【snort】snort规则编写

已于 2022-05-27 14:38:13 修改
阅读量1k 收藏 2
点赞数
分类专栏: 系统入侵检测 文章标签: 系统安全
于 2022-04-09 14:17:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cwllll/article/details/124059630
版权

【作业】编写snort规则

题目

在这里插入图片描述

题目分析

本次题目对比第一次而言有不少难点:

  1. 两条规则 :两条规则同时匹配,才会命中某个报文流;
  2. 第一条规则中是对 “login” 或者 “Initial” 进行命中;
  3. has a " IPv4Address:Port " string (E.g.123.45.6.7:8080) in payload
    第二条规则中的命中则是对一类地址进行匹配 ,

解决办法

逻辑或的内容匹配——login 或 Initial

用pcre实现

pcre:"login|Initial"
两条规则匹配:设置flowbits规则

第一条规则设置一个标志位 botlogin ,同时设定不发出警报

flowbits:set,botlogin;flowbits:noalert;

第二条规则中检测 标志位是否为1

flowbits:isset,botlogin;
IPV4地址匹配

IP地址:将0-255拆分成:0-9,10-99,100-199,200-249,250-255
(已将确定性强(更特殊)的部分放到整个正则表达式的最前面)[^2]

25[0-5]|2[0-4]\d|1\d{2}|[1-9]\d|\d)

故IPV4地址则为:0.0.0.0—255.255.255.255则为

((25[0-5]|2[0-4]\d|1\d{2}|[1-9]\d|\d)\.){3}(25[0-5]|2[0-4]\d|1\d{2}|[1-9][0-9]|[0-9])

端口号:0-65535
(与IP同理,拆成小项)

6553[0-5]|655[0-2]\d|65[0-4]\d{2}|6[0-4]\d{3}|[1-5]\d{4}|\d{1,4}

故最终的匹配规则为:(IP地址:端口号)

pcre:"/((25[0-5]|2[0-4]\d|1\d{2}|[1-9]\d|\d)\.){3}(25[0-5]|2[0-4]\d|1\d{2}|[1-9][0-9]|[0-9]):(6553[0-5]|655[0-2]\d|65[0-4]\d{2}|6[0-4]\d{3}|[1-5]\d{4}|\d{1,4})/"

提交答案

则最终的答案为:

alert tcp any any -> any 3399 (flags: A; msg: "bot founded"; pcre:"login|Initial";flowbits:set,botlogin;flowbits:noalert;sid: 1000002; )
alert tcp any any -> any 3399 (flags: A; msg: "bot founded";pcre:"/((25[0-5]|2[0-4]\d|1\d{2}|[1-9]\d|\d)\.){3}(25[0-5]|2[0-4]\d|1\d{2}|[1-9][0-9]|[0-9]):(6553[0-5]|655[0-2]\d|65[0-4]\d{2}|6[0-4]\d{3}|[1-5]\d{4}|\d{1,4})/";flowbits:isset,botlogin;sid: 1000001;)

参考资料:
Snort Rules——使用pcre进行规则匹配.
IPv4 地址匹配 正则表达式.

麻吉叽
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
snort 规则编写
weixin_33699914的博客
07-28 513
Snort规则分为两个部分:规则的头部和规则选项。首先,规则头部包含着规则、动作、协议、源地址和目标地址、源端口、目标端口。第二部分是规则选项,它包含着一个警告消息和某数据包有关部分的信息(如果要采取某个动作的话,就应当看一些这种信息)。 例如:alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5...
snort 笔记2 ----- 规则编写
热门推荐
云里雾里的专栏
04-20 2万+
为了看懂rules,可以看下文,想要写好,就没那么简单了。^-^。******************************************************************************************************************************************I 总体结构分析:alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|"; msg: "moun
snort规则
05-23
snort规则库,好用的东东哦。我找了很久的。
网络入侵检测--Snort软件规则编写
小人物的编程
11-11 6852
翻译了一下snort规则说明部分,比较粗略,后续再更新补充一下
Snort规则编写
最新发布
goldfish8848的博客
05-11 1242
HTTP_PORTS 是一个可选的变量,表示你想要监控的端口范围,但在此场景下,由于NULL扫描是针对任意端口的,所以你可能需要自定义一个端口范围或简单地使用any。如果端口开放,目标主机会回应一个SYN-ACK包,但扫描者通常不会回应这个包,因为它只是想要检测端口是否开放,而不是建立连接。扫描者发送一个TCP SYN包到目标主机的某个端口,但不设置任何TCP标志位(即flag为NULL)。seq:0 和 ack:0 表示只匹配序列号(seq)和确认号(ack)都为0的TCP包。
snort 规则
09-20
snort规则 ,入侵,嗯,download把,第一个 是为了要下载window snort安装用的,
如何编写snort的检测规则
weixin_30588827的博客
08-24 1343
如何编写snort的检测规则 2013年09月08日⁄ 综合⁄ 共 16976字 前言   snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。此外,snort具有很好的扩展性和可移植性。本文将讲述如何开发snort规则。 1.基础 ...
SNORT3规则编写
windStudyer的专栏
03-01 8897
Snort3 IPS规则编写 1.规则基础 Snort规则被分为两个逻辑部分,规则头和规则选项。 规则头包含规则的操作、协议、源和目标IP地址,以及源和目标端口信息。 规则选项部分包含警报消息和应该检查数据包的哪些部分的信息,以确定是否应该采取规则操作。 规则举例: 注:第一个括号之前的文本是规则标题,括号中包含的部分包含规则选项。规则选项部分中冒号前的单词称为选项关键字。选项部分关键字可选。 2.规则规则头包含规则的操作、协议、源和目标IP地址和网掩码,以及源和..
snort学习以及规则编写
fa1lr4in的小博客
03-27 2922
一、结构 CIDF模型(Common Intrusion Detection Framework): 包含事 件生成器(event generator:E-boxes),分析引擎(analysis engines:A-boxes),存储机制(storage mechanisms:D-boxes),以及响应模块(countermeasures:C-boxes) SNORT数据流 snort ...
量身写snort规则
10-29
这是snort关于规则编写的,既有snort语法又包含snort规则编写.
snort规则
05-10
安装 snort规则所需要的snortrules-snapshot-2900.tar.gz
最新snort规则,都可用哦
09-23
最新snort规则哦,基本都可用,利于大家添加。
Snort-Rules:Snort 23条规则的集合
05-11
Snort规则 描述 Snort 2和3规则很不错。 包括社区版和另一个Github存储库的快照克隆。 喷鼻息2 为了易于使用,该存储库已存储在snortrules-snapshot-2972.zip中。 还有公共版本的snort2-community-rules.tar。 喷鼻息3 社区规则的公共版本snort3-community-rules.tar。
snort最新规则(很难下到的)
06-14
snort入侵检测,snort最新规则,很难下到的跟大家共享一下哈
Snort搭建以及规则编写
xhscxj的博客
11-21 4110
它具有实时数据流量分析和记录IP网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索/匹配。此外,Snort是开源的入侵检测系统,并具有很好的扩展性和可移植性。中,规则储存在 /etc/snort/rules中,编译规则储存在 /usr/local/lib/snort_dynamicrules 中,日志粗存在 /var/log/snort 中。我们使用官方给的免费的社区规则,如果有需要的话可以选择官方的其他套餐。
snort规则
qq_32350719的博客
09-19 1万+
Snort规则被分成两个逻辑部分:规则头和规则选项。 规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息; 规则选项部分包含报警消息内容和要检查的包的具体部分。 1. 规则规则动作 在snort中有五种动作:alert、log、pass、activate和dynamic. Alert:使用选择的报警方法生成一个警报,然后记录(log)这个包。 Alert动作用来在一个...
【网络安全】Snort安装规则编写及实例验证
Walter的专栏
12-24 9509
Snort安装与使用,本文介绍Snort的编译安装步骤及配置文件修改和自定义规则集进行报文验证。 1、安装所需要的软件包如下:依次解压安装即可 tar zxvf xx.tar.gz   ./configure ;make ;make install -rw-r--r--.  1 root      root        419752 12?.19 15:26 libdnet-1.10.tar
snort编写规则检测ARP攻击
04-26
好的,关于snort编写规则检测ARP攻击的问题,我给您提供以下内容: 首先,需要了解ARP攻击的原理。ARP(Address Resolution Protocol)是用于将IP地址转化为MAC地址的协议,攻击者可以伪造ARP请求和回应,欺骗网络中的其他设备,使其将流量发送到攻击者控制下的设备上。在网络中进行ARP攻击是一种非常常见的黑客攻击手段。 接着,在snort编写规则,可以使用以下规则来检测ARP攻击: alert ip any any -> any any (msg:"ARP Poisoning Detected!"; arp;) 以上规则是一个简单的示例,其中msg用来记录警告信息,arp表示检测ARP协议,any表示检测所有IP地址和端口,"->"表示检测流量的方向。 此外,还可以根据具体的网络环境和攻击方式,制定更为细致的规则。而snort规则编写也是一个相对复杂的过程,需要根据具体需求进行调整和优化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值