1.大数据包攻击
Snort 规则:
1. alert icmp any any -> $HOME_NET any (msg:"ICMP pkt is big"; classtype:icmpevent;dsize:>200; sid:10000001; rev:001; GID:1; )
用 Windows10 的终端 ping ubuntu 的地址,设置发送数据包的大小,分
别发送大于 200 和小于 200 的数据包。当发送的数据包小于 200 时,视为小
数据包,此时不能检测,不发出报警; 当发送的数据包大于 200 时,被视为
大数据包,此时电脑检测出来,并发送一个报警。如下图所示:
接下来,访问浏览器 http://localhost/base,查看基于安全分析引擎(BASE),
我们可以看到电脑检测到了 ICMP 攻击。
查看 ICMP 的详细信息, 可以看到 ID,特征,时间戳,来源地址,目标地
址和第四层协议等信息, 如下图所示:
2.TCP 攻击
Snort 规则:
alert tcp $HOME_NET any -> any 80 (msg: "示例警告"; classtype:miscattack;sid: 10000002; rev:001;)
用 Windows10 访问 192.168.59.136 网页,即发送了 TCP 消息,虚拟机
检测到 TCP,发出一个报警。如下图所示:
接下来,访问浏览器 http://localhost/base,查看基本安全分析引擎(BASE),
我们可以看到电脑检测到了 TCP 攻击。
查看 TCP 的详细信息,可以看到 ID,特征,时间戳,来源地址,目标地址
和第四层协议等信息,如下图所示:
3.泛洪攻击
Snort 规则:
alert tcp any any -> $HOME_NET any (msg:"synflood";flags:S; threshold:type both,track by_dst,count
3,seconds 10;classtype:misc-attack; sid:10000003; rev:001; GID:1; )
用另一个虚拟机进行 syn-flood 攻击, 如果 10 秒内超过 3 个包就发出警
报。 执行 sudo hping3 -p 22 -S --rand-source --flood 192.168.254.133 命令进行
攻击。
在执行上句命令之前,需要先执行 sudo apt install hping3 命令。
如下图:
检测到 TCP 泛洪攻击,发出一个报警。如下图所示:
接下来,访问浏览器 http://localhost/base,查看基于安全分析引擎(BASE),
我们可以看到电脑检测到了 TCP 攻击。
查看 TCP 的详细信息,可以看到 ID,特征,时间戳,来源地址,目标地址
和第四层协议等信息,如下图所示: