国科大网络协议安全大作业——分析流量并使用Snort规则进行检测_snort检测pcap中的恶意流量

最新推荐文章于 2024-06-16 16:08:24 发布
最新推荐文章于 2024-06-16 16:08:24 发布
阅读量557 收藏 10
点赞数 7
分类专栏: 2024年程序员学习 文章标签: 网络协议 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61067876/article/details/137435389
版权

sudo apt-get update
sudo apt-get install -y snort

出现这个界面,是选择监听的网络块,保持默认,使用方向键,然后点击OK

使用以下代码查看snort是否安装成功

snort -V

可以看到snort安装成功

四、 重点关注malware.pcap中的HTTP流量

参考以下链接学习如何导出可疑流量,然后放入检查网站检测是否是病毒

Wireshark Tutorial: Exporting Objects from a Pcap

4.1 筛选出http的请求流量

4.2 导出http的请求流量

4.3 选择全部导出

4.4 选择保存位置

4.5 通过VirusTotal鉴别文件是否是病毒

网站:VirusTotal

可以看到众多病毒检测网站都认为这个文件是一个病毒文件

4.6 回过头来再分析

最低0.47元/天 解锁文章
m0_61067876
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
snort-sort.zip_Snort 安全检测
09-24
入侵检测(Intrusion Detection),它通过对计算机网络或计算机系统得若干关键点收集信息并对其进行分析,从发现网络或系统是否有违反安全策略的行为和被攻击的迹象
27了解网络安全防护工具 Snort 的基本用法,包括数据捕获、报警
玩机科技社的博客
05-29 5027
要编写自己的规则,可以编辑/etc/snort/rules/local.rules文件并添加规则。此命令将在eth0接口上启动Snort,并使用/etc/snort/snort.conf配置文件和/var/log/snort/目录来存储日志文件。其,-c 参数指定 Barnyard2 的配置文件,-d 参数指定 Snort 日志的存储路径,-f 参数指定 Snort 日志文件的名称。总之,Snort是一款非常强大的网络入侵检测系统,可以帮助网络管理员及时发现潜在的安全威胁,并采取相应的措施进行防御。
网络安全实验Snort网络入侵检测实验
12-16
网络安全实验Snort网络入侵检测实验
malware:这是一个恶意软件分析项目,期望通过恶意网络流量生成snort规则
07-04
动态恶意软件分析这是一个恶意软件分析项目,期望通过恶意网络流量生成snort规则需求包 :用于创建沙箱。 : 用于解析网络数据包。 : 用于向发送请求VirtualBox的隔离环境拍摄快照(手动) 将恶意软件复制到虚拟机...
入侵检测系统Snort v3.0-snort3-community-rules.tar.gz规则文件
12-09
入侵检测系统Snort v3规则文件,Talos Rules 2022-12-08
计算机网络(6) UDP协议
qq_42761215的博客
06-14 536
UDP协议因其简单、高效、低延迟的特点,在实时性要求高的应用场景被广泛采用。然而,由于其不可靠传输的特性,在需要确保数据完整性和顺序的场景,TCP则更为适用。UDP和TCP各有优劣,选择哪种协议取决于具体应用的需求。
计算机网络 —— 应用层(应用层概述及服务方式)
qq_67693066的博客
06-13 1002
计算机网络 —— 应用层(应用层概述及服务方式)
流媒体传输协议HTTP-FLV、WebSocket-FLV、HTTP-TS 和 WebSocket-TS的详细介绍、应用场景及对比
大唐锦绣的博客
06-12 795
HTTP-FLV、WS-FLV、HTTP-TS 和 WS-TS 是针对 FLV 和 TS 格式视频流的不同传输方式。它们通过不同的协议实现视频流的传输,以满足不同的应用场景和需求。接下来我们对这些流媒体传输协议进行剖析。
网络编程】基于UDP的服务器端/客户端
2301_79867980的博客
06-13 775
UDP可看作是信件邮寄,邮寄过程可能会信件丢失,是一种不可靠的数据传输服务。但UDP性能更高,实现更加简洁。流控制是区分UDP和TCP的最重要标志。IP的作用就是让离开主机B的UDP数据包传递给主机B,UDP根据端口号将传到主机的数据包交付给最终的UDP套接字。
SylixOS下UDP组播测试程序
ScilogyHunter的博客
06-13 404
udp组播发送测试程序。udp组播接收测试程序。
计算机网络 | 第三章 数据链路层 | 王道考研自用笔记
喜欢数学建模的大一小白
06-13 1054
计算机网络 | 第三章 数据链路层 | 王道考研自用笔记
计算机网络网络层 - IP数据报的转发
盒马的博客
06-15 1004
讲解计算机网络网络层,数据报是如何在路由器转发的
Android WebSocket长连接的实现
Billy_Zuo的博客
06-12 1478
WebSocket 协议在2008年诞生,2011年成为国际标准。所有浏览器都已经支持了。它的最大特点就是,服务器可以主动向客户端推送信息,客户端也可以主动向服务器发送信息,是真正的双向平等对话,属于[“服务器推送技术”]的一种。WebSocket的特点包括:建立在 TCP 协议之上,服务器端的实现比较容易。与 HTTP 协议有着良好的兼容性。默认端口也是80和443,并且握手阶段采用 HTTP 协议,因此握手时不容易屏蔽,能通过各种 HTTP 代理服务器。支持双向通信,实时性更强。
【计算机网络】[第三章:数据链路层][自用](需要重新排版)
最新发布
qq_52329915的博客
06-16 817
(1)链路和数据链路层:(3)和。
网络编程(三)UDP TFTP协议
weixin_44254079的博客
06-13 501
网络编程 UDP TFTP
WebSocket 快速入门 与 应用
qq_43457850的博客
06-12 1300
WebSocket 是一种在 Web 应用程序实现实时、双向通信的技术。它允许客户端和服务器之间建立持久性的连接,以便可以在两者之间双向传输数据。
网络协议
怨行客
06-12 595
无论是什么 RPC,底层都是 Socket 编程。
snort使用协议检测arpspoof攻击的原理
06-01
ARP Spoofing 攻击是一种常见的网络攻击,攻击者可以通过发送虚假的 ARP 响应包来欺骗目标主机和网关之间的 ARP 缓存,从而实现间人攻击。为了检测 ARP Spoofing 攻击,可以在 Snort 编写规则检测 ARP 协议的异常行为。 具体来说,可以通过编写如下的 Snort 规则检测 ARP Spoofing 攻击: ``` alert arp any any -> any any (msg:"ARP Spoofing Detected"; arp:reply; threshold: type both, track by_src, count 5, seconds 10; sid:100004; rev:1;) ``` 该规则的含义是,当 Snort 检测到任意源地址和任意目的地址之间发生的 ARP 响应包,且连续 5 次发生在 10 秒内,则触发警报,提示可能发生了 ARP Spoofing 攻击。 这里使用Snort 的一些关键字和选项,例如 "alert" 表示触发警报,"arp:reply" 表示检测 ARP 响应包,"threshold: type both, track by_src, count 5, seconds 10;" 表示设置阈值,当连续发生 5 次 ARP 响应包且在 10 秒内,则触发警报,"sid" 表示规则的唯一标识符。 具体原理是,当攻击者进行 ARP Spoofing 攻击时,会发送虚假的 ARP 响应包,从而欺骗目标主机和网关之间的 ARP 缓存。Snort检测到 ARP 响应包时,会提取其的关键信息,如源 IP 地址、目的 IP 地址、源 MAC 地址、目的 MAC 地址等,并与规则定义的匹配条件进行比对,如果匹配成功,则触发警报。 通过编写这样的规则,就可以有效地检测 ARP Spoofing 攻击,帮助管理员及时发现和防范网络攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值