Snort文本处理源代码

最新推荐文章于 2021-05-09 14:14:16 发布
最新推荐文章于 2021-05-09 14:14:16 发布
阅读量938 收藏
点赞数
分类专栏: GNU/Linux Network
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/X_White/article/details/9428675
版权

attack.conf 配置文件:

sql


info.conf 配置文件:

MYSQL_LOCALHOST = 127.0.0.1
MYSQL_NAME = root
MYSQL_PWD = ******
MYSQL_DBNAME = snort
MYSQL_TABLE = securityevent

 

st.sh 启动脚本:

#!/bin/sh

kill -9 `ps -ef | grep 'snort' | grep -v | awk '{print $2}'`

/home/******/snort_c/main

snort -c snort.conf -l /usr/local/snort/snort-2.9.4/etc/log/

 

mmm 编译脚本:

#!/bin/sh
g++ -g -o log_db $(mysql_config --cflags) log_db.c -I/usr/include/mysql -L/usr/lib64/mysql $    (mysql_config --libs)

 

log_db.c 主程序:

#include <sys/time.h>
#include <time.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <mysql.h>

#define _NAME_LEN 30
#define BUFF_LEN 1024
#define COMM_SIZE 20
#define HASH_LEN 20
#define _ERROR (-1)
#define _SUCCESS 0

char hashStr[HASH_LEN][COMM_SIZE] = {"sql"};
MYSQL* conn = NULL;
char mysql_localhost[COMM_SIZE] = "127.0.0.1", _mysql_name[COMM_SIZE] = "root", _mysql_pwd[COMM_SIZE] = "root", dbname[COMM_SIZE] = "snort";
char snort_table[COMM_SIZE] = "securityevent";

void init(char* buff, char* _time, char* _sip, char* _dip, char* time, char* dip, char* sip, char* type) {
	memset(buff, 0, sizeof(buff));
	memset(_time, 0, sizeof(_time));
	memset(_sip, 0, sizeof(_sip));
	memset(_dip, 0, sizeof(_dip));
	memset(time, 0, sizeof(time));
	memset(dip, 0, sizeof(dip));
	memset(sip, 0, sizeof(sip));
	memset(type, 0, sizeof(type));
}

void initBuff(char* buff) {
	memset(buff, 0, sizeof(buff));
}

void attack_init() {
	FILE* ifp;
	char str[20];
	int index = 0;
	ifp = freopen("attack.conf", "r", stdin);
	if(NULL == ifp) {
		fprintf(stderr, "attack.conf Error: no such file, please check out!");
		exit(1);
	}
	while(!feof(ifp)) {
		fgets(str, 20, ifp);
		strcpy(hashStr[index++], str);
	}
	fclose(ifp);
	fclose(stdin);
}

void info_init() {
	FILE* ifp;
	char str[1024], tmp[40], name[40];
	ifp = freopen("info.conf", "r", stdin);
	if(NULL == ifp) {
		fprintf(stderr, "info.conf Error: no such file, please check out!");
		exit(1);
	}
	while(!feof(ifp)) {
		memset(str, 0, sizeof(str));
		memset(name, 0, sizeof(name));
		memset(tmp, 0, sizeof(tmp));
		fgets(str, 1024, ifp);
		sscanf(str, "%s = %s", name, tmp);
		if(!strcmp("MYSQL_LOCALHOST", name)) {
			strcpy(mysql_localhost, tmp);
		}
		else if(!strcmp("MYSQL_NAME", name)) {
			strcpy(_mysql_name, tmp);
		}
		else if(!strcmp("MYSQL_PWD", name)) {
			strcpy(_mysql_pwd, tmp);
		}
		else if(!strcmp("MYSQL_DBNAME", name)) {
			strcpy(dbname, tmp);
		}
		else if(!strcmp("MYSQL_TABLE", name)) {
			strcpy(snort_table, tmp);
		}
	}
	fclose(ifp);
	fclose(stdin);
}

void _mysql_init() {
	conn = mysql_init(NULL);
	if(!conn) {
		fprintf(stderr, "mysql_init failed\n");
		exit(1);
	}
	conn = mysql_real_connect(conn, mysql_localhost, _mysql_name, _mysql_pwd, dbname, 0, NULL, 0);
	if(!conn) {
		fprintf(stderr, "mysql_real_connect failed\n");
		if(mysql_errno(conn)) {
			fprintf(stderr, "Connection error: %s %s\n", mysql_errno(conn), mysql_error(conn));
		}
		exit(1);
	}
}

void disIP(char* _ip, char* ip, int& port) {
	int len = strlen(_ip);
	int i;
	for(i = 0; i < len; i++) {
		if(':' == _ip[i]) break;
		ip[i] = _ip[i];
	}
	ip[i] = '\0';
	char sport[COMM_SIZE];
	memset(sport, 0, sizeof(sport));
	strcpy(sport, _ip+i+1);
	port = atoi(sport);
}

void _itoa(int num, char* str) {
	if(num < 10) {
		str[0] = '0';
		str[1] = num+'0';
	}
	else {
		str[0] = num%10+'0';
		str[1] = num/10+'0';
	}
}

int disTime(int _month, int _day, char* _time, char* time) {
	time_t timep;
	char month[2], day[2];
	char sa[4], sb[4], sc[10], sd[20], se[5];
	int len, i, index, flag;
//	time(&timep);
//	sscanf(ctime(&timep), "%s%s%s%s%s", sa, sb, sc, sd, se);
	strcpy(se, "2013");
	_itoa(_month, month);
	_itoa(_day, day);
	len = strlen(se);
	for(index = 0, i = 0; i < len; i++) {
		time[index++] = se[i];
	}
	time[index++] = '-';
//	printf("%s\n", month);
	if(month[0] == '0') {
		time[index++] = month[0];
		time[index++] = month[1];
	}
	else {
		for(i = 0; i < 2; i++) {
			time[index++] = month[1-i];
		}
	}
	time[index++] = '-';
	for(i = 0; i < 2; i++) {
		time[index++] = day[1-i];
	}
	time[index++] = ' ';
	len = strlen(_time);
	if(_time[1] == ':') {
		time[index++] = '0';
		for(i = 0; i < 7; i++) {
			time[index++] = _time[i];
		}
	}
	else {
		for(i = 0; i < 8; i++) {
			time[index++] = _time[i];
		}
	}
	time[index] = '\0';
	if(0 == len) {
		return _ERROR;
	}
	else {
		return _SUCCESS;
	}
}

int main() {
	FILE *fp;
	char filepath[_NAME_LEN];
	char buff[BUFF_LEN];
	int month, day, sport, dport;
    char _time[COMM_SIZE], _sip[COMM_SIZE], _dip[COMM_SIZE];
	char time[COMM_SIZE], dip[COMM_SIZE], sip[COMM_SIZE];
	char type[COMM_SIZE], detail[COMM_SIZE];

	memset(filepath, 0, sizeof(filepath));
	info_init();
	_mysql_init();
	fp = freopen("alert", "r", stdin);
	while(!feof(fp)) {
		int len, i;
		init(buff, _time, _sip, _dip, time, dip, sip, type);
		fgets(buff, BUFF_LEN, fp);
		len = sizeof(buff);
		for(i = 0; i < HASH_LEN; i++) {
			if(strstr(buff, hashStr[i])) {
				break;
			}
		}
		strcpy(type, hashStr[i]);
		
		initBuff(buff);
		while(fgets(buff, BUFF_LEN, fp)) {
			if('[' != buff[0]) break;
			initBuff(buff);
		}
		sscanf(buff, "%d/%d-%s %s -> %s", &month, &day, _time, _sip, _dip);
		disIP(_sip, sip, sport);
		disIP(_dip, dip, dport);
//		printf("%d %d %s %s %s\n", month, day, _time, _sip, _dip);
//		printf("%s %s %d %d\n", sip, dip, sport, dport);
		int retval = disTime(month, day, _time, time);
//		printf("time%s\n", time);
		fgets(buff, BUFF_LEN, fp);
		sscanf(buff, "%s", detail);
		while(fgets(buff, BUFF_LEN, fp)) {
			if('*' != buff[0]) break;
		}
		if(_SUCCESS == retval){
			char sql[BUFF_LEN];
			memset(sql, 0, sizeof(sql));
			sprintf(sql, "INSERT INTO %s (protocol,name,time,detail,srcIP,desIP,srcPort,desPort,srcMac,desMac)"
					" VALUES('%s','%s','%s',null,'%s','%s',%d,%d,NULL,NULL)", 
					snort_table, detail, type, time, sip, dip, sport, dport);
			int res = mysql_real_query(conn, sql, strlen(sql));
			if(res) {
				fprintf(stderr, "INSERT INTO error: %s\n", mysql_error(conn));
			}
		}
	}
	printf("Running successfully!\n");
	mysql_close(conn);
	fclose(fp);
	fclose(stdin);
	return 0;
}


 

 

 

X-Wyatt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
入侵检测snort源码分析经典版(详细)
11-19
九贱的源码分析,非常经典
超详细 snort源码分析
04-27
在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System)
snort源码分析
无尽星空--帝王铠
03-23 9357
序: 1. 包捕获模块 2.    包解码模块 3.    预处理模块 4.    检测模块(模式匹配) 5.    输出模块 第一部分:包捕获模块 本部分由snort.c 文件中的OpenPcap函数实现。该函数依次调用下图的libpcap库中的函数 这里需要提醒的是本模块实现的功能实现到libpcap库流程的循环抓包前为止,循环抓包是 到s
Snort源码分析
bobozai86的博客
07-26 5218
       Snort由几大软件模块组成,这些软件模块采用插件方式与Snort结合,扩展起来非常方便,例如有预处理器和检测插件,报警输出插件等,开发人员也可以加入自己编写的模块来扩展Snort功能。所有这些子模块都建立在数据包截获库函数接口Libpcap的基础上,Libpcap为他们提供了一个可移植的数据包截获和过滤机制。 snort源代码主要由以下几个主要部分构成: snort.c   s...
snort rule snort rules snort 规则集 2900
04-24
2. **SO规则**:也称为动态预处理规则,这些是编译后的C代码,以库的形式加载到Snort中。SO规则允许更高效地处理复杂的检测任务,例如解码和预处理数据包。它们可以提高Snort的性能,并且通常用于处理加密流量或实现...
Snort中标准AC算法C源码 可调试
12-27
在这个压缩包中,`acAlgorithm`和`acsmx`可能是AC算法的C语言实现源代码文件。`acAlgorithm`可能包含了AC算法的基本功能实现,如自动机的构建和字符串匹配过程。`acsmx`可能是一个扩展或优化,例如,它可能包含了...
Snort的工作原理
luguifang2011的专栏
07-11 1万+
Snort 工作流程分为以下四个主要部分: 1、包捕获/解码引擎:首先,利用libpcap从网卡捕获网络上的数据包,然后数据包经过解码引擎填入到链路层协议的包结构体中,以便对高层次的协议进行解码,如TCP和UDP端口。 2、预处理器插件:接着,数据包被送到各种各样的预处理器中,在检测引擎处理之前进行检查和操作。每个预处理器检查数据包是否应该注意、报警或者修改某些东西。 3、规则解析和检测引擎
snort 检测nmap_Snort入侵检测系统安装与配置
weixin_39663258的博客
12-22 875
第1章Snort简介第2章软件列表第3章Snort 安装与配置第4章Snort的操作与使用第5章常见问题与解决方法第1章Snort简介Snort是一个免费的IDS(入侵监测系统)软件。它的一些源代码是从著名的tcpdump软件发展而来的。它是一个基于libpcap包的网络监控软件,可以作为一个十分有效的网络入侵监测系统。它能够监测多种网络攻击和探测,例如:缓冲器溢出攻击,端口扫描,CGI攻击,SM...
snort数据库详解
shuaihuiminps的专栏
12-26 4437
刚刚开始接触snort,想对他的数据库进行操作。所以小小的研究了一下。但是还是有很多表格的内容不是很了解。暂且把我自认为理解的部分写出来。欢迎大家热烈讨论,错误的地方疯狂指正,我没写的地方大家不吝赐教~~ Database ER Diagram Snort (and other devices) log to database with the following schema
snort 文件类型识别原理分析
guoguangwu的专栏
05-09 944
snort的文件规则保存在file_magic.conf中。 以pdf为例: file type:PDF; id:22; category:PDF files; msg:"PDF file "; rev:1; content:| 25 50 44 46|; offset:0; file type:PDF; id:282; category:PDF files; msg:"PDF file "; rev:1; content:| 25 50 44 46 2D 31 2E 30|; offset:0;
【网络安全】Snort框架代码简要分析及输出
Walter的专栏
01-20 6291
Snort框架代码分析:后续对每个模块单独进行分析,snort主要采用插件注册方式,目前还支持动态插件即读取动态库的方式注册加载。 主要流程在SnortMain函数中 1、SnortInit         注册输出插件alert_fast,alert_full等函数         注册preprocess插件,如stream5,frag3,rpc,arp,httpinspect   
Snort源代码安装
a58000的博客
04-15 2032
Snort联网源代码安装 安装依赖包 依赖如下所示: gcc version (4.4.6 including libraries) flex (2.5.35) bison (2.4.1) zlib (1.2.3 including zlib-devel) libpcap (1.0.0 including libpcap-devel) pcre (7.84 including pcre-de...
CentOS下mysql.tar.gz的安装及启动
热门推荐
For free
11-15 1万+
由于利用 yum install mysql 下载安装发生错误,所以只能下载tar.gz包或者rpm包进行安装,这里我下载的是tar.gz包 下载完成后先解压: tar zvxf mysql-5.5.10-linux2.6-x86_64.tar.gz 然后移动到 /usr/local下 mv mysql-5.5.10-linux2.6-x86_64 /usr/locl/mysq
CentOS部署Snort
For free
03-10 9799
操作系统:CentOS6.3 x86_64 只需按照以下网址依次下载软件包,然后安装即可 需要安装的组件: 1.Libpcap:http://www.tcpdump.org/ wget http://www.tcpdump.org/release/libpcap-1.2.1.tar.gz tar xvf libpcap-1.2.1.tar.gz
snort检测python代码
最新发布
09-07
Snort是一种流行的入侵检测系统(IDS),它可以用于检测和防止网络上的恶意活动。而Python是一种广泛使用的编程语言。 要使用Snort检测Python代码,可以按照以下步骤进行: 1. 首先,安装和配置Snort。这可以通过下载Snort的最新版本并按照指南进行安装。然后,根据自己的需求进行配置,包括指定日志存储位置和启用相应的规则。 2. 然后,选择要检测的Python代码。可以选择已经开发的Python应用程序或脚本,或者自己编写一些示例代码。 3. 根据自己的需求和对Python代码的了解,编写适当的Snort规则来检测Python代码中的恶意行为。规则是Snort用于检测和报警的核心部分。可以使用Snort的语法和规则标准来编写规则,以检测Python代码中可能存在的安全问题,比如远程命令执行、文件读写等。 4. 导入所编写的规则到Snort中。将规则文件的路径指定到Snort的配置文件中,以便Snort能够加载并使用这些规则。 5. 启动Snort并监视网络流量。一旦有流量通过网络接口,Snort就会开始使用规则检测其中的Python代码。如果Snort检测到与规则匹配的Python代码,它将根据配置的设置采取相应的操作,比如记录日志、触发警报、阻止流量等。 总结来说,通过安装和配置Snort,编写适当的规则并监视流量,可以使用Snort检测Python代码中的恶意行为。这有助于保护网络安全,防止恶意Python代码对系统和数据造成危害。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值