流量检测学习与snort工具使用记录

已于 2022-08-30 17:18:12 修改
阅读量656 收藏 4
点赞数 1
分类专栏: 网络安全 数据分析 文章标签: 学习 数据库 服务器
于 2022-08-26 14:50:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35076836/article/details/126543425
版权

snort相关命令

查看本机网卡   snort -w
启动snort     snort -c d:/Snort/etc/snort.conf  -l  日志目录\log   -i 网卡序号
                    -A  console      打印告警到屏幕上
                    -s               向syslog发送警报
嗅探器模式:                   
 snort  -v   只展示 IP and TCP/UDP/ICMP 头,
 snort  -vd  带包数据
 snort  -vde  数据链路层信息
 
数据包记录器模式: 
 snort -dev -l ./log

告警格式
[116:56:1]
第一个数字 生成ID
第二个数字 snortID
第三个数字 revisionId

配置文件关注:

  1. 规则文件存放路径
  2. 本机,外部地址
  3. 黑白名单路径等

常见端口:

139 端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。
1433,1434端口是SQL Server默认的端口

数据库爆破记录
pg数据库外部主机访问不到:
问题原因: 这是在远程连接时pg_hba.conf文件没有配置正确。pg_hba.conf文件在Postgre安装文件目录下的data文件夹中。
需要在pg_hba.conf添加一条关于此用户的信息
host all all hostID/32 md5
32是子网掩码的网段;md5是密码验证方法,可以改为trust

洪泛攻击记录
ping命令发送big包

ping -s 65500 xx.xx.xx.xx   # -s表示发送多大的包 后面接地址

检测规则

alert icmp any any -> $HOME_NET any ( msg:"SYN"; dsize:>500; classtype:denial-of-service; sid:2;)     # classtype  属于尝试拒绝服务攻击类

TCP协议

1、SYN表示建立连接,
2、FIN表示关闭连接,
3、ACK表示响应,
4、PSH表示有 DATA数据传输,
5、 RST表示连接重置。
入侵检测软件Snort使用实验
weixin_30755393的博客
03-13 2507
1.安装和配置 IDS 软件 Snort并查看网卡信息 从返回的结果可知主机上有哪个物理网卡正在工作及该网卡的详细信息。图中显示此计算机只有1个网卡,且该网卡具有物理地址。 2.输入 snort –v –i1命令启用 Snort并捕捉到一些流量 3. 配置snort 3.1打开 snort配置文件, 设置 Snort 的内部网络和外部网络网络检测范围。将 Snort.conf 文件...
Web流量检测与绕过(基于Snort规则)
qq_42882717的博客
02-25 1192
Web流量检测与绕过SnortSnort概述Snort规则学习Snort规则编写流量特征处理消除流量特征检测特征是否消除实战 Snort 我在上一篇博客已经讲述,如何进行windows xp下的Snort+mysql配置,其余的windows系统也大差不差。 本章节主要内容是Snort规则的学习与编写,这样我们就能通过Snort检测到许多木马了。 Snort概述 Snort是一个翻译, 他自己不会说英文(抓包),只会把听到的英文(从libpcap抓到的包)翻译成中国话说出来(分析后,展示给我们)。 Snor
网络分析工具大全详解,零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
09-13 1029
在网络管理和维护中,除了常见的网络协议分析工具如Wireshark和tcpdump外,还有许多其他重要的网络分析工具。这些工具在监测网络性能、排查故障、保障安全等方面发挥着不可替代的作用。本文将详细介绍几种常用的其他网络分析工具,帮助读者更好地理解和应用这些工具
snort流量检测软件使用的一些总结
dl425134845的专栏
09-01 787
重点是能够独立编写相关规则: alert tcp any any -> any any (msg:"Bash Shell whoami"; sid:2009580; content:"|77 68 6f 61 6d 69|";rev:11) 比如检测反弹shell的,攻击者输入whoami时才能检测出来 编写新规则的思路:分析攻击流量,从流量中提取关键字,然后添加到规则的cotent中去即可,注意sid不要冲突 snort公开规则可以到官网去下载,或者在我的个人下载资源里面下载。 h
国科大网络协议安全大作业——分析流量使用Snort规则进行检测_snort检测pcap中的恶意流量
04-16 632
可以见到上图中的virus detected ,是咱们在5.1 部分设置的规则,检测到由HOME_NET之外的网络发入HOME_NET之内的TCP请求,其content包含"pdf"即在日志中生成alert msg “virus detected”。在执行第二条指令之前,先打开一个终端,用以下命令跟踪alert文件日志的最后几行,然后再打开一个终端,执行第二条指令,这样就可以很清晰的看到变化。输出的结果如图所示,snort会帮忙扫描.pcap包中的协议类型,然后根据rules,给出相应的alert。
snort输出插件解析
wangzhicheng2013的专栏
07-28 748
snort输出插件 1 1.含义: 当snort检测到相关风险,会调用输出插件输出相关信息,例如,将告警信息发送syslog服务器或者数据库进行存储等。 2.在配置文件中定义输出插件: snort.conf可指定多个输出插件,具体格式是output 插件名:可选项信息,例如: output alert_syslog:log_auth log_alert #将告警信息发送syslog服务器 log_auth为syslog的设施 log_alert为优先事项 output log_...
syslog详解及配置远程发送日志和远程日志分类
weixin_34327223的博客
05-07 4987
1、日志协议syslog 1.1、syslog简介   完善的日志分析系统应该能够通过多种协议(包括syslog等)进行日志采集并对日志分析,因此日志分析系统首先需要实现对多种日志协议的解析。其次,需要对收集到的海量日志信息进行分析,再利用数据挖掘技术,发现隐藏再日志里面的安全问题。   Syslog再UNIX系统中应用非常广泛,它是一种标准协议,负责记录系统事件的一个后台程序,记录内容包...
入侵检测检测系统snort开源
03-19
Snort是一款广泛使用的开源入侵检测系统(Intrusion Detection System, IDS),它的主要功能是对网络流量进行实时监控,分析和警报,以发现并防止潜在的攻击和非法入侵。这款工具以其灵活性、可扩展性和社区支持而...
snort 检测nmap_Snort入侵检测系统安装与配置
weixin_39663258的博客
12-22 894
第1章Snort简介第2章软件列表第3章Snort 安装与配置第4章Snort的操作与使用第5章常见问题与解决方法第1章Snort简介Snort是一个免费的IDS(入侵监测系统)软件。它的一些源代码是从著名的tcpdump软件发展而来的。它是一个基于libpcap包的网络监控软件,可以作为一个十分有效的网络入侵监测系统。它能够监测多种网络攻击和探测,例如:缓冲器溢出攻击,端口扫描,CGI攻击,SM...
信息安全实验三:Snort入侵检测系统的配置与使用
04-09
### 信息安全实验三:Snort入侵检测系统的配置与使用 #### 实验背景及目标 本实验旨在通过实际操作,使学生能够掌握Snort入侵检测系统的配置与使用方法。实验不仅涉及Snort的基本安装与配置,还包括如何搭建一个...
国科大网络协议安全大作业——分析流量使用Snort规则进行检测_snort检测pcap中的恶意流量(1)
2401_84248681的博客
04-29 814
全称叫做packet capture,即抓到的包,被导出来,形成文件,文件就是.pcap格式,哈哈哈不是那种导出来。
Snort入侵检测工具使用指南(附软件下载)
12-24
最好的入侵检测系统(IDS)是免费的、开源的Snort工具。它拥有大量的用户,而且有商业公司Sourcefire的支持,使得Snort成为受到欢迎的入侵检测系统工具。这个工具本身是免费的。它所需要的是一些在上面运行的硬件以及安装、配置和维护的时间。
Snort与daq工具的轻量级入侵检测解决方案
标签"数据集 入侵检测 Snort"进一步强调了该文件针对的是与入侵检测相关的数据集和Snort工具使用。这表明用户在利用Snort进行数据采集和入侵检测时,需要关注数据集的收集、分析和管理,以提升检测系统的性能和...
Snort入侵检测系统简介
VN520的博客
04-12 3139
Snort IDS(入侵检测系统)是一个强大的网络入侵检测系统。它具有实时数据流量分析和记录IP网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。此外,Snort是开源的入侵检测系统,并具有很好的扩展性和可移植性。Snort使用一种简单的规则描述语言,这种描述语言易于扩展,功能也比较强大。Snort规则是基于文本的,规则文件按照不同的组进行分类,比如,文件ftp.rules包含了FTP攻击内容。
snort:工作流程及结构解析
无名J0kзr的博客
03-28 2762
文章目录参考文章CentOS 7下安装snort1. 安装mwget(可省略)2. 安装依赖3. 下载LuaJIT、daq、snort4. 安装LuaJIT、daq、snortLuaJITdaqsnort安装完成 参考文章 入侵检测系统详解(IDS) IDS入侵检测系统(snort)刚出炉滴 CentOS 7下安装snort CentOS 7下安装snort 1. 安装mwget(可省略) 为了提...
安全工具Snort
南迪叶先森
07-12 737
公粽号:黒掌 一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主! ](https://xzfile.aliyuncs.com/media/upload/picture/20190131142242-9d528b04-2520-1.png) 概要 在本文中,我们将了解Snort是什么以及如何配置它。Snort是最流行的IPS(入侵防御系统)和IDS(入侵检测系统)方法之一。 什么是SnortSnort是一个免费的、开源的网络入侵防御和检测系统。它使用基于规则的语言,执行协议分析、内容搜索/匹配,.
安全 | 开源入侵防御系统 Snort
DynmicResource的博客
06-16 3334
theme: orange 持续创作,加速成长!这是我参与「掘金日新计划 · 6 月更文挑战」的第21天,点击查看活动详情 ???? 个人主页:@青Cheng序员石头 Snort 概要 是世界上最重要的开源入侵防御系统 (IPS)。其由 Sourcefire 创始人、前首席技术官 Martin Roesch 创建,目前由Cisco开发和维护。 Snort 概要 Snort ...
Windows下手把手教Snort的安装与配置教程
热门推荐
橙留香Park的博客
02-07 1万+
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
Snort命令行参数
bobozai86的博客
07-26 2644
Snort采用命令行方式运行。格式为:snort   -[options]   <filters>。options为选项参数;filters为过滤器。其主要的选项参数如下: -A:选择设置报警模式。报警模式用来设置报警数据的详细程度。可用的模式有full、fast、console、unsock和none。full模式是默认警报模式,它记录标准的alert模式到alert文件中;fas...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值