【IDS场景模拟】suricata检测HTTPS流量

最新推荐文章于 2024-10-12 02:29:42 发布
最新推荐文章于 2024-10-12 02:29:42 发布
阅读量3.1k 收藏 38
点赞数 61
分类专栏: IDS 文章标签: https 网络协议 http wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/three_1996/article/details/137027099
版权

一、如何实现检测?

针对HTTPS流量来说,毕竟不是攻击流量,而是互联网通信的标配,所以服务器端是可以解密的,解密后变成明文HTTP协议,就可以很好地实现入侵检测了。所以,要处理HTTPS流量,最关键的是,先解密HTTPS数据包,才对其进行入侵检测,通常的解决方案有两种:一是直接在代码层面进行检测,对用户输入进行检测判断。第二种方案就是通过配置HTTPS反向代理的方式来进行检测,如下图所示:

二、构造实验环境

1、一台客户机,模拟客户端发送HTTPS请求给Nginx服务器,此IP地址为:192.168.101.1

2、一台Nginx服务器,该Nginx配置HTTPS证书,并反向代理到远程Tomcat主机,此IP地址为:192.168.112.170

3、一台Tomcat服务器,docker拉取Tomcat,不配置HTTPS证书,将8080端口映射到8848端口,IP地址为:192.168.112.149

4、在Nginx或Tomcat任意一台服务器上安装Suricata,均可对Tomcat的流量进行入侵检测或防御。本次安装在Tomcat服务器中。

整个过程的通信过程如下:

三、配置Tomcat服务器

在Tomcat服务器上安装MySQL与Tomcat,并部署WoniuSales在此,同时在该服务器上安装Suricata,实现对Tomcat流量的检测

一、部署靶场

1、拉取mysql镜像

docker pull mysql:5.6

2、挂载部署mysql

docker run --name mysql01 -p 3303:3306 --privileged=true -v /usr/local/mysql01/data:/var/lib/mysql -v /usr/local/mysql01/logs:/logs -v /usr/local/mysql01/conf:/etc/mysql/conf.d -e MYSQL_ROOT_PASSWORD=123456 -d mysql:5.6

3、使用docker拉取tomcat镜像文件

docker pull daocloud.io/library/tomcat:8.5.15-jre8

4、部署tomc

最低0.47元/天 解锁文章
【网络入侵检测】】Suricata配置之YAML
不断学习,不断进步。
04-01 1018
Suricata是一款开源的网络入侵检测系统(IDS)和入侵防御系统(IPS)。本文档将详细介绍Suricata的配置文件suricata.yaml,帮助读者更好地理解和配置Suricata
【网络入侵检测Suricata之流(flow)检测
最新发布
不断学习,不断进步。
04-14 944
本文详细介绍了Suricata中规则中用于流(flow)检测的关键字使用方法,包括 flowbits、flow、flowint、stream_size、flow.age、flow.pkts 和 flow.bytes。这些关键字通过精准关联多包检测、标记流状态、统计流量数据等功能,帮助检测多步骤攻击、减少误报,并实现对网络流量的精细化分析和管理。
HTTPS网络流量分析方法简介
08-19 2149
信息技术高速发展,基于Web的主流形式业务应用不再是HTTP裸奔了,多数网站和应用系统都上了HTTPS。 作为网络运维人员,不来个抓包分析,疑难杂症的确难以得出精准结论,但分析面对清一色的HTTPS业务运行监测或故障分析,是不是有点晕,感觉眼前一黑? 不用着急,其实HTTPS报文也可以像HTTP一样明文查看和分析。 HTTPS网络流量分析对比 这个小节先做个对比,卖个关子。 你的HTTPS报文分析结果是不是这样的? 我的HTTP报文分析结果是这样的。 为什么要分析HTTPS网络流量 是不是完全不一样了,
搭建suricata系统 网络流量检测系统
m0_48474237的博客
05-31 1131
1.配置suricata sudo vim /etc/suricata/suricata.yaml 有许多可能的配置选项,我们主要关注HOME_NET变量的设置和网络接口配置。在大多数情况下,HOME_NET变量应该包括被监控接口的IP地址和所有使用的本地网络。 2.更新suricata规则 sudo suricata-update Suricata使用签名来触发警报,所以有必要安装这些并保持更新。签名也称为规则,因此称为规则文件。使用该工具,Suricata -update规则可以被获取、更新和
Suricata镜像流量解析--Suricata部署
Zpz501的博客
01-05 5489
突然讲镜像流量解析有一些突兀,那就大致讲一下为什么要做流量镜像吧。 目前公司的应用安全防火墙(WAF)基于日志做的拦截,日志来源于Nginx服务器的lua模块,对于Nginx性能有一定的损耗,加上系统解耦的需要。所以考虑用流量镜像的方式,部署单独的集群对日志进行处理,好处有下边几点: 1. 系统解耦; 2. 提高lua拦截模块性能; 3. 满足WAF业务更多的特殊需求,如攻击统计,展示,告
Hyperfox —— HTTP/HTTPS 流量监控系统
weixin_33890526的博客
06-04 545
Hyperfox 是一个安全的工具用来代理和记录局域网中的 HTTPHTTPS 通讯。 文章转载自 开源中国社区 [http://www.oschina.net] ...
Linux系统中进行HTTP/HTTPS流量监控
weixin_73725158的博客
10-11 611
另一种更合法和安全的方法是使用专门的HTTPS流量分析工具,如。通过选择合适的工具和方法,管理员可以全面了解网络流量的分布和特性,及时发现潜在的安全威胁,并采取适当的措施来优化网络资源的利用。通过监控HTTP/HTTPS流量,管理员可以了解网络流量的分布、识别潜在的安全威胁,并优化网络资源的利用。,这些工具能够解析HTTPS流量中的元数据(如IP地址、端口号、主机名和URL等),而不需要解密流量内容。能够捕获HTTPS流量的数据包,但由于HTTPS是加密的,因此无法直接查看数据包的内容。
AI大模型在智能网络流量分析中的商业价值探讨
AI天才研究院
10-12 913
《AI大模型在智能网络流量分析中的商业价值探讨》 关键词:AI大模型、智能网络流量分析、商业价值、技术挑战、未来发展趋势 摘要:本文探讨了AI大模型在智能
入侵检测与防御系统:IDS与IPS的深度剖析
通过对IDS和IPS工作原理的比较分析,本文强调了两者在网络安全中的应用场景、部署配置,以及集成应用的必要性。文章接着分析了IDS与IPS面临的技术挑战,以及人工智能和分布式系统等新技术的融合对其未来发展的促进...
网络入侵检测系统(IDS)的原理与部署
# 第一章:网络入侵检测系统(IDS)概述 ## 1.1 什么是网络入侵检测系统? 网络入侵检测系统(Intrusion Detection System,简称IDS)是一种用于监控和识别网络中的异常行为和攻击行为的安全设备或软件。它通过...
国家信息化安全培训之入侵检测技术.zip
11-29
7. 实战演练:通过模拟攻击场景进行实战演练,提高检测和应对能力。 在国家信息化安全培训中,通过深入学习和实践这些内容,参与者可以增强对入侵检测技术的理解和应用,从而更有效地保护国家的网络安全。
运用端口匹配、深度数据包检测流量特征进行P2P流量识别
06-10
P2P流量识别识别,首先通过wincap或者Wireshark抓取ICAP文件
探索SSLGuala:一款强大的HTTPS流量监控工具
gitblog_00059的博客
04-23 531
探索SSLGuala:一款强大的HTTPS流量监控工具 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个开源的、跨平台的工具,主要用于检测和分析HTTPS流量。由FIRHQ开发并维护,该项目提供了一种直观的方式,帮助开发者、安全研究人员及网络管理员了解他们的网络流量情况,确保数据传输的安全性。 技术解析 核心特性 解密HTTPS流量 - SSLGuala利用中...
Suricata规则库:网络流量监控与安全防护的利器
gitblog_00024的博客
04-09 626
Suricata规则库:网络流量监控与安全防护的利器 去发现同类优质开源项目:https://gitcode.com/ 是一个开源项目,专门为Suricata网络安全引擎提供了一系列规则和配置,用于检测、预防和响应网络上的恶意活动。这个项目的目的是帮助IT专业人员更好地保护他们的网络环境,防止各种网络安全威胁。 项目简介 Suricata本身是一款高性能的网络入侵检测系统(NIDS)和网络入侵防御...
Wireshark分析https流量
开心乐源的专栏
09-13 1917
wireshark分析https流量
suricata初体验+wireshark流量分析
weixin_53434577的博客
08-26 1278
通过官网下载suricata,根据官网步骤进行安装。以上配置完毕后,重启suricata。进入wazuh匹配文件,需将suricata加入,使wazuh代理可以读取suricata日志文件。然后重启wazuh服务。
suricata规则编写-检测ssh爆破攻击
whime
05-22 3947
步骤: 1. 使用hydra攻击ssh服务器,利用tcpdump 抓包。 2. 编写suricata规则 3. 重放pcap包测试效果。 利用hydra和 tcpdump获取攻击流量包 在
Suricata详解
热门推荐
IAMZTDSF的博客
06-15 1万+
Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。是一款开源、快速、高度稳定的网络入侵检测系统Suricata引擎能够实时入侵检测,内联入侵防御和网络安全监控。Suricata由几个模块组成,如捕捉、采集、解码、检测和输出。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elast
Suricata:开源网络分析和威胁检测
网络研究观
10-02 571
Suricata 是由 OISF 和 Suricata 社区开发的网络入侵检测系统、入侵防御系统和网络安全监控引擎。
ids部署
03-16
### 入侵检测系统 (IDS) 部署指南 #### 1. 系统需求分析 在部署入侵检测系统之前,需明确目标环境的需求。这包括评估网络规模、设备数量以及所需的保护级别。通常情况下,小型局域网可以选择轻量级解决方案,而大型企业则需要更为复杂的分布式架构[^4]。 #### 2. NIDS 和 HIDS 的选择 根据实际场景决定采用哪种类型的 IDS: - **NIDS(Network Intrusion Detection System)**:适用于监控整个网络流量的情况。例如 Security Onion 提供了一种基于 Suricata 的实现方式,能够有效识别已知威胁模式并触发警报[^3]。 - **HIDS(Host-based Intrusion Detection System)**:适合单独主机的安全防护,通过对本地文件系统变化和其他行为特征进行监测来判断是否存在非法操作[^1]。 #### 3. 安装配置过程 以下是针对不同平台的一些通用建议: ##### a. 使用开源工具如 Security Onion 进行快速设置 对于希望节省成本同时获得强大功能的企业来说,可以考虑利用像 Security Onion 这样的免费软件包来进行初始构建工作。具体步骤如下所示: ```bash sudo apt update && sudo apt upgrade -y wget https://dl.securityonion.net/sos/iso/securityonion.iso # 加载ISO镜像到虚拟机或者物理服务器上启动安装向导... ``` 完成基本操作系统准备之后继续执行后续命令以激活核心组件服务等等。 ##### b. 商业产品实施流程概述 如果预算允许的话,则推荐购买成熟商业版本的产品因为它们往往具备更好的技术支持文档资源还有持续更新维护机制等方面的优势。厂商一般都会提供详细的说明书帮助客户顺利完成全部环节从硬件选型直到最终上线运行期间遇到的各种问题解答支持等服务内容。 #### 4. 测试验证有效性 无论选择了哪一类方案,在正式投入使用前都必须经过充分测试确保其正常运作无误才能放心交付给日常业务使用当中去发挥作用。可以通过模拟常见攻击手法看看能否被成功拦截下来作为衡量标准之一[^2]。 #### 5. 日常运维管理注意事项 最后提醒一下各位管理员朋友们记得定期审查日志记录寻找任何可疑迹象;另外也要保持规则库处于最新状态以便应对新兴出来的各种新型威胁形式出现时不至于措手不及造成损失扩大化风险增加等问题发生几率提升等情况的发生概率减少至最低限度范围内为止才行哦! ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值