snort学习以及规则编写

最新推荐文章于 2024-05-11 17:13:21 发布
最新推荐文章于 2024-05-11 17:13:21 发布
阅读量2.9k 收藏 14
点赞数 3
分类专栏: 各种基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fallfeather/article/details/105127047
版权

一、结构

CIDF模型(Common Intrusion Detection Framework):

包含事 件生成器(event generator:E-boxes),分析引擎(analysis engines:A-boxes),存储机制(storage mechanisms:D-boxes),以及响应模块(countermeasures:C-boxes)

SNORT数据流

snort 并没有原生的数据包抓取功能,基于一个外部的数据包修改库: libpcap 实现了这个功能。事实上, 2.9 版本的 snort 还可以配置使用其他的包抓取模块,它实现了一个 DAQ 模块 ,对如 libpcap 进行了上层封装。先在可选的替代有如 BPF(Berkeley Packet Filter),PF_RING 等。snort的数据流如下图所示:
还有很多snort其他相关的内容,我并不过多的深入了解了,工作中主要对snort规则进行编写,所以着重于对snort规则编写进行笔记的记录
 

二、编写Snort规则

拿一条规则来举例:

alert tcp any any -> any any (msg:"xxx"; sid:12345;)

规则头

动作actions

Action(动作)
描述
仅支持 Inline mode
alert
基于规则对应的告警消息生成一个警告,并将数据包记录日志
 
log
将数据包记录日志
 
pass
忽略这个数据包
 
Drop
使用 iptables 丢弃这个数据包并将数据包记录入日志
yes
Reject
使用 iptables 丢弃数据包,记录日志,并发送一个 TCP reset(TCP
协议),或者发送一个 ICMP 端口不可达消息(UDP 协议)
yes
Sdrop
使用 iptables 丢弃数据包,但不记录日志(silent drop)
yes

协议protocol

Snort 已经支持的协议有 IP,TCP,UDP,ICMP.
IP 地址可以支持 CIDR 模式, /24 代表一个 C 段网络, /16 代表一个 B 段网络, /32 代表一个特定机
器地址。
 
端口号 port
 
端口号可以被顶一个多种方式,包括静态的端口定义、端口范围、或者取反。 ”any” 则指任意端口。
 
方向操作符 direction
 
仅支持两种方向操作符: ”->” “<>”
 

通用规则选项

keyword 描述或范例
msg
最低0.47元/天 解锁文章
fa1lr4in
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
(转载)Snort 2.x数据区搜索规则选项的改进
Kendiv's Box
09-28 3149
Snort 2.x数据区搜索规则选项的改进创建时间:2005-09-27文章属性:原创文章提交:stardust (stardust_at_xfocus.org)Snort 2.x的规则选项与2.0以前的版本相比有了相当大的改进,有必要介绍和分析一下。首先翻译一下Snort使用手册中相关的规则选项说明。由于这个手册写的极烂,很多地方意思表述重复冗长,用词不准确,而且还有些明显的错误,应该仔细说明的
Snort规则大探秘
weixin_30399055的博客
03-29 212
版本联系 Snort规则可以用来检测数据包的不同部分。Snort1.x可以分析第3层和第4层的信息,但是不能分析应用层协议。Snortv2.x增加了对应用层头部分析的支持。所有的数据包根据类型的不同按顺序与规则比对。Snort规则用简明易懂的语法书写,大多数规则写在一个单行中。当然你也可以行末用反斜线将一条规则划分为多个行。规则文件通常放在配置文件snort.conf文件中,你也可以用其他...
Snort规则编写
最新发布
goldfish8848的博客
05-11 1185
HTTP_PORTS 是一个可选的变量,表示你想要监控的端口范围,但在此场景下,由于NULL扫描是针对任意端口的,所以你可能需要自定义一个端口范围或简单地使用any。如果端口开放,目标主机会回应一个SYN-ACK包,但扫描者通常不会回应这个包,因为它只是想要检测端口是否开放,而不是建立连接。扫描者发送一个TCP SYN包到目标主机的某个端口,但不设置任何TCP标志位(即flag为NULL)。seq:0 和 ack:0 表示只匹配序列号(seq)和确认号(ack)都为0的TCP包。
snort学习
qq_39125106的博客
04-12 503
一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:”Web Access”; sid:1) alert:表示如果此条规则被触发则告警 tcp:协议类型 ip地址:源/目的IP地址 any/80:端口号 ->:方向操作符,还有<>双向。 msg:在告警和包日志中打印消息 sid:Snort规则id … ...
snort 学习
wsk004321的专栏
05-12 1830
Snort 在1998年,Martin Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention
snort规则学习
qq_39125106的博客
04-16 327
snort规则学习:https://www.cnblogs.com/zlslch/p/7337011.html 一、snort规则啊,是基于文本的
snort源码学习
安子自语
09-29 1021
可借鉴的工具函数: mSplit Snort 2.9 introduces the DAQ, or Data Acquisition library, for packet I/O.  The DAQ replaces direct calls to libpcap functions with an abstraction layer that facilitates
Snort学习笔记
cnbird's blog
01-17 701
整理:Jims of 肥肥世家jims.yang@gmail.com>Copyright © 2004 本文遵从GNU 的自由文档许可证(Free Document License)的条款,欢迎转载、修改、散布。发布时间:2004年12月11日更新时间:2005年03月28日Table of Contents
使用Snort规则.pdf
01-21
### 使用Snort规则详解 #### 一、Snort规则概览 Snort是一款开源的入侵检测系统(IDS),能够实时地分析网络流量,...通过上述示例规则学习,可以帮助读者更好地掌握Snort规则编写技巧,从而提高网络安全防护能力。
snort规则
05-23
1. **规则头(Rule Header)**:每个Snort规则都以一个规则头开始,它定义了规则的基本属性,如检测模式(alert、pass、log)、协议(TCP、UDP、ICMP等)、源IP和目标IP地址以及端口号。例如,“alert tcp any any -...
snort2.7规则库文件
09-16
了解这些基本结构后,我们可以深入学习Snort规则编写和使用。规则通常由以下几个部分组成:优先级、协议、方向、标志、源/目的地址、端口、规则选项和动作。例如,一条规则可能如下所示: ```bash alert tcp any ...
如何编写snort的检测规则
08-07
snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。此外,snort具有很好的扩展性和可移植性。本文将讲述如何开发snort规则
SNORT实验资源x12
04-26
2. **规则编写与应用**:用户可能需要学习如何编写和理解SNORT规则,包括如何创建自定义规则来检测特定的攻击行为。 3. **事件响应与日志分析**:实验可能会包含如何解析和分析SNORT生成的日志文件,以及如何根据...
snort 源文件 IDS学习
05-26
对于规则编写,需要熟悉Snort规则语法,包括基本的匹配条件、操作符以及动作,这些规则可以定制以适应特定的网络安全需求。 在Linux环境下安装和编译Snort时,你需要了解基本的Linux命令行操作和编译工具,如gcc和...
snort学习笔记
weixin_30858241的博客
08-13 400
  Snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统(ids)。   嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。   数据包记录器模式把数据包记录到硬盘上。   网络入侵检测模式是最复杂的,而且是可配置的。可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。   Snort能够对网络上的数据包进行抓包分析,但区...
SNORT3规则编写
windStudyer的专栏
03-01 8865
Snort3 IPS规则编写 1.规则基础 Snort规则被分为两个逻辑部分,规则头和规则选项。 规则头包含规则的操作、协议、源和目标IP地址,以及源和目标端口信息。 规则选项部分包含警报消息和应该检查数据包的哪些部分的信息,以确定是否应该采取规则操作。 规则举例: 注:第一个括号之前的文本是规则标题,括号中包含的部分包含规则选项。规则选项部分中冒号前的单词称为选项关键字。选项部分关键字可选。 2.规则规则头包含规则的操作、协议、源和目标IP地址和网掩码,以及源和..
Snort+Scapy(二)
hxm的博客
03-28 971
本次实验的目的是构造规则检测连续的俩个流 if snort see two packets in a TCP flow with • first packet has “login” or “Initial” in payload, destination port is 3399; • and second packet has a “IPv4Address:Port”string(E.g. 123.45.6.7:8080) in payload. destination port is 3399; •
常见webshell工具流量特征分析(哥斯拉、冰蝎、蚁剑、菜刀)
weixin_45971758的博客
06-23 3438
message 是一段超极长的字符串,分析冰蝎请求中的 PHP 代码,发现他就是 content 经过 base64 -> aes 加密后生成的,作用和请求中的 content 一致都是绕过 $Content-Length。冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。content:“浏览器版本”。流量解密过程: 解AES密钥为(连接密码的MD5的前16位) --> 解base64两次。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值