snort 研究
首先是windows 安裝
下載兩個安裝包
先照著這個看能不能做出一點來
https://www.jianshu.com/p/d8ca2e8c0858
搞了半天版本直接把這個database out 刪除了,而且
一個是snort
還有一個規則什麼的
首先下載的是snrot 2_9_20
下載 npcap -1.171
下載規則
因為我的版本是2.9所以規則也是2.9
snortrules-snapshot-2983.tar
然後找到snort/etc/snort.conf
進行備份snort_back.conf
找到配置文件
修改路徑
var RULE_PATH c:\snort\rules
var SO_RULE_PATH c:\snort\so_rules
var PREPROC_RULE_PATH c:\snort\preproc_rules
dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor
dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll
preprocessor http_inspect: global iis_unicode_map c:\snort\etc\unicode.map 1252
注釋規則
設置正確的完整路徑
然後是snort 的基本命令
c:\Snort\bin>snort -W
网卡正在工作及该网卡的详细信息
https://blog.csdn.net/TH_DL/article/details/106864111#
https://orangey.blog.csdn.net/article/details/122619481
https://www.jianshu.com/p/ff23ec6d8a8c
https://www.cnblogs.com/coder2012/archive/2013/04/13/3012390.html
https://blog.csdn.net/ptmozhu/article/details/78743126
https://marc.info/?l=snort-users&m=148580133932078&w=2
這裡看這兩個文章
https://orangey.blog.csdn.net/article/details/122619481
http://blog.chinaunix.net/uid-10547026-id-3456806.html
嘗試自己寫一些規則,然後做一些自己寫一些攻擊
這裡先寫了一個簡單的檢測規則
這裡有個核心的模式匹配的文章
字符匹配的算法
KMP算法
BM算法
AC算法
正則表達式
https://dengbocong.blog.csdn.net/article/details/105500652
https://blog.csdn.net/DBC_121/article/details/105569440
https://blog.csdn.net/xlxxcc/article/details/64132409
cd C:\snort\bin
snort –A full -i4 -dve -l c:\snort\log -K ascii -c c:\snort\etc\snort.conf
首先是收集端口信息
那麼就有SCAN 掃描
对短时间重复出现的内容
使用匹配检验字符和窗口大小
Flag:S ACK:0 win:0x400 短时间多次出现 threshold
alert tcp any any -> $HOME_NET any (msg:“ET SCAN NMAP -sS window myself”; fragbits:!D; flags:S,12; ack:0; window:0x400; threshold: type both, track by_dst, count 1, seconds 60; classtype:attempted-recon; sid:20221212;rev:1;)
dvwa 默认账号密码是admin password
http://192.168.240.131:8080/