Snort 预处理器 ——portscan

最新推荐文章于 2023-03-29 09:39:51 发布
最新推荐文章于 2023-03-29 09:39:51 发布
阅读量3.7k 收藏 2
点赞数
分类专栏: IDS&网络安全 文章标签: session tcp preprocessor stream struct null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starshift/article/details/1504256
版权
 

PortScan_preprocessor

 

向标准记录设备中记录从一个源IP地址来的端口扫描的开始和结束。如果指定了一个记录文件,在记录扫描类型的同时也记录目的IP地址和端口。端口扫描定义为在时间T(秒)之内向超过P个端口进行TCP连接尝试,或者在时间T(秒)之内向超过P个端口发送UDP数据包。端口扫描可以是对任一IP 地址的多个端口,也可以是对多个IP地址的同一端口进行。现在这个版本可以处理一对一和一对多方式的端口扫描,分布式的端口扫描(多对一或多对多)。端口扫描也包括单一的秘密扫描(stealth scan)数据包,比如NULLFINSYNFINXMAS等。如果包括秘密扫描的话,端口扫描模块会对每一个扫描数据包告警。为避免这种情况,可以在Snort标准发行版中的scan-lib文件里把有关秘密扫描数据包的小节注释掉,这样对每次扫描就只记录一次。如果使用外部记录特性,可以在记录文件中看到(端口扫描的)技术和类型。

 

支持的端口扫描大类:

- Portscan

       端口扫描是基本的一个主机对于另外一个主机的多个端口的扫描行为。如果有少数主机试图连接大量主机的大量端口或者存在大量的异常连接,我们就认为它在进行端口扫描。

- Decoy Portscan

       在大量主机试图连接同一主机的不同端口的时候我们会认为他是分布式的端口扫描,

- Distributed Portscan

       是分布式端口扫描的一种,与其不同是扫描主机试图多次连接被扫描的主机的特定端口。我们可以得到其扫描的轨迹。

- Portsweep

       是某一主机试图连接一群主机的一部分端口。如果某一主机连接了很多主机的同一端口,我们认为它在进行Portsweep

 

 

参数的详细设置:

 

typedef struct s_PS_ALERT_CONF

{

      short connection_count;        //连接通过的数据包数

    short priority_count;             //优先级

    <

最低0.47元/天 解锁文章
starshift
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
借用snort实现网络扫描发现功能
TAXUEc750的专栏
10-31 2562
最近刚刚完成一个扫描发现的模块,刚开始做的时候发现网络上关于这方面的资料很少,今天没什么事总结一下好了。希望能给有这方面需求的人一些帮助。   扫描发现功能主要是通过snort这个开源软件的预处理sfPortscan来实现的。默认的snort配置文件中这项功能是关闭的。如果要用需要我们自己来配置。 关于这项的配置可以从snort的帮助手册上获得详细的信息:http://manual.sn
Snort 2.9.8.2预处理开发文档
05-30
Snort 2.9.8.2 预处理开发文档详细介绍了如何开发一个 Snort 预处理,包括预处理的开发流程、注册预处理、定义初始化函数、修改头文件、添加预处理函数等。本文档为 Snort 开发者提供了详细的开发指南。
Snort预处理之`sfPortscan`
有理论,有实验,有结论,可为一篇文章
06-23 1275
文章目录1 sfPortscan 预处理简介2 sfPortscan 预处理支持的端口扫描类型2.1 Portscan2.2 Decoy Portscan2.3 Distributed Portscan2.4 Portsweep2.5 Filtered Portscan And Filtered Portsweep3 sfPortscan 预处理的配置4 sfPortscan 警报输出5 sfPortscan 调优 1 sfPortscan 预处理简介 由 Sourcefire 开发的 sfPort
端口扫描原理与代码
Hisense的专栏
04-17 6526
1)原理摘自 百度  红客吧 http://tieba.baidu.com/f?kz=90077233TCP connect() 扫描是最基本的TCP扫描。操作系统提供的connect()系统调用,用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。这个技术的一个最大的优点是,你不需要任何权限。系统中
snort会话预处理sessionPacketProcessor派发过程
wangzhicheng2013的专栏
04-01 247
sessionPacketProcessor原型及功能 1.函数原型: static void sessionPacketProcessor(Packet *p, void *context); sessionPacketProcessor是snort预处理函数,snort所有预处理函数接口是: typedef void (*PreprocEvalFunc)(Packet *p, void *context); 定义在plugbase.h中。 2.函数功能: (1)判断传入Packet
snort配置文件中的PORT解析
weixin_34209851的博客
07-11 117
2019独角兽企业重金招聘Python工程师标准>>> ...
基于高速网络环境的Snort主动包过滤预处理研究.pdf
09-25
Snort 主动包过滤预处理研究 本文研究的是基于高速网络环境的 Snort 主动包过滤预处理Snort 是一个开源的、跨平台的软件,适合于一般的中小型 TCP/IP 网络。Snort 的检测能力源于将数据包和定义良好的模式...
终止恶意行为——安装Snort Guardian
08-11
绍终止恶意行为——安装Snort Guardian步骤
一种网络入侵检测系统的多媒体数据检测预处理.pdf
09-25
预处理能识别119种不同类型的多媒体数据,并运用定制的规则进行预检测,筛选出安全的数据,避免了Snort的常规复杂检测,有效地提高了检测效率和系统的负载能力。 总结来说,本文提出的多媒体数据检测预处理是...
linux(centos)系统安全snort——搭建入侵检测系统IDS
07-18
Barnyard2 是 Snort 的一个数据库输出插件,可以将Snort 的日志信息存储到数据库中。以下是 Barnyard2 的安装和配置步骤: 1. 下载 Barnyard2 的安装包。 2. 安装 Barnyard2,包括编译和安装 Barnyard2 的核心组件...
snort
03-21
用于检测你的系统是否受到入侵,<br><br>如果与防火墙搭配使用,并且恰当设置,只有<br><br>顶级黑客才能攻击破你的系统.
PortScan端口扫描工具
03-07
PortScan,一款简单强大的端口扫描工具
最新Snort最新Snort最新Snort
03-04
最新Snort最新Snort最新Snort最新Snort最新Snort最新Snort最新Snort最新Snort最新Snort最新Snort最新Snort最新Snort最新Snort最新Snort最新Snort最新Snort最新Snort最新Snort最新Snort最新Snort最新Snort
snort 教程
12-11
此文件包含一个snort配置样例。 共分五步骤: 1 设置网络变量 2 配置动态加载库 3 配置预处理 4 配置输出插件 5 增加任意的运行时配置向导 6 自定义规则集
PortScan(局域网ip搜索)
04-17
本工具是用来搜索指定网段,局域网内存在的地址,纯净版无广告。
Snort运行命令中文版
有理论,有实验,有结论,可为一篇文章
09-04 3329
通过命令行输入:snort --help或者snort -?来显示snort命令行运行的详细用法。 Snort版本: Version 2.9.11.1 GRE (Build 268) 运行环境: OpenWrt 格式: snort [-options] <filter options> Options: -A 设置报警模式 ...
SnortStream5ProcessTcp()
lieye_leaves的专栏
11-25 1568
int Stream5ProcessTcp(Packet *p,Stream5LWSession *lwssn,                       Stream5TcpPolicy*s5TcpPolicy, SessionKey *skey)    Packet  *p  新抓到的包    Stream5LWSession *lwssn 包所在的流
Snort 入侵检测系统简介
潜心习安全
12-10 3000
0x00 snort 简介 在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Preventi...
Portscan一款局域网端口扫描
03-29 2876
它的干净的界面依赖于一个附签式布局,所以您可以很容易地获得你想要的功能与一个单一的点击。它扫描所有可用的端口和显示细节,如MAC地址,主机名、开放港口和HTTP服务为每个连接的机。依赖于一个非常干净的界面信息HTTP、FTP、SMTP和SMB服务。Portscan是一款局域网端口扫描,可以用于扫描目的主机的开放端口,并猜测目的主机的操作系统,支持Edge、Wi-Fi和3G网络。它能够帮助用户查找网络中正在运行的所有电脑设备,并显示出每个设备的mac地址,是否有共享文件,计算机密码是否为空等信息。
snort怎么使用预处理arpspoof检测ARP欺骗
最新发布
04-24
Snort可以通过使用预处理arpspoof来检测ARP欺骗。首先,您需要确保Snort有安装arpspoof预处理。然后,需要在Snort的配置文件中指定该预处理。在配置文件中,找到“preprocessor”部分并添加以下行: preprocessor arpspoof 接下来,需要为该预处理设置规则。在规则文件中,添加以下行: alert icmp any any -> any any (msg:"ARP Spoofing detected"; arpspoof: yes;) 这将使Snort在检测到ARP欺骗时生成一个警报。重要的是要确保Snort可以访问网络中的ARP表以进行检测。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值