Snort规则定义与测试

于 2025-03-22 17:10:03 发布
阅读量1k 收藏 25
点赞数 25
分类专栏: 入侵检测 文章标签: 网络 ubuntu linux 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72892640/article/details/146442599
版权

目录

一、实验环境

二、实验内容

步骤一  Snort规则的基本语法和构成

        步骤二  创建自定义本地规则集测试Snort

         步骤三  配置Snort 3的日志输出并测试

一、实验环境

攻击机:kali2022  IP:192.168.127.124

靶  机:Ubuntu22.04 IP:192.168.127.122

软  件:snort 版本3.6.0、ping等

二、实验内容

步骤一  Snort规则的基本语法和构成

Snort3规则的基本格式:

 <规则动作> <协议> <源IP> <源端口> —> <目标IP> <目标端口> (<规则选项>)

Snort规则由规则头部和规则选项组成:

规则头部(Rule Header):

        规则头告诉snort在什么范围内去应用规则,并且做出什么动作。

  1. 动作(Action):定义当规则匹配时采取的行动,如alert、log、pass、activate等。
  2. 协议(Protocol):指定规则适用的协议,如TCP、UDP、ICMP等。
  3. 源IP地址(Source IP Address):指定数据包的源IP地址,可以使用任何有效的IP地址或网络地址。
  4. 源端口(Source Port):指定数据包的源端口号,可以使用任何有效的端口号或范围。
  5. 方向操作符(Direction Operator):指示流量的方向,“->”表示单向流动,“<>”表示双向流动等。
  6. 目的IP地址(Destination IP Address):指定数据包的目的IP地址。
  7. 目的端口(Destination Port):指定数据包的目的端口号。

规则选项(Rule Options):

        规则选项通常包含多个关键字和对应的参数,用于定义要匹配的特定模式或特征。关键字和参数之间用冒号“:”分隔,不同的关键字之间用分号“;”分隔。

  1. msg(Message):当规则触发时显示的消息。
  2. content(Content):用于匹配数据包内容的规则选项。
  3. depth(Depth):指定content选项搜索的最大深度。
  4. offset(Offset):指定content选项开始搜索的位置。
  5. nocase(No Case):使content选项不区分大小写。
  6. flags(Flags):用于匹配TCP标志位。
  7. seq(Sequence Number):用于匹配TCP序列号。
  8. ack(Acknowledgment Number)ÿ
最低0.47元/天 解锁文章
snort 规则编写
weixin_33699914的博客
07-28 625
Snort规则分为两个部分:规则的头部和规则选项。首先,规则头部包含着规则、动作、协议、源地址和目标地址、源端口、目标端口。第二部分是规则选项,它包含着一个警告消息和某数据包有关部分的信息(如果要采取某个动作的话,就应当看一些这种信息)。 例如:alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5...
[转]如何编写snort的检测规则
heiyeluren的blog(黑夜路人的开源世界)
12-16 5083
如何编写snort的检测规则from:  http://kunming.cyberpolice.cn/aqjs/200010.html              摘要snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时
snort规则
热门推荐
qq_32350719的博客
09-19 1万+
Snort规则被分成两个逻辑部分:规则头和规则选项。 规则头包含规则的动作,协议,源和目标ip地址网络掩码,以及源和目标端口信息; 规则选项部分包含报警消息内容和要检查的包的具体部分。 1. 规则规则动作 在snort中有五种动作:alert、log、pass、activate和dynamic. Alert:使用选择的报警方法生成一个警报,然后记录(log)这个包。 Alert动作用来在一个...
入侵检测IDS学习--snort规则
程序狗的成长之路
07-24 5831
1.入侵检测的检测引擎就是通过对规则选项的分析构成了Snort 检测引擎的核心。选项主要可以分为四类, 第一类是数据包相关各种特征的描述选项,比如:content、flags、dsize、ttl等; 第二类是规则本身相关一些说明选项,比如:reference、sid、classtype、priority等; 第三类是规则匹配后的动作选项,比如:msg、resp、react、session、l
网络入侵检测--Snort软件规则编写
小人物的编程
11-11 7506
翻译了一下snort规则说明部分,比较粗略,后续再更新补充一下
入侵检测系统Snort v3.0-snort3-community-rules.tar.gz规则文件
12-09
Snort规则文件由一系列规则组成,每条规则定义了一个特定的检测条件,包括但不限于以下部分: 1. **规则头(Rule Header)**:定义规则的基本属性,如协议(TCP、UDP或ICMP等)、源IP和目标IP地址(可以使用...
入侵检测系统Snort v2.9-community-rules.tar.gz规则文件
12-09
Snort规则文件的结构通常包括以下几个部分: 1. **ID**:每个规则都有一个唯一的ID,用于标识规则的目的和重要性。 2. **Action**:定义了当规则匹配时Snort应采取的操作,如警报、阻止或记录事件。 3. **Protocol*...
信息安全 | 威胁特征规则介绍编写:Snort规则
.
09-10 1863
Snort规则 Snort是一个轻量级的网络入侵检测系统。具有实时数据流量分析日志IP网络数据包捕获的能力,能够进行协议分析,对内容进行搜索/匹配。通过编写规则文件,能够检测各种不同的攻击方式,对攻击进行实时告警。 支持平台 Windows,Linux和Mac OS 参考文档 wangan.com/docs/snortnet 规则组成 规则规则行为 协议类型 源/目的IP地址 子网掩码 方向操作符 源/目的端口 规则选项 告警信息 异常数据的信息(特征码、signature)
dalton:Suricata和Snort IDS规则和pcap测试系统
05-13
Dalton是一个系统,该系统允许用户使用定义规则集和/或定制规则针对自己选择的入侵检测系统(“ IDS”)传感器(例如Snort,Suricata)快速轻松地运行网络数据包捕获(“ pcaps”)。 道尔顿还为提供了一个类似于...
snort 规则
09-20
snort规则 ,入侵,嗯,download把,第一个 是为了要下载window snort安装用的,
snort规则
05-10
安装 snort规则所需要的snortrules-snapshot-2900.tar.gz
snort规则
05-23
snort规则库,好用的东东哦。我找了很久的。
snort2.9.12规则
02-10
snort规则库,针对snort2.9.12版本,未包含black_list.rules和white_list.rules,需要者自行创建空文档即可
Snort-Rules:Snort 23条规则的集合
05-11
Snort规则 描述 Snort 2和3规则很不错。 包括社区版和另一个Github存储库的快照克隆。 喷鼻息2 为了易于使用,该存储库已存储在snortrules-snapshot-2972.zip中。 还有公共版本的snort2-community-rules.tar。 喷鼻息3 社区规则的公共版本snort3-community-rules.tar。
编写snort规则检测网络攻击
guansheng123的博客
02-23 5798
Snort 规则被分成两个逻辑部分:规则头和规则选项。 规则头包含规则的 动作,协议,源和目标 ip 地址网络掩码,以源和目标端口信息; 规则选项 部分包含报警消息内容和要检查的包的具体部分。 Alert:使用选择的报警方法生成一个警报,然后记录(log)这个包。 Alert 动作用来在一个包符合规则条件时发送告警消息。告警的发送有多种方式, 例如可以发送到文件或者控制台。 Snort 当前分析可疑包的 ip 协议有四种: tcp 、 udp、 icmp 和 ip。...
Snort Rules规则
qq_44465615的博客
04-27 1216
Writing Snort Rules 来源 https://paginas.fe.up.pt/~mgi98020/pgr/writing_snort_rules.htm 基础 Snort使用一种简单,轻量级的规则描述语言,该语言灵活且强力。在开发Snort规则时,需要遵守以下准则:1)首先,Snort规则必须完全包含在一行上,因为Snort规则解析器不知道如何处理多行上的规则Snort规则被分为两个逻辑部分,规则头和规则选项。规则头包含规则的操作、协议、源和目标IP地址和网络掩码,以及源和目标端口信息
Snort规则编写
goldfish8848的博客
05-11 1447
HTTP_PORTS 是一个可选的变量,表示你想要监控的端口范围,但在此场景下,由于NULL扫描是针对任意端口的,所以你可能需要自定义一个端口范围或简单地使用any。如果端口开放,目标主机会回应一个SYN-ACK包,但扫描者通常不会回应这个包,因为它只是想要检测端口是否开放,而不是建立连接。扫描者发送一个TCP SYN包到目标主机的某个端口,但不设置任何TCP标志位(即flag为NULL)。seq:0 和 ack:0 表示只匹配序列号(seq)和确认号(ack)都为0的TCP包。
如何利用Scapy测试Snort规则?
最新发布
11-14
Scapy是一个强大的Python网络数据包处理库,它可以用于创建、发送和解析网络数据包,包括IP、TCP、UDP等协议。要利用Scapy测试Snort规则,首先你需要了解Snort是一种网络入侵检测系统,它通过分析数据包来识别可疑模式。 以下是使用Scapy配合Snort规则的基本步骤: 1. **安装必要的库**: 安装`scapy`库,你可以使用pip命令:`pip install scapy` 2. **获取样本数据**: 创建或找到一些包含特定模式的数据包,这些可能是你想测试的潜在攻击流量。例如,如果你有一个Snort规则针对HTTP GET请求,你可以构造这样的数据包。 3. **理解规则**: 确定你要测试Snort规则ID和其定义的条件,比如某个端口、特定的协议标志符等。 4. **模拟攻击**: 使用Scapy构建一个数据包,让它匹配Snort规则中的条件。比如,如果规则是检查HTTP GET请求到80端口,你可以创建一个`IP / TCP`数据包,源地址和目标地址设置为实际的IP地址,然后使用` Ether(src=src_ip, dst=dst_ip) / IP(src=src_ip, dst=dst_ip, ttl=64, proto=inet) / TCP(sport=80, dport=80, flags="S")`这样的构造。 5. **应用规则**: 读取Snort规则文件(通常以`.rules`结尾),然后使用Scapy的`sniff`函数捕获数据包,并用你的规则文件来解析它们。这一步会检查数据包是否触发了规则。 ```python from scapy.all import * # 假设我们有如下的规则: # alert tcp any any -> any any (msg:"HTTP GET"; flow:to_server;) # 创建一个符合规则的数据包 packet = IP(dst="target_ip")/TCP(sport=1024, dport=80, flags="S", seq=100, ack=1000)/"GET / HTTP/1.1" # 模拟嗅探并检查是否匹配规则 result = sniff(filter="alert http", lfilter=lambda x: x.haslayer(TCP), count=1, prn=lambda packet: print(packet))
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

christine-rr

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值