借用snort实现网络扫描器发现功能

最新推荐文章于 2024-05-12 13:44:23 发布
最新推荐文章于 2024-05-12 13:44:23 发布
阅读量2.5k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TAXUEc750/article/details/13775935
版权
本文介绍了如何借助开源软件Snort的sfPortscan预处理器来实现网络扫描器的发现功能。由于默认配置中该功能未开启,因此需要用户自行配置。配置包括设置检测协议、端口、灵敏度、IP过滤等参数。详细配置指南可在Snort的手册中找到,该文章提供了部分关键配置项的摘录。
摘要由CSDN通过智能技术生成

  最近刚刚完成一个扫描器发现的模块,刚开始做的时候发现网络上关于这方面的资料很少,今天没什么事总结一下好了。希望能给有这方面需求的人一些帮助。

  扫描器发现功能主要是通过snort这个开源软件的预处理器sfPortscan来实现的。默认的snort配置文件中这项功能是关闭的。如果要用需要我们自己来配置。

关于这项的配置可以从snort的帮助手册上获得详细的信息:http://manual.snort.org/node17.html#SECTION00323000000000000000。这里我简单的介绍下关于这方面的配置。

要启用扫描发现功能,需要配置检测的协议类型,检测端口,灵敏级别,检测ip,需忽略扫描器ip,需忽略的被扫描ip,以及扫描日志的路径日志路径。

这是我摘取的,配置项,懒得翻译了。

8.

proto $<$protocol$>$

Available options:

  • TCP
  • UDP
  • ICMP
  • ip_proto
  • all

9.
scan_type $<$scan_type$>$

Available options:

  • portscan
  • portsweep
  • decoy_portscan
  • distributed_portscan
  • all

10. <
最低0.47元/天 解锁文章
TAXUEc750
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Snort 预处理器 ——portscan
starshift的专栏
02-07 3752
 PortScan_preprocessor 向标准记录设备中记录从一个源IP地址来的端口扫描的开始和结束。如果指定了一个记录文件,在记录扫描类型的同时也记录目的IP地址和端口。端口扫描定义为在时间T(秒)之内向超过P个端口进行TCP连接尝试,或者在时间T(秒)之内向超过P个端口发送UDP数据包。端口扫描可以是对任一IP 地址的多个端口,也可以是对多个IP地址的同一端口进行。现在这个版
Snort入侵检测系统简介
VN520的博客
04-12 2993
Snort IDS(入侵检测系统)是一个强大的网络入侵检测系统。它具有实时数据流量分析和记录IP网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。此外,Snort是开源的入侵检测系统,并具有很好的扩展性和可移植性。Snort使用一种简单的规则描述语言,这种描述语言易于扩展,功能也比较强大。Snort规则是基于文本的,规则文件按照不同的组进行分类,比如,文件ftp.rules包含了FTP攻击内容。
2024年网络安全最新【网络安全实验】snort实现高级IDS,程序员进阶知识点
最新发布
2401_84281720的博客
05-12 427
下面必须依次安装libdnet、DAQ和Snort这3个包。● 安装libdnet-1.12.tgz。● 安装DAQ。make编译环境检查完成之后,我们可以看到AFPacket DAQ module,Dump DAQ module,IPFW DAQ module,PCAP DAQ module的状态都是“yes”只有这样才能继续编译软件包。#make && make install //编译、安装● 安装Snort 2.9(安装Snort前一定要正确安装libdnet和DAQ以及zlib)。
Snort预处理器之`sfPortscan`
有理论,有实验,有结论,可为一篇文章
06-23 1280
文章目录1 sfPortscan 预处理器简介2 sfPortscan 预处理器支持的端口扫描类型2.1 Portscan2.2 Decoy Portscan2.3 Distributed Portscan2.4 Portsweep2.5 Filtered Portscan And Filtered Portsweep3 sfPortscan 预处理器的配置4 sfPortscan 警报输出5 sfPortscan 调优 1 sfPortscan 预处理器简介 由 Sourcefire 开发的 sfPort
[转]如何编写snort的检测规则
heiyeluren的blog(黑夜路人的开源世界)
12-16 4999
如何编写snort的检测规则from:  http://kunming.cyberpolice.cn/aqjs/200010.html              摘要snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时
开源入侵检测系统—Snort检测NMap扫描和SQL注入
negnegil的博客
10-18 6194
前两篇我们完成了对Snort的安装、配置,了解了Snort配置为 IDS 的基本使用 这一篇讲一讲 Snort 如何对 Nmap扫描和 SQL 注入进行检测 检测Nmap扫描 1、NMAP Ping扫描 规则 vim /etc/snort/rules/local.rules ##下面的规则都写入这个文件中 alert icmp any any -> 192.168.43.97 any (msg: "NMAP ping sweep Scan"; dsize:0;sid:10000001; rev: 1
网络安全实验-snort实现高级IDS-software
02-01
1. adodb519.tar.gz 2. barnyard2-1.9.tar.gz 3. base-1.4.5.tar.gz 4. daq-2.0.4.tar.gz ...7. snort-2.9.7.0.tar.gz 8. snort-2.9.13.tar.gz 9. snortrules-snapshot-2970.tar.gz 10. WinSCP-6.1.1-Setup.exe
网络安全实验Snort网络入侵检测实验
12-16
网络安全实验Snort网络入侵检测实验
Windows平台下Snort系统的架构与实现
03-26
通过对入侵检测系统的深入研究,在此基础上,架构了一个在Windows平台下的基于Snort的分布式网络入侵检测系统。该系统模型融合了层次模型和分布式协作模型的优点,采用三级分层体系结构,并融合了改进的BM模式匹配算法...
Snort源码 C语言实现
12-27
本文将深入探讨Snort源码的实现原理及其核心知识点,旨在为学习C语言和网络安全的同学提供宝贵的参考资料。 1. **模块化设计**:Snort的核心设计理念之一就是模块化,这使得它能够根据需求进行定制和扩展。主要模块...
Snort入侵检测 入侵机制报警
12-27
嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。
实验六 端口扫描攻击检测
06-26
针对内外网用户的恶意扫描检测,通过snort 的端口扫描攻击检测,初步识别攻击的源 和目的地址,进行及时防御,将威胁降到最低,更好的保护公司单位网络的安全。
网络通信安全:snort入侵检测系统使用.pdf
06-22
在实验中,Nmap网络映射器被用作验证Snort防护效果的工具。Nmap是一款强大的网络扫描软件,可用来发现网络上的主机和服务,探测服务版本,以及识别操作系统。其广泛应用于系统管理员的网络审计和安全评估,同时也...
snort实现入侵检测功能
tlucky的博客
10-14 5957
一、安装 概念 用snort软件打造入侵监测系统: 入侵监测系统和防火墙关系 总结:从概念上我们可以看出防火墙是针对黑客攻击的一种被动的防御,IDS则是主动出击寻找潜在的攻击者;防火墙相当于一个机构的门卫,收到各种限制和区域的影响,即凡是防火墙允许的行为都是合法的,而IDS则相当于巡逻兵,不受范围和限制的约束,这也造成了IDS存在误报和漏报的情况出现。 IDS是继防火墙之后的又一道防线,防火墙是防御,IDS是主动检测,两者相结合有力的保证了内部系统的安全; IDS实时检测可以及时发现一些防火墙没有发现
入侵检测——masscan(扫描篇)
LainWith的博客
04-13 5186
目录环境介绍工具简介数据包nmap的SYN扫描nc的TCP扫描masscan的扫描对比masscan、nc、nmap的SYN扫描规则 环境介绍 NAT模式: kali攻击方 win7受害者 Metasploitable受害者 工具简介 masscan号称是目前是最快的互联网端口扫描器,最快可以在六分钟内扫遍互联网。 masscan的扫描结果类似于nmap,在内部,它更像scanrand, unicornscan, and ZMap,采用了异步传输的方式。它和这些扫描器最主要的区别是,它比这些扫描器更快。
SNORT入侵检测系统
热门推荐
swordheart的博客
04-19 1万+
0x00 一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:”Web Access”; sid:1) alert:表示如果此条规则被触发则告警 tcp:协议类型 ip地址:源/目的IP地址 any/80:端口号 ->:方向操作符,还有<>双向。 msg:在告警和包日志中打印消息 sid:Snort规则id … 这条规则看字面意思就很容易理解。Snort就是利用规则来匹配数据包进行实时流量分析,网络数据包
编写snort规则检测网络攻击
guansheng123的博客
02-23 5564
Snort 规则被分成两个逻辑部分:规则头和规则选项。 规则头包含规则的 动作,协议,源和目标 ip 地址与网络掩码,以源和目标端口信息; 规则选项 部分包含报警消息内容和要检查的包的具体部分。 Alert:使用选择的报警方法生成一个警报,然后记录(log)这个包。 Alert 动作用来在一个包符合规则条件时发送告警消息。告警的发送有多种方式, 例如可以发送到文件或者控制台。 Snort 当前分析可疑包的 ip 协议有四种: tcp 、 udp、 icmp 和 ip。...
强化系统防护:集成Snort的入侵检测功能网络安全详解
"系统的入侵检测功能网络信息安全的重要组成部分,特别是在现代网络环境中,它扮演着守护者的角色。本文介绍了一款具备内置Snort入侵检测系统(IDS)的产品,该系统支持在线升级策略库,这意味着它能及时应对不断...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值