Snort预处理插件HelloWorld程序开发

最新推荐文章于 2024-07-23 20:54:08 发布
最新推荐文章于 2024-07-23 20:54:08 发布
阅读量1.6k 收藏 5
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IMBA_09/article/details/95357868
版权
本文档详细介绍了Snort预处理插件的开发步骤,包括修改spp_template.c和.h文件,注册SetupHello函数,调整Makefile及snort.conf配置。通过实例展示了如何创建一个简单的打印语句的预处理器,并提到了DPX作为动态预处理器的起点。在开发过程中可能遇到的问题,如预处理器主函数不工作,需要启用session_api->enable_preproc_all_ports。同时,提供了Snort预处理器的相关学习资源和下载链接。
摘要由CSDN通过智能技术生成

文章结构

  • 1,预处理插件开发注意
  • 2,开发步骤
  • 3,DPX介绍
  • 4,附录:代码
  • 5,参考文献

预处理器开发注意

Preprocessors perform some function once for each packet. This is different from detection plugins, which are accessed depending on the standard rules. When adding a plugin to the system, be sure to add the “Setup” function to the InitPreprocessors() function call in plugbase.c!

注意:本文的Snort版本是2.9.13。

预处理器对每一个数据包只执行一次,它不同于检测插件(检测插件的获取依赖于基本规则 rules).当我们给Snort添加预处理插件的时候,请务必将"Setup"函数添加到plugbase.c源文件中的**InitPreprocessors()**函数中去。

注意:上面是Snort源文件中spp_template.c (预处理器模板)中的注释,这个注释的版本没有及时更新,原文中的InitPreprocessors( ) 函数已经被替换成了 RegistPreprocessors( )

开发步骤

编写过程简述:
  1. 根据spp_template.c里面的内容修改spp_template.cspp_template.h
    (1) 将这两个文件名称修改为spp_hello.cspp_hello.h
  2. 修改spp_hello.c函数
    (1) SetupHello
    (2) HelloFunction
  3. 修改spp_hello.h函数
    (1) 声明SetupHello
  4. 修改plugbase.c函数
    (1) #include preprocessors/spp_hello.h
    (2) RegistProcesser函数中调用SetupHello
  5. 修改preprocids.h
    (1) #define PP_MAX 38
    (2) #define PP_HELLO 37
    对新增的解码类型自己定义的标志
  6. 修改Makefile.am,并在根目录运行automake命令
  7. make, make install 直接覆盖已安装的snort
  8. 修改/etc/snort/snort.conf
  9. 测试:snort -dev -c /etc/snort/snort.conf

过程中出现的问题:
1- aumake版本的确定
a) 查看源代码目录下的文件Makefile
Makefile.in generated by automake 1.16.1 from Makefile.am
b) 版本为automake1.16.1

2- 预处理插件被加载而且初始化完成,但是预处理插件主函数不工作
a) 原因是新版本的Snort新增加了session_api->enable_preproc_all_ports
加入这一行代码后,预处理器运行正常

3-安装完之后需要配置Snort
每个预处理器都在snort.conf中进行单独配置,如果不配置就不能使用

preprocessor Hello

4-关于Snort的安装
请参考Snort官网给出的学习文档(很好用哦)或者网上的一些参考资料
( p.s.这里就是懒一下,或许我以后会补上来)

5-关于spp_template文件的一些说明

详情请参考spp_template.c中的注释。

由于这里只是实现了比较简单地在控制台打印语句的HelloWolrd程序,所以像参数鸡西函数ParseTemplateArgs等等就没有使用。
改名:

原名 新名 修改
spp_tempalte.h spp_hello.h 添加SetupHello函数的声明
spp_tempalte.c spp_hello.c
TemplateInit HelloInit 添加初始化操作,通过调用AddFuncToPreprocList 将PreprocHello、PreprocCleanExitHello、PreprocRestartHello注册给系统
SetupTemplate SetupHello 调用RegisterPreprocessor 将此插件的初始化函数HelloInit注册给系统
ParseTemplateArgs xxxx 添加对参数的处理操作
PreprocFunciton HelloFunction 加入预处理逻辑代码
PreproCleanExitFunction xxxx 添加插件退出时的清理操作
PreproRestartFunction xxxx 添加插件重启时的操作。(不常用,空操作)
最低0.47元/天 解锁文章
turato
关注
Snort-2.9.13-插件开发步骤.docx
07-08
Snort-2.9.13的预处理插件开发步骤以及遇到的问题,自己学习snort的时候写的。是预处理插件开发HelloWorld程序。
Snort-ModSec-PreProc:Snort预处理程序以解析ModSecurity Core RuleSet
05-23
Snort预处理程序以解析ModSecurity Core RuleSet 概念验证项目开始将ModSecurity转换为嗅探器模式,并具有Snort内联功能,可在数据包与攻击特征匹配后丢弃数据包。 因此,有效负载不应能够到达目标并到达第5层及更...
网络安全——基于Snort的入侵检测实验
网络工程
12-12 5770
其中,"/etc/snort/rules"是用于存放规则文件的路径,Snort就是根据诸多的规则文件给用户提供预警和提示的。③ 清除规则:执行"sudo vi /etc/snort/snort.conf"命令,把除了local.rules之外的规则全部注释掉(把local.rules之后的include语句注释掉;3、在配置检测规则中,可根据用户所需,根据实际的情况进行规则的设置,本实验设置的是ICMP、HTTP数据包;1、入侵检测的检测引擎就是通过对规则选项的分析构成了Snort 检测引擎的核心。
VPP snort插件
redwingz的博客
07-31 1091
VPP编译之前需要先安装daq库,下载libdaq-3.0.5源码,进行编译安装。之后下载vpp代码,编译之后,生成两个需要的so共享库libdaq_vpp.so和snort_plugin.so。将libdaq_vpp.so.22.02拷贝到目录/home/test目录下。
snort预处理开发实战
无名J0kзr的博客
06-02 924
文章目录参考杂重要的数据结构 _Packet 参考 Snort源码分析报告(持续更新) 《Snort 入侵检测系统源码分析–独孤九贱》 杂 在成功写出一个HelloWorld预处理器之后就可以考虑怎么去实现想要的功能了 snort预处理开发HelloWorld 这部分内容需要对源码有一定了解,所以建议结合一些源码分析的相关书籍来看 另外看源码的话我是在CLion上看的,这种工作还是有个牛逼的...
snort预处理开发HelloWorld
无名J0kзr的博客
04-15 1478
文章目录参考1. 预处理器回顾2. README.PLUGINS3. spp_template.c 参考 Snort预处理插件HelloWorld程序开发 Snort预处理器介绍(详细) 本专栏所有相关博文使用的snort版本均为 2.9.15 1. 预处理器回顾 预处理器在Snort应用规则前处理接收到的数据 预处理器对每一个数据包只执行一次 被捕获的数据包首先经过预处理器,然后经过探测引擎根...
Ubuntu上编译安装Snort-2.9.13及预处理插件开发简介
一个简单的HelloWorld插件会包括初始化、处理数据包和清理等函数。遵循Snort插件接口规范进行开发。 6. **编译和链接插件**:将新编写的预处理插件源代码与Snort主程序一起编译,确保链接时包含所有必要的库。 7. ...
Snort 2.9.8.2预处理开发文档
05-30
Snort 2.9.8.2预处理器详细开发文档 包含了如何新增报警信息说明
snort加入egd工控插件
wangzhicheng2013的专栏
03-08 255
一 加入审计回调函数 // 全局声明 typedef void (*Egd_save_action_record)(void *, void *, int); Egd_save_action_record save_action_record = NULL; // 初始化赋值 save_action_record = _dpd.icsSaveActionRecord; // 调用 (*save_action_record)(p, &savemdb, ENUM_ACTION_EGD); 1
snort输出插件解析
wangzhicheng2013的专栏
07-28 752
snort输出插件 1 1.含义: 当snort检测到相关风险,会调用输出插件输出相关信息,例如,将告警信息发送到syslog服务器或者数据库进行存储等。 2.在配置文件中定义输出插件snort.conf可指定多个输出插件,具体格式是output 插件名:可选项信息,例如: output alert_syslog:log_auth log_alert #将告警信息发送到syslog服务器 log_auth为syslog的设施 log_alert为优先事项 output log_...
网络入侵检测系统之Snort(三)
诗酒趁年华
12-09 1370
Advantages Snort插件 Snort采用了模块化设计,其主要特点就是利用插件,这样有几个好处,一是用户可以自主选择使用哪些功能,并支持热插拔;二是依据设计需求对Snort扩展,即根据template.c设计第三方插件 目前插件按功能分成三类,数据流预处理插件,检测功能插件,输出日志信息插件插件的管理统一采用链表指针的方式 跨平台性 Snort支持Linux,OpenBSD,FreeBSD,Solaris,HP-UX ,MacOS,Windows等 规则语言简单 发现新攻击后,可以很
Snort日志输出插件详解
weixin_33898233的博客
03-27 4069
Snort日志输出插件详解  Snort是一款老×××的开源***检测工具,本文主要讨论他作为日志分析时的各种插件的应用。Snort的日志一般位于:/var/log/snort/目录下。可以通过修改配置文件来设置Snort的报警形式。基于文本的格式、Libpcap格式和数据库是Snort最重要的三种报警形式。本文主要对每种报警形式及其配置进行介绍。1    工作模式及输出插件Snort拥有3种工作...
手把手带你搭建Snort入侵检测系统
最新发布
mh007的博客
07-23 1431
Snort是一款开源的网络入侵检测和预防系统(IDS/IPS),它能够实时分析网络流量,检测并响应各种网络攻击。Snort通过预定义的规则集检测异常活动和已知攻击,并生成详细的报警和日志记录。您可以根据实际需求编写自定义规则。# 编辑local.rules文件# 添加自定义规则rev:1;网络安全是一个充满挑战和机遇的领域。通过实现和应用Snort入侵检测系统,您不仅能提升自身技术能力,还能为网络安全事业贡献自己的力量。
Snort源码分析
Mjt_csdn的专栏
03-30 4601
最近要做一个基于Snort的项目,看到一篇文章很不错。 精简的介绍了snort的工作原理和过程分析,主要能够帮助从整体对其进行掌握(有时候难得不是码字,而是对整体的把握。 原文:http://blog.chinaunix.net/uid-7673620-id-2598650.html        由于文章基于的版本较老,会在以后补充一篇最新的文章。 Snort作为一个轻量级的网络入侵检测系统,
Snort总结-预处理插件编写
非同╰_╯寻常
10-10 2791
由于sina微博上传图片不方便,已经上传到百度文库:http://wenku.baidu.com/view/abc5234db307e87101f696e8.html 文件名为:snort2.9.3预处理插件步骤整理 实验系统:Fedora14 64位系统
一个仿snort的安全工具开发
LainWith的博客
09-29 414
目录前言实现逻辑局限脚本GIF演示 前言 最近碰到一个问题,设备出现40W+的告警信息,涉及300多条规则,如何才能给出一个分析报告呢?或者说我如何把规则匹配到的数据包里的东西展示给对方呢?于是,我开发了这样一个仿Snort的工具。 实现逻辑 它可以直接读取snort的规则,然后跟数据包进行匹配。snort规则中最常用到的两个关键字是pcre和content,而content是无需和数据包匹配的,所以只需把提取出的pcre中的内容与数据包中的内容进行比对即可。 脚本会运行两轮,第一轮是直接读取出conte
Snort之架构框架(一)
工作、生活
06-01 2823
<br /> <br />snort有很多运行模式<br />如:<br /> <br />#define MODE_PACKET_DUMP    1<br />#define MODE_PACKET_LOG     2<br />#define MODE_IDS            3<br />#define MODE_TEST           4<br />#define MODE_RULE_DUMP      5<br />#define MODE_VERSION        6<br />
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值