下载安装,有经济实力的朋友可以考虑购买正版软件,下图就是AWVS的主界面,里边还保存着我扫描过的两个站点,发现了4个高危漏洞,4个中危漏洞和20个低危漏洞。
Jmeter接口数据回放测试
lichao330530的博客
07-06 2582
1.引言  1.1背景 在日常的API接口测试过程中,由于每次发布需要回归存量接口,而在存量接口越来越多的情况下,接口回归测试工作量越来越大,特别是在回归测试、预发布测试、灰度发布测试过程中,重复性工作越来越多。 在API接口功能测试过程中,经常遇到各种参数测试,在按照接口文档进行入参测试时,往往实际用户在使用时,并未按照接口文档来进行传参。 为了解决以上痛点,希望通过回放
suricata学习
wsk004321的专栏
05-12 1万+
suricata简介》
tcpreplay 一种非主流回放数据包打流量测试的方法
热门推荐
leeezp的博客
07-29 36万+
一种新的回放pcap包改pcap包方法。
Linux 下Tcpreplay 回放、tcprewrite改包、Tcpdump抓包 使用记录
Reality
06-21 4034
tcreplay回放、tcprewrite修改报文、tcpdump抓包使用记录
通过边界代理一路打到层内网+后渗透通用手法
渗透测试研究中心
11-02 7300
外网进内网通常就是通过web漏洞拿取shell内网的很大一部分信息收集是围绕网络拓扑图展开的。可以社工运维或者google找一下。内网扩散信息收集概述内网信息收集内网网端信息:对内网进行拓扑、分区内网大小内网核心业务信息oa系统、邮件服务器、监控系统....其他Windows、linux主机信息收集内网信息收集做的越好,打的越快常用方法主动扫描。常用工具: nmap,netdiscover,nc...
Suricata的官方规则库emerging-all.rules包含哪些方面的攻击规则
05-25
Suricata的官方规则库emerging-all.rules包含了各种类型的攻击规则,如: - 基于网络的攻击规则:这些规则旨在检测网络层、传输层和应用层协议中的各种攻击,如DDoS攻击、SYN Flood攻击、DNS欺骗攻击等。 - 恶意软件攻击规则:这些规则旨在检测各种类型的恶意软件,如病毒、木马、间谍软件等。 - Web应用程序攻击规则:这些规则旨在检测针对Web应用程序的各种攻击,如SQL注入、XSS攻击、文件包含攻击等。 - 无线网络攻击规则:这些规则旨在检测无线网络中的各种攻击,如WEP/WPA加密攻击、无线中间人攻击等。 - VoIP攻击规则:这些规则旨在检测VoIP网络中的各种攻击,如SIP扫描、SIP INVITE泛洪攻击等。 总的来说,emerging-all.rules中包含了各种类型的攻击规则,可以有效地保护网络安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值