snort实验(一)

最新推荐文章于 2024-05-16 10:47:05 发布
最新推荐文章于 2024-05-16 10:47:05 发布
阅读量3.5k 收藏 26
点赞数 3
分类专栏: snort 文章标签: 网络 linux snort
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43481350/article/details/115158827
版权

snort模式

snort包含三种模式:嗅探器、数据包记录器以及网络入侵检测系统。

Snort作为网络入侵检测系统

1、利用snort命令启动入侵检测系统:

sudo snort -d -h 192.168.202.134/24 -l ./log -c snort.conf -i en33

解释如下:
(1)-d:显示应用层数据
(2)-h:指定snort.conf中HOME_NET的值,如下所示:
指定HOME_NET
此条命令指明HOME_NET=192.168.202.134/24(此地址需要更换为自己的虚拟机地址)。
(3)-l:指定日志存储目录。指明为snort根目录下的log文件夹中。
(4)-c:指定snort配置文件所在路径。所以此条命令需要在snort.conf所在目录下运行。
(5)-i:指明网卡为ens33
运行结果如下:
snort作为网络入侵检测系统结果
出现Commencing packet processing证明成功开启snort。

2、编写snort规则

snort规则分为两个部分分别为规则头和规则体,其中规则偷包含规则的动作、字所使用的协议、源和标的IP地址、网络源码以及端口号。规则体在规则头的后方括号内,规则头和规则体一般不分行。
简单规则如下:

alert tcp any any -> 192.168.202.134 any (msg:"test that snort is successful! ";sid:1000000900)

告警从任何地址下的任何端口发送到192.168.202.134任何端口的TCP连接,并打印"test that snort is successful! "。
此时利用telent进行TCP连接,在物理机(测试采用Windows10)输入:

telnet 192.168.202.143 9999

物理机会显示正在连接192.168.202.143...
此时可以关闭物理机的连接,进入虚拟机log文件夹查看alert文件如下:
alert文件

可以看到其打印了我们刚才设置的语句:test that snort is successful!,并且表明其源地址以及源端口号,除此之外还打印了一些应用层数据信息(是由于我们之前启动snort的时候输入了-d,就会在文件中存储应用层数据信息。)。

3、高级snort规则编写

如果遇到某一个数据频繁使用时,可以通过定义变量的方式并利用$调用变量。
例如:

var NET_IP 192.168.202.143
alert tcp any any -> $NET_IP any (msg:"test";sid=1000000901)
网安幕后推手
关注
  • 3
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SNORT实验资源x12
04-26
这个“SNORT实验资源x12”很可能是为了帮助用户深入理解和实践SNORT的功能而设计的一系列教程或者案例资料。下面将详细解析SNORT的核心知识点以及可能在实验资源中涉及的内容。 ### SNORT基础知识 1. **工作原理**...
计算机安全_Lab4_Snort实验
Yue的小部落格
06-03 5933
目录 1 实验描述 2 实验准备 3 实验内容 3.1 Snort三种工作模式 3.2 snort规则定义 3.3 task 1 :检测到其他计算机通过HTTP协议访问计算机时,显示警报。 3.4 task 2 :当有人通过任何方法以root用户身份在计算机外部登录计算机时,该规则将显示警报。 4 实验总结 1 实验描述 对于网络安全而言入侵检测是一件非常重要的事。入侵检测系...
Linuxsnort的运行模式,Snort工作模式详解
weixin_34538771的博客
05-03 1651
Snort有3种工作模式,分别为嗅探器模式、分组数据包记录模式与网络**检测模式。m 嗅探器模式。Snort使用Libpcap包捕获库。在该模式下,Snort使用网络接口的混杂模式读取并解析数据包。该模式使用的命令如下所示。localhost:~#snort-vRunninginpacketdumpmode--==InitializingSnort==--Initiali...
没人讲清楚!我来讲!---- Ubuntu 20.04中下载配置Snort3,参数讲解及实现协议警报
最新发布
weixin_45266856的博客
05-16 1871
Snort是一个功能强大的开源网络入侵检测和预防系统(IDS/IPS),由于1998年创建,现由Cisco旗下的Sourcefire进行维护和开发。Snort通过监控网络流量,根据预定义的规则检测并响应潜在的安全威胁。每次都去修改snort.lua文件太麻烦,如想要捕获别的类型数据包并输出警报,可以创建自定义规则以如下命令来讲解自定义规则的匹配参数,表示当匹配的任意端口向的任意端口发送UDP的数据包时,snort会发出警报rev:1;alert。
网络安全——基于Snort的入侵检测实验
网络工程
12-12 4688
其中,"/etc/snort/rules"是用于存放规则文件的路径,Snort就是根据诸多的规则文件给用户提供预警和提示的。③ 清除规则:执行"sudo vi /etc/snort/snort.conf"命令,把除了local.rules之外的规则全部注释掉(把local.rules之后的include语句注释掉;3、在配置检测规则中,可根据用户所需,根据实际的情况进行规则的设置,本实验设置的是ICMP、HTTP数据包;1、入侵检测的检测引擎就是通过对规则选项的分析构成了Snort 检测引擎的核心。
网络安全实验snort实现高级IDS
weixin_52553215的博客
02-01 1547
加深理解:我们说理解/etc/snort/sid-msg.map这个文件的意义非常重要,实体signature表示的是报警信息列表规范化,即将报警事件信息按规则编号(sig_id)、规则描述(sig_name)、规则分类编号(sig_class_id)规则优先级(sig_priority)规则版本号(sig_rev),规则在snort中的内部编号(sig_sid;根据上面命令执行结果会在/var/log/snort/目录下生成报警文件,大家可以看到报警文件格式都是snort.log.时间戳。
Snort入侵检测系统简介
Nicholas的专栏
02-18 5308
前言 防火墙可以比喻为办公室门口的警卫,用来检查进出者的身份。而入侵检测系统就像是网上的警报器,当发现入侵者时,指出入侵者的来历、他们正在做什么。入侵检测系统被视为防火墙之后的第二道安全闸门。 实验目的 1.掌握snortIDS工作机理   2.应用snort三种方式工作   3.熟练编写snort规则 Snort IDS 概述 Snort IDS(入侵检测系统)是一个强大的网络入侵检测...
snort实验包.zip
01-02
Snort 是一款开源的网络入侵检测系统(NIDS),它能够实时监控网络流量,通过预定义的规则检测潜在的攻击行为。本实验包是针对 Snort 的实践操作,结合了 MySQL 数据库,以提高报警管理和数据分析的能力。我们将深入...
snort实验下发软件.rar
01-26
acid-0.9.6b23.tar.gz adodb511.zip appserv-win32-2.6.0.exe jpgraph-3.0.7.tar.gz metasploit 渗透攻击....Snort_2_8_0_2_Installer.rar snortrules-snapshot-CURRENT.tar.gz WinPcap_4_1_2.rar X-Scan-v3.3-cn.rar
snort实验.doc
06-18
Snort是一款免费、开源的网络入侵防御系统(Network Intrusion Prevention System,NIPS)和网络入侵检测系统(Network Intrusion Detection System,NIDS)工具,用于管理和防御黑客入侵 Web 站点、应用程序和支持 ...
合肥工业大学 Snort实验报告.docx
05-02
Snort实验报告】 本次实验主要涉及Snort的使用,这是一种开源的网络入侵检测系统(NIDS),在合肥工业大学的网络攻防课程中被广泛应用于教学。实验的主要目的是熟悉Snort软件的安装、配置和使用,理解其工作原理...
snort 实验
qq_28938301的博客
05-18 501
报的错大意是找不到黑白名单的文件,而在snort.conf文件中可以看到系统找寻的路径是在rules文件夹下,所以在rules文件夹内新建white_list.rules和black_list.rules即可,而以后如果要使用黑白名单的功能时只需对这两个文件进行写入即可。IDS 模式运行时会创建一些目录,本文配置文件储存在 /etc/snort 中(要先根据自己安装的设置进行路径定位),规则储存在 /etc/snort/rules中,日志粗存在 /var/log/snort 中,
国科大网络协议安全大作业——分析流量并使用Snort规则进行检测
weixin_44357071的博客
12-16 2394
SHA256(Secure Hash Algorithm 256-bit)是一种密码学哈希函数,用于计算数据的哈希值。每个文件使用一个哈希算法只会有一个确定的哈希值。
Snort 命令参数详解
热门推荐
可木的专栏
10-24 1万+
用法:        snort -[options] 选项: -A      设置报警模式,alert = full/fast/none/unsock,详解上一篇snort简介。 -b    用二进制文件保存网络数据包,以应付高吞吐量的网络。 -B    将IP地址信息抹掉,去隐私化。 -c    使用配置文件,这会使得snort进入IDS模式,并从中读取运行的配置信息。 -d
Snort入侵检测系统实验
m0_52089634的博客
01-03 5327
kali上Snort实验
windows环境下snort的安装
m0_53533553的博客
11-21 3850
windows环境下snort的安装
入侵检测系统Snort的安装、配置与测试
haohello_world的博客
12-08 1846
查看网关地址和mac地址: arp -a。
kali上安装配置snort以及简单实验
遇见你的注定的博客
05-26 7792
kali上安装配置snort以及简单实验 一、kail上 snort 的安装 结构参考:https://blog.csdn.net/weixin_39625172/article/details/112415163这里是引用 预装daq所需程序 sudo apt-get install flex sudo apt-get install bison sudo apt install aptitude sudo aptitude install libpcap-dev 安装daq wget https
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值