Snort入侵检测系统使用示例

最新推荐文章于 2024-05-08 22:31:50 发布
最新推荐文章于 2024-05-08 22:31:50 发布
阅读量2.8k 收藏 23
点赞数 3
分类专栏: 网络攻防 文章标签: 网络 linux 安全 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43678263/article/details/128268143
版权

1998年,Martin Roesch用C语言开发了开源的入侵检测系统Snort。现如今Snort已发展成为一个具有多平台、实时流量分析、网络IP数据包记录等特性的强大的网络入侵检测/防御系统,是世界最顶尖的开源入侵检测系统。Snort IDS利用一系列的规则去定义恶意网络活动,against匹配到的报文并给用户告警。

Snort主要用法:

一、类似TCP dump,作为网络sniffer使用,调试网络流量。

二、用于特征识别的网络入侵检测。

Snort入侵检测系统使用示例:

1、snort三种模式组合抓包

在这里插入图片描述

2、将数据包记录到指定位置

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3、编辑snort的配置文件,添加自定义规则

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

(1)对来自外部主机、目标为当前主机80/TCP端口的请求数据包进行报警。

添加规则如下:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

win7访问kali的服务器网站
在这里插入图片描述

检测到web访问
在这里插入图片描述

(2)字符串的匹配,若有机器登陆 kali本机 ftp服务器,进行报警且捕获用户登录的用户名以及密码。

在这里插入图片描述
在这里插入图片描述
win7上FTP链接Kali
在这里插入图片描述
检测到FTP访问,查看数据包发现明文的用户名和密码
在这里插入图片描述
在这里插入图片描述

(3)对ICMP响应请求进行报警
添加规则如下:
在这里插入图片描述
在这里插入图片描述

win7 ping Kali
在这里插入图片描述
检测到icmp响应
在这里插入图片描述

youhao108
关注
  • 3
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
snort使用手册(linux)
03-26
libpcap所以很轻松不用再装了) 而WINDOWS更简单只要解包出来就可以了; ---------------------------------------------------------------------- 参数介绍: 命令行是snort -[options] 选项: ; ; ; ;-A 设置模式是full,fast,还是none;full模式是记录 ; ; ; ;标准alert模式到alert文件中;Fast模式只写入时间戳messages, ; ; ; ;IPs,ports到文件中None模式关闭报警 ; ; ; ;-a ; ; ; ;是显示ARP包; ; ; ; ;-b ; ; ; ;是把LOG信息包记录为TCPDUMP格式所有信息包都被记录为 ; ; ; ; ; ; ; ;两进制形式名字如snort-0612@1385.log这个选项对于FAST ; ; ; ; ; ; ; ;记录模式比较好它不需要花费包信息转化为文本时间 ; ; ; ; ; ; ; ;Snort在100Mbps网络中使用"-b"比较好 ; ; ; ;-c 使用配置文件,这个规则文件是告诉系统什么样信息要LOG ; ; ; ; ; ; ; ;或者要报警或者通过 ; ; ; ;-C ; ; ; ;在信息包信息使用ASCII码来显示而不是hexdump ; ; ; ;-d ; ; ; ;解码应用层 ; ; ; ;-D ; ; ; ;把snort以守护进程思路方法来运行默认情况下ALERT记录发送......
27了解网络安全防护工具 Snort 的基本用法,包括数据捕获、报警
玩机科技社的博客
05-29 5031
要编写自己的规则,可以编辑/etc/snort/rules/local.rules文件并添加规则。此命令将在eth0接口上启动Snort,并使用/etc/snort/snort.conf配置文件和/var/log/snort/目录来存储日志文件。其中,-c 参数指定 Barnyard2 的配置文件,-d 参数指定 Snort 日志的存储路径,-f 参数指定 Snort 日志文件的名称。总之,Snort是一款非常强大的网络入侵检测系统,可以帮助网络管理员及时发现潜在的安全威胁,并采取相应的措施进行防御。
国科大网络协议安全大作业——分析流量并使用Snort规则进行检测_snort检测pcap中的恶意流量
最新发布
2401_84297796的博客
05-08 383
snort -Vsudo snort -c /etc/snort/snort.conf -A console # 重新加载snort配置并在控制台显示警报。
「干货」Snort使用手册「详细版」
橙留香Park的博客
01-21 1万+
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
snort的安装、配置和使用
热门推荐
不忘初心,护天下安全!
12-19 6万+
Snort 在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention Syst...
Snort使用一:安装、嗅探与记录
野原新之助
12-05 9455
Snort是一个一个具有多平台、实时流量分析、网络IP数据包记录等特性的强大的网络入侵检测/防御系统,即NIDS/NIPS。
【转】snort的安装、配置和使用
tpriwwq的专栏
12-30 945
方向操作符左边的ip地址和端口号被认为是流来自的源主机,方向操作符右边的ip地址和端口信息是目标主机,还有一个双向操作符"<>"。注意Snort的语法。规则的头包含了定义一个包的who,where和what信息,以及当满足规则定义的所有属性的包出现时要采取的行动。而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。
Linux下基于Snort入侵检测系统的研究及实现.pdf
09-06
在Linux操作系统使用Snort等工具可以经济、方便、快捷搭建适用于小型企业的开源网络入侵检测系统。本文主要介绍了基于Snort入侵检测系统在Linux操作系统下的研究和实现,旨在帮助小型企业快速建立一个可靠的入侵...
网络通信安全:snort入侵检测系统使用.pdf
06-22
snort 入侵检测系统使用 一、 实验目的 理解入侵检测原理。 二、 实验软硬件要求 snort 入侵检测系统、模拟攻击的物理主机。 三、 等级保护2.0 相关要求 应在关键网络节点处监视网络攻击行为。(二级) 应在关键网络...
snort入侵检测系统
11-10
在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的...
Snort 入侵检测系统源码分析--独孤九贱.pdf
08-29
该资源是带目录标签的,是我一个个加上的,里面的内容好像是老版本,snort 2.2,代码结构虽然与现在最新版本的不完全相同,但流程大体不差,各位只要真心想学,还是很容易看懂的
javasnmp源码-IDS-Evasion:规避Snort入侵检测系统
06-04
我们将使用“exploit/multi/elasticsearch/script_mvel_rce”模块来利用这个漏洞(你可以使用search ElasticSearch或在Metasploit中search CVE-2014-3120找到这个模块)。 设置模块选项,检查目标是否存在漏洞,最后...
snort学习
SmallGiraffe的博客
11-15 814
snort3学习
snort使用手册IBM
weixin_30421525的博客
03-17 1624
Snort 使用手册,第 1 部分: 安装与配置 保护和分析 Web 站点及其流量 Web 站点是 Internet 技术中最脆弱也最易受攻击的部分。尝试接触 Snort,它是一款免费、开源的网络入侵防御系统(Network Intrusion Prevention System,NIPS)和网络入侵检测系统(Network Intrusion Detection System,NIDS)工...
snort 学习
wsk004321的专栏
05-12 1824
Snort 在1998年,Martin Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention
Windows平台下Snort的安装配置与简单使用
TH_DL的博客
06-19 9666
由于需要对网络底层进行操作,安装Snort前需要预先安装WinpCap(WIN32平台上网络分析和捕获数据包的链接库)。建议用虚拟机使用32位的系统进行操作。 若使用64位系统,尝试使用npcap替换Winpcap 相应的资源:链接:https://pan.baidu.com/s/1yIXpEOHu3vJuh2fUoDpTJA 提取码:ztcc 1.下载Windows平台下的Snort安装程序,选择安装目录为c:\Snort。进行到选择日志文件存放方式时,为简单起见,选择不需要数据库支持或者Snort默认的
Snort入侵检测系统实验
m0_52089634的博客
01-03 5206
kali上Snort的实验
实验9-10 在Windows下搭建入侵检测平台
YkingH的博客
04-28 3802
掌握在Windows中搭建基于snort入侵检测系统(IDS),熟悉简单的配置方法,能够使用IDS检测并分析网络中的数据流。Snort是一个强大的基于误用检测的轻量级网络入侵检测系统,它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时警报。
Snort入侵检测系统简介
VN520的博客
04-12 2883
Snort IDS(入侵检测系统)是一个强大的网络入侵检测系统。它具有实时数据流量分析和记录IP网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。此外,Snort是开源的入侵检测系统,并具有很好的扩展性和可移植性。Snort使用一种简单的规则描述语言,这种描述语言易于扩展,功能也比较强大。Snort规则是基于文本的,规则文件按照不同的组进行分类,比如,文件ftp.rules包含了FTP攻击内容。
snort入侵检测系统实验
05-12
Snort是一种流行的开源网络入侵检测系统。下面是一个基本的Snort入侵检测系统实验: 1. 安装Snort:可以在Snort官方网站上下载安装包并按照说明进行安装。 2. 配置Snort:打开Snort配置文件,修改规则文件路径、日志文件路径等参数。可以参考官方文档中的示例进行配置。 3. 运行Snort:启动Snort并开始监控网络流量。可以使用以下命令启动Snort: ``` sudo snort -i eth0 -c /etc/snort/snort.conf ``` 其中,eth0是要监控的网络接口,/etc/snort/snort.conf是Snort配置文件路径。 4. 测试Snort使用Metasploit等工具对目标主机进行攻击,观察Snort是否能够检测到攻击行为并生成相应的日志。 5. 分析日志:查看Snort生成的日志文件,分析检测到的攻击行为以及是否有误报现象。 总体来说,Snort入侵检测系统实验的重点在于理解和配置Snort的规则文件,以及对Snort生成的日志文件进行分析和解读。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

youhao108

行行好吧,揭不开锅了~QAQ

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值