fwsnort 部署攻防

最新推荐文章于 2024-09-21 21:50:28 发布
最新推荐文章于 2024-09-21 21:50:28 发布
阅读量723 收藏 1
点赞数 1
分类专栏: 安全 规则 文章标签: perl linux centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guoguangwu/article/details/89703798
版权

fwsnort是将snort规则转换成iptables规则,由于snort规则大部分是基于应用层的数据进行检测,所以使用字符串搜索、正则(pcre)等算法进行识别,所以有的规则转换会失败。

先验一下iptables的字符串匹配扩展,根据下面的这篇博客,操作就能验证。

iptables 字符串模块检查

wget http://www.cipherdyne.org/fwsnort/download/fwsnort-1.6.8.tar.bz2

下载当前最新版本,也可以下载http://www.cipherdyne.org/fwsnort/download/fwsnort-1.6.8.tar.bz2.asc

这里就不下载演示。接下来就是解压安装。

tar -jxf fwsnort-1.6.8.tar.bz2

 cd fwsnort-1.6.8/

sudo ./install.pl

报错 :Can't locate File/Copy.pm in @INC (you may need to install the File::Copy module) (@INC contains: /etc/perl /usr/local/lib/x86_64-linux-gnu/perl/5.22.1 /usr/local/share/perl/5.22.1 /usr/lib/x86_64-linux-gnu/perl5/5.22 /usr/share/perl5 /usr/lib/x86_64-linux-gnu/perl/5.22 /usr/share/perl/5.22 /usr/local/lib/site_perl /usr/lib/x86_64-linux-gnu/perl-base .) at ./install.pl line 31.
BEGIN failed--compilation aborted at ./install.pl line 31.

没有安装perl。

解决方式:

sudo apt-get install perl

sudo ./install.pl 

报错:[*] Could not find make anywhere!!!  Please edit the config section to include the path to make. at ./install.pl line 559.

解决方式:

sudo apt-get install make

sudo ./install.pl :并选择下载最新snort规则

出现下面的截图,说明安装成功。

接下来就是转换规则:

sudo fwsnort

成功率 62.03%.下面执行截图中的最后一个sh脚本。

报错,原因是规则头中的端口!455 iptables不支持。终止整个操作。

定位问题规则:

执行完sudo fwsnort ,默认规则会同步到 /etc/fwsnort/snort_rules/ 下,

先打开/var/lib/fwsnort/fwsnort.save 定位问题规则,找到对应的SID,例如2012252

再执行下面搜索: sudo egrep "2012252" -r  /etc/fwsnort/snort_rules -n

将输出结果的规则注释掉。

重新执行 sudo fwsnort 

再执行 sudo  /var/lib/fwsnort/fwsnort.sh ,iptables规则已经部署好了。

执行 sudo iptables -L 查看结果。

下面演示一个DDOS的模拟攻击:

在另一台机器上面执行

echo "l44adsl" | nc -u 192.168.1.169 27444

在刚刚部署的机器上面查看日志(ubuntu=>/var/log/syslog 、 CentOS => /var/log/messages)

Apr 30 02:55:51 localhost kernel: [86] SID237 IN=ens33 OUT= MAC=00:0c:29:b6:b5:07:00:0c:29:03:c4:51:08:00 SRC=192.168.1.166 DST=192.168.1.169 LEN=36 TOS=0x00 PREC=0x00 TTL=64 ID=46852 DF PROTO=UDP SPT=58204 DPT=27444 LEN=16 

SID237 :表示是 SID是237的规则匹配成功了。

sid为237的规则详情:

ddos.rules:alert udp $EXTERNAL_NET any -> $HOME_NET 27444 (msg:"DDOS Trin00 Master to Daemon default password attempt"; content:"l44adsl"; reference:arachnids,197; classtype:attempted-dos; sid:237; rev:2;)

好了,一个简单部署、攻击到这里就讲解完了。

guoguangwu
关注
专栏目录
Android : Can‘t locate AnyEvent.pm in @INC (you may need to install the AnyEvent module)
Crystal_xing的专栏
08-27 1480
错误日志的具体版本如下,意思是在运行N700Smon这个可执行文件的时候,电脑中perl库里没有AnyEvent.pm这个文件,解决方案就是去网上下载并安装这个文件: xingjunaodeMini:n700Smon admin$ ./N700Smon Can't locate AnyEvent.pm in @INC (you may need to install the AnyEvent module) (@INC contains: . /Library/Perl/5.18/darw...
防火墙与入侵检测技术-fwsnort的安装.docx
11-06
防火墙与入侵检测技术 实验报告
psad, fwknop, 和fwsnort等著名开源安全软件的开发者谈Linux防火墙
weixin_33939380的博客
04-20 248
网络攻击看来正在日益得势。几乎每一天都会听说发生了新的针对软件漏洞的攻击,要么就是出现了一个更有效的散布垃圾邮件的方法(我的收件箱可以证明这一点),或者就是某公司或政府机构的敏感个人数据被窃这种轰动一时的事件。实现安全计算是一个永恒的挑战。我们并不缺乏挫败狡猾的黑帽黑客的技术,但他们仍然在不断地成功入侵一个又一个系统和网络。 每一类安全问题都有对应的开源解决方案或专有的解决方案。在网络入侵检测系...
Web攻防之业务安全实战指南pdf版
最新发布
qq_74910456的博客
09-21 294
技 术篇和实践篇选取 的内容都是这些白帽子多年在电商、金融、证券、保险、游戏、社交、 招聘、O2O等不同 行业、不同的业务系统存在的各种类型业务逻辑漏洞进行安全测试总结 而成的,能够帮助 读者理解不同行业的业务系统涉及的业务安全漏洞的特点。具体来说, 技术篇主要介绍登 录认证模块测试、业务办理模块测试、业务授权访问模块测试、输入/ 输出模块测试、回 退模块测试、验证码机制测试、业务数据安全测试、业务流程乱序测 试、密码找回模块测 试、业务接口模块调用测试等内容。pwd=gbq9 提取码: gbq9。
默认Iptables防火墙规则的小实验[附脚本]
weixin_34343689的博客
09-16 161
我们用Michael Rash《Linux Firewalls: Attack Detection and Response with iptables, psad, and fwsnort 》中提到默认Iptables防火墙的配置脚本,来说明问题。 关于官方默认的防火墙模板配置脚本,有兴趣的话请到:http://www.cipherdyne.org/LinuxFir...
Can‘t locate XXX/XXX.pm in @INC (you may need to install the XXX::XXX module)
热门推荐
m0_48701995的博客
08-30 1万+
Can't locate XXX/XXX.pm in @INC (you may need to install the XXX::XXX module)
linux】Can‘t locate YAML.pm in @INC (you may need to install the YAML module)
weixin_43693967的博客
03-02 1907
【Ubuntu】Can't locate YAML.pm in @INC (you may need to install the YAML module)
Linux防火墙中文PDF:iptables、psad与fwsnort指南
4. **fwsnort的集成与部署**:涉及如何将fwsnort与iptables结合使用,增强网络安全防御能力,以及如何解析和处理入侵检测事件。 5. **实战案例分析**:提供了实际环境中配置和应对防火墙策略的示例,帮助读者理解和...
[Linux防火墙].(Linux.Firewalls.Attack.Detection.and.Response.with.iptables,.psad,.and.fwsnort)(美)拉什.中文高清PDF版1.pdf
12-23
书中全面阐述了iptables防火墙,并详细讨论了如何应用psad、 fwsnortfwknop 3个开源软件最大限度地发挥iptables检测和防御攻击的效力。大量真实例子以及源代码更有助于读者理解安全防御的原理、技术和实际操作。 ...
[Linux防火墙](美)拉什.中文高清PDF版
11-30
Linux.Firewalls.Attack.Detection.and.Response.with.iptables,.psad,.and.fwsnort
报错:Can‘t locate Switch.pm in @INC
weixin_44808352的博客
11-24 1826
注意:https://www.cpan.org/src获取最新偶数版本下载链接并替换(偶数版本为稳定版)报错内容:Can’t locate Switch.pm in @INC。2、configure,指定安装目录和使用的编译器(icc)备注:使用默认的cc编译器时可能会报错。参考和摘抄了@童心同萌的。报错原因:缺少perl
报错Can‘t locate Fasta_reader.pm in @INC (you may need to install the Fasta_reader module)
weixin_54434521的博客
02-13 1346
使用trinity中的run_DE_analysis.pl进行差异分析时,出现Can't locate Fasta_reader.pm in @INC (you may need to install the Fasta_reader module)报错 出错原因,安装了python包 Fasta_reader但perl找不到 尝试解决 1.pip install Fasta_reader 下面会返回Fasta_reader安装位置,在安装位置处找到Fasta_reader的文件 运用代码ru
Web攻防之业务安全指南(网盘下载)-附件资源
03-05
Web攻防之业务安全指南(网盘下载)-附件资源
【Error】 perl:Can‘t locate open.pm in @INC (you may need to install the open module) (@INC contains
think_ycx的专栏
05-13 6531
本来就是火焰图不熟悉,perl的bug更是火上浇油 报错: $ ./flamegraph.pl perf.folded > perf.svg Can't locate open.pm in @INC (you may need to install the open module) (@INC contains: /usr/local/lib64/perl5 /usr/local/share/perl5 /usr/lib64/perl5/vendor_perl /usr/share/pe...
Can't locate Config/IniFiles.pm
harry_helei的专栏
12-13 4942
Ubuntu14.04首次执行perl脚本时,报错误如下: Can't locate Config/IniFiles.pm in @INC (you may need to install the Config::IniFiles module)错误提示,显示的指出是Config::IniFiles模块未安装,于是执行命令: perl -MCPAN -e 'install Config::
can‘t locate SVN/Core.pm in @INC (you may need to install the SVN::Core module)
Android唐浮的专栏
08-16 1748
在用sourceTree时,提交或拉取代码时提示错误: can't locate SVN/Core.pm in @INC (you may need to install the SVN::Core module) (@INC contains: /usr/local/git/lib/perl5/site_perl/5.18.2/darwin-thread-multi-2level /usr/local/git/lib/perl5/site_perl/5.18.2 /usr/local/git/lib/pe
【Web攻防之业务安全实战指南】第8章 回退模块测试
qq_45196785的博客
10-10 261
很多Web业务在密码修改成功后或者订单付款成功后等业务模块,在返回上一步重新修改密码或者重新付款时存在重新设置密码或者付款的功能,这时如果能返回上一步重复操作,而且还能更改或者重置结果,则存在业务回退漏洞。对于业务流程有多步的情况,如修改密码或重置密码等业务,首先判断该步骤的请求是否是上一步骤的业务所发起的,如果不是则返回错误提示或页面失效。查看json,当前密码为user1,回退可再次进行修改密码。首先按照正常流程更改密码,修改后密码:user1。8.1.1 测试原理和方法。8.1.3 修复建议。
【Web攻防之业务安全实战指南】第7章 输入/输出模块测试
qq_45196785的博客
10-08 135
每个提交信息的客户端页面、通过服务器端脚本(JSP、ASP、ASPX、PHP等)生成的客户端页面、提交的表单(FORM)或发出的链接请求中包含的所有变量,必须对变量的值进行检查,过滤其中包含的特殊字符,或对字符进行转义处理。测试方法分为报错型、延时型、盲注型、布尔型等。每个提交信息的客户端页面、通过服务器端脚本(JSP、ASP、ASPX、PHP等)生成的客户端页面、提交的表单(FORM)或发出的链接请求中包含的所有变量,必须对变量的值进行检查,过滤其中包含的特殊字符,或对字符进行转义处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值