Snort预处理插件HelloWorld程序开发

最新推荐文章于 2024-01-26 22:07:58 发布
VIP文章 最新推荐文章于 2024-01-26 22:07:58 发布
阅读量1.5k 收藏 5
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/imba_09/article/details/95357868
版权

文章结构

  • 1,预处理插件开发注意
  • 2,开发步骤
  • 3,DPX介绍
  • 4,附录:代码
  • 5,参考文献

预处理器开发注意

Preprocessors perform some function once for each packet. This is different from detection plugins, which are accessed depending on the standard rules. When adding a plugin to the system, be sure to add the “Setup” function to the InitPreprocessors() function call in plugbase.c!

注意:本文的Snort版本是2.9.13。

预处理器对每一个数据包只执行一次,它不同于检测插件(检测插件的获取依赖于基本规则 rules).当我们给Snort添加预处理插件的时候,请务必将"Setup"函数添加到plugbase.c源文件中的**InitPreprocessors()**函数中去。

注意:上面是Snort源文件中spp_template.c (预处理器模板)中的注释,这个注释的版本没有及时更新,原文中的InitPreprocessors( ) 函数已经被替换成了 RegistPreprocessors( )

开发步骤

编写过程简述:
  1. 根据spp_template.c里面的内容修改spp_template.cspp_template.h
    (1) 将这两个文件名称修改为spp_hello.cspp_hello.h
  2. 修改spp_hello.c函数
    (1) SetupHello
    (2) HelloFunction
  3. 修改spp_hello.h函数
    (1) 声明SetupHello
  4. 修改plugbase.c函数
    (1) #include preprocessors/spp_hello.h
    (2) RegistProcesser函数中调用SetupHello
  5. 修改preprocids.h
    (1) #define PP_MAX 38
    (2) #define PP_HELLO 37
    对新增的解码类型自己定义的标志
  6. 修改Makefile.am,并在根目录运行automake命令
  7. make, make install 直接覆盖已安装的snort
  8. 修改/etc/snort/snort.conf
  9. 测试:snort -dev -c /etc/snort/snort.conf

过程中出现的问题:
1- aumake版本的确定
a) 查看源代码目录下的文件Makefile
Makefile.in generated by automake 1.16.1 from Makefile.am
b) 版本为automake1.16.1

2- 预处理插件被加载而且初始化完成,但是预处理插件主函数不工作
a) 原因是新版本的Snort新增加了session_api->enable_preproc_all_ports
加入这一行代码后,预处理器运行正常

3-安装完之后需要配置Snort
每个预处理器都在snort.conf中进行单独配置,如果不配置就不能使用

preprocessor Hello

4-关于Snort的安装
请参考Snort官网给出的学习文档(很好用哦)或者网上的一些参考资料
( p.s.这里就是懒一下,或许我以后会补上来)

5-关于spp_template文件的一些说明

详情请参考spp_template.c中的注释。

由于这里只是实现了比较简单地在控制台打印语句的HelloWolrd程序,所以像参数鸡西函数ParseTemplateArgs等等就没有使用。
改名:

原名 新名 修改
spp_tempalte.h spp_hello.h 添加SetupHello函数的声明
spp_tempalte.c spp_hello.c
TemplateInit HelloInit 添加初始化操作,通过调用AddFuncToPreprocList 将PreprocHello、PreprocCleanExitHello、PreprocRestartHello注册给系统
SetupTemplate SetupHello 调用RegisterPreprocessor 将此插件的初始化函数HelloInit注册给系统
ParseTemplateArgs xxxx 添加对参数的处理操作
PreprocFunciton HelloFunction 加入预处理逻辑代码
PreproCleanExitFunction xxxx 添加插件退出时的清理操作
PreproRestartFunction xxxx 添加插件重启时的操作。(不常用,空操作)

运行结果&#x

最低0.47元/天 解锁文章
turato
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
linux snort centos搭建入侵检测系统snort及问题总结与解答
Sustai的博客
07-18 7049
有志者事竟成,做实验的时候多加耐心,学会灵活变通,欢迎交流。
Snort平台下检测插件技术的研究与实现
10-10
是一篇关于snort插件技术开发的论文,介绍了如何二次开发snort
Snort-2.9.13-插件开发步骤.docx
07-08
Snort-2.9.13的预处理插件开发步骤以及遇到的问题,自己学习snort的时候写的。是预处理插件开发HelloWorld程序。
snort+base搭建IDS***检测系统
weixin_33994444的博客
11-18 464
snort 是一个基于libpcap的数据包嗅探器并可以作为一个轻量级的网络***检测系统( NIDS)。所谓的轻量级是指在检测时尽可能低地影响网络的正常操作,一个优秀的轻量级的NIDS应该具备跨系统平台操作,对系统影响最小等特征并且管理员能够在短时间内通过修改配置进行实时的安全响应,更为重要的是能够成为整体安全结构的重要成员。 IDS: IDS是英文“Int...
构建基于Snort+Splunk的IDS系统
最新发布
李晨光原创IT博客
01-26 774
本文详细介绍了如何通过Splunk来分析Snort日志。
Linux平台下智能入侵检测系统设计与实现
qq1744828575的博客
11-16 656
入侵检测是计算机从网络中获取接收的数据,然后对收集到的信息对其检测[1]。如有发现对主机用户有威胁的攻击和入侵现象,则系统会通过软硬件结合的方式,主动的为主机提供全方位的保护。在众多的入侵检测安全管理工具中,Snort是目前最主流和具有应用前景的系统。1.1入侵检测系统概念入侵检查是对防火墙(防火墙)的合理补充,可以帮助系统应对网络攻击,并扩展了系统管理员的安全管理功能(包括安全审核,监视,攻击识别和响应),以增强信息安全基础架构的完整性。
snort预处理开发实战
无名J0kзr的博客
06-02 677
文章目录参考杂重要的数据结构 _Packet 参考 Snort源码分析报告(持续更新) 《Snort 入侵检测系统源码分析–独孤九贱》 杂 在成功写出一个HelloWorld预处理器之后就可以考虑怎么去实现想要的功能了 snort预处理开发HelloWorld 这部分内容需要对源码有一定了解,所以建议结合一些源码分析的相关书籍来看 另外看源码的话我是在CLion上看的,这种工作还是有个牛逼的...
snort预处理开发HelloWorld
无名J0kзr的博客
04-15 1155
文章目录参考1. 预处理器回顾2. README.PLUGINS3. spp_template.c 参考 Snort预处理插件HelloWorld程序开发 Snort预处理器介绍(详细) 本专栏所有相关博文使用的snort版本均为 2.9.15 1. 预处理器回顾 预处理器在Snort应用规则前处理接收到的数据 预处理器对每一个数据包只执行一次 被捕获的数据包首先经过预处理器,然后经过探测引擎根...
Snort,Apache,MySQL,PHP及ACID构建高级IDS
xnix相关的收藏
08-25 1740
基于Snort的入侵检测系统   用Snort,Apache,MySQL,PHP及ACID构建高级IDS第一章              入侵检测系统及Snort介绍在当今的企业应用环境中,安全是所有网络面临的大问题。黑客和入侵者已成功的入侵了一些大公司的网络及网站。目前已经存在一些保护网络架构及通信安全的方法,例如防火墙、虚拟专用网(VPN)、数据加密等。入侵检测是最近几年出现的相对较新的网络安
snort2.9.3预处理插件步骤整理修改版
09-08
snort2.9.3预处理插件步骤整理,去年本人根据以前开发经验在百度上上传过一份,后有人提出测试不通过,后发现在百度文库上传时忽略了第八步中关于makefile的修改,故重新再将修改后的提交。如果有什么问题可以继续联系。欢迎交流!
Snort-ModSec-PreProc:Snort预处理程序以解析ModSecurity Core RuleSet
05-23
Snort预处理程序以解析ModSecurity Core RuleSet 概念验证项目开始将ModSecurity转换为嗅探器模式,并具有Snort内联功能,可在数据包与攻击特征匹配后丢弃数据包。 因此,有效负载不应能够到达目标并到达第5层及更...
终止恶意行为——安装Snort Guardian
08-11
绍终止恶意行为——安装Snort Guardian步骤
Snort 2.9.8.2预处理开发文档
05-30
Snort 2.9.8.2预处理器详细开发文档 包含了如何新增报警信息说明
centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总
热门推荐
WillWinwin
12-19 1万+
一、基本环境 虚拟机工具:Vmware Workstation Pro 12 Centos版本:CentOS-7-x86_64-Minimal-1511 Snort版本:snort-2.9.9.0 Barnyard2版本:barnyard2-1.9 Base版本:base-1.4.5二、IDS系统搭建 1、安装wget工具[root@localhost alankong]# yum in
Snort框架分析
ljl1704的专栏
01-07 1221
下面是snort2.0的框架分析,相比snort之后的版本,其结构比较简单、更容易学习和理解,其次是 本人对此版本相对比较熟悉一些,可以为初次接触和学习snort的朋友提供帮助,能够快速整体全局性地 了解snort的基本框架。下面从四个方面展开描述。 一、snort插件 snort中的插件有3类,输出插件预处理插件,规则选项检测插件 插件的好处: 灵活地选择使用哪些功能 开发人员很容易开发第三方插件,易于扩展。 1、输出插件 InitOutputPlugins //输出插件初始化函数注册 1) 注册过.
基于Snort的入侵检测系统_相关论文
carakia的博客
07-22 3894
摘 要 随着网络技术的发展,中小型企业已建设了属于自己的信息化业务平台与系统。中小型企业只有实现信息互通,资源共享,才能够在当今的竞争中生存下去,但信息的互通会面临一些安全问题,对此需要对其采取一些措施来进行防范。 对于过去的网络而言,它相对于封闭,因此具有良好的安全性,使用简单的安全性设备就能够防范黑客的非法入侵。现如今,由于恶意病毒的散布、敏感信息泄露、垃圾邮件非法轰炸等一些网络安全威胁...
基于Snort的入侵检测系统 1-2
02-11 6064
    基于Snort的入侵检测系统   用Snort,Apache,MySQL,PHP及ACID构建高级IDS第一章    入侵检测系统及Snort介绍在当今的企业应用环境中,安全是所有网络面临的大问题。黑客和入侵者已成功的入侵了一些大公司的网络及网站。目前已经存在一些保护网络架构及通信安全的方法,例如防火墙、虚拟专用网(VPN)、数据加密等。入侵检测
snort无法定位程序输入点packetGetNetInfo于动态链接库packet.dll
05-29
这个问题通常是由于packet.dll文件缺失或者版本不匹配导致的。...4. 如果以上步骤都无法解决问题,可以尝试重新安装snort程序或者在其他计算机上测试snort程序是否能够正常运行。 希望以上方法能够帮助您解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值