【IDS场景模拟】suricata检测HTTPS流量

最新推荐文章于 2025-02-25 12:04:28 发布
最新推荐文章于 2025-02-25 12:04:28 发布
阅读量3k 收藏 38
点赞数 61
分类专栏: IDS 文章标签: https 网络协议 http wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/three_1996/article/details/137027099
版权

一、如何实现检测?

针对HTTPS流量来说,毕竟不是攻击流量,而是互联网通信的标配,所以服务器端是可以解密的,解密后变成明文HTTP协议,就可以很好地实现入侵检测了。所以,要处理HTTPS流量,最关键的是,先解密HTTPS数据包,才对其进行入侵检测,通常的解决方案有两种:一是直接在代码层面进行检测,对用户输入进行检测判断。第二种方案就是通过配置HTTPS反向代理的方式来进行检测,如下图所示:

二、构造实验环境

1、一台客户机,模拟客户端发送HTTPS请求给Nginx服务器,此IP地址为:192.168.101.1

2、一台Nginx服务器,该Nginx配置HTTPS证书,并反向代理到远程Tomcat主机,此IP地址为:192.168.112.170

3、一台Tomcat服务器,docker拉取Tomcat,不配置HTTPS证书,将8080端口映射到8848端口,IP地址为:192.168.112.149

4、在Nginx或Tomcat任意一台服务器上安装Suricata,均可对Tomcat的流量进行入侵检测或防御。本次安装在Tomcat服务器中。

整个过程的通信过程如下:

三、配置Tomcat服务器

在Tomcat服务器上安装MySQL与Tomcat,并部署WoniuSales在此,同时在该服务器上安装Suricata,实现对Tomcat流量的检测

一、部署靶场

1、拉取mysql镜像

docker pull mysql:5.6

2、挂载部署mysql

docker run --name mysql01 -p 3303:3306 --privileged=true -v /usr/local/mysql01/data:/var/lib/mysql -v /usr/local/mysql01/logs:/logs -v /usr/local/mysql01/conf:/etc/mysql/conf.d -e MYSQL_ROOT_PASSWORD=123456 -d mysql:5.6

3、使用docker拉取tomcat镜像文件

docker pull daocloud.io/library/tomcat:8.5.15-jre8

4、部署tomc

最低0.47元/天 解锁文章
【网络入侵检测】】Suricata配置之YAML
不断学习,不断进步。
04-01 975
Suricata是一款开源的网络入侵检测系统(IDS)和入侵防御系统(IPS)。本文档将详细介绍Suricata的配置文件suricata.yaml,帮助读者更好地理解和配置Suricata
AI大模型在智能网络流量分析中的商业价值探讨
AI天才研究院
10-12 900
《AI大模型在智能网络流量分析中的商业价值探讨》 关键词:AI大模型、智能网络流量分析、商业价值、技术挑战、未来发展趋势 摘要:本文探讨了AI大模型在智能
suricata初体验+wireshark流量分析
weixin_53434577的博客
08-26 1259
通过官网下载suricata,根据官网步骤进行安装。以上配置完毕后,重启suricata。进入wazuh匹配文件,需将suricata加入,使wazuh代理可以读取suricata日志文件。然后重启wazuh服务。
网络入侵检测系统之suricata概要介绍
最新发布
2401_85280228的博客
02-25 737
工作模式的重点在于工作线程的处理,下面介绍一下工作线程的处理流程数据包工作线程是按照slot的注册跑,一个slot一个走这是个流工作线程,以afpacket的work工作模式为例,函数执行流程如下:ReceiveAFPLoop就是当时注册的收包slot,FlowWorker就是当时注册的flow work slot在多网卡收包的场景下,推荐使用work模式,该模式的性能会更好,同时可以调节收包模式,使得同一个五元组在同一个线程中处理,更有利于在攻击场景中做统计计算。
HTTPS网络流量分析方法简介
08-19 2109
信息技术高速发展,基于Web的主流形式业务应用不再是HTTP裸奔了,多数网站和应用系统都上了HTTPS。 作为网络运维人员,不来个抓包分析,疑难杂症的确难以得出精准结论,但分析面对清一色的HTTPS业务运行监测或故障分析,是不是有点晕,感觉眼前一黑? 不用着急,其实HTTPS报文也可以像HTTP一样明文查看和分析。 HTTPS网络流量分析对比 这个小节先做个对比,卖个关子。 你的HTTPS报文分析结果是不是这样的? 我的HTTP报文分析结果是这样的。 为什么要分析HTTPS网络流量 是不是完全不一样了,
搭建suricata系统 网络流量检测系统
m0_48474237的博客
05-31 1115
1.配置suricata sudo vim /etc/suricata/suricata.yaml 有许多可能的配置选项,我们主要关注HOME_NET变量的设置和网络接口配置。在大多数情况下,HOME_NET变量应该包括被监控接口的IP地址和所有使用的本地网络。 2.更新suricata规则 sudo suricata-update Suricata使用签名来触发警报,所以有必要安装这些并保持更新。签名也称为规则,因此称为规则文件。使用该工具,Suricata -update规则可以被获取、更新和
Suricata镜像流量解析--Suricata部署
Zpz501的博客
01-05 5463
突然讲镜像流量解析有一些突兀,那就大致讲一下为什么要做流量镜像吧。 目前公司的应用安全防火墙(WAF)基于日志做的拦截,日志来源于Nginx服务器的lua模块,对于Nginx性能有一定的损耗,加上系统解耦的需要。所以考虑用流量镜像的方式,部署单独的集群对日志进行处理,好处有下边几点: 1. 系统解耦; 2. 提高lua拦截模块性能; 3. 满足WAF业务更多的特殊需求,如攻击统计,展示,告
Hyperfox —— HTTP/HTTPS 流量监控系统
weixin_33890526的博客
06-04 544
Hyperfox 是一个安全的工具用来代理和记录局域网中的 HTTPHTTPS 通讯。 文章转载自 开源中国社区 [http://www.oschina.net] ...
Linux系统中进行HTTP/HTTPS流量监控
weixin_73725158的博客
10-11 589
另一种更合法和安全的方法是使用专门的HTTPS流量分析工具,如。通过选择合适的工具和方法,管理员可以全面了解网络流量的分布和特性,及时发现潜在的安全威胁,并采取适当的措施来优化网络资源的利用。通过监控HTTP/HTTPS流量,管理员可以了解网络流量的分布、识别潜在的安全威胁,并优化网络资源的利用。,这些工具能够解析HTTPS流量中的元数据(如IP地址、端口号、主机名和URL等),而不需要解密流量内容。能够捕获HTTPS流量的数据包,但由于HTTPS是加密的,因此无法直接查看数据包的内容。
入侵检测与防御系统:IDS与IPS的深度剖析
通过对IDS和IPS工作原理的比较分析,本文强调了两者在网络安全中的应用场景、部署配置,以及集成应用的必要性。文章接着分析了IDS与IPS面临的技术挑战,以及人工智能和分布式系统等新技术的融合对其未来发展的促进...
网络入侵检测系统(IDS)的原理与部署
# 第一章:网络入侵检测系统(IDS)概述 ## 1.1 什么是网络入侵检测系统? 网络入侵检测系统(Intrusion Detection System,简称IDS)是一种用于监控和识别网络中的异常行为和攻击行为的安全设备或软件。它通过...
运用端口匹配、深度数据包检测流量特征进行P2P流量识别
06-10
P2P流量识别识别,首先通过wincap或者Wireshark抓取ICAP文件
国家信息化安全培训之入侵检测技术.zip
11-29
7. 实战演练:通过模拟攻击场景进行实战演练,提高检测和应对能力。 在国家信息化安全培训中,通过深入学习和实践这些内容,参与者可以增强对入侵检测技术的理解和应用,从而更有效地保护国家的网络安全。
探索SSLGuala:一款强大的HTTPS流量监控工具
gitblog_00059的博客
04-23 515
探索SSLGuala:一款强大的HTTPS流量监控工具 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个开源的、跨平台的工具,主要用于检测和分析HTTPS流量。由FIRHQ开发并维护,该项目提供了一种直观的方式,帮助开发者、安全研究人员及网络管理员了解他们的网络流量情况,确保数据传输的安全性。 技术解析 核心特性 解密HTTPS流量 - SSLGuala利用中...
Suricata规则库:网络流量监控与安全防护的利器
gitblog_00024的博客
04-09 615
Suricata规则库:网络流量监控与安全防护的利器 去发现同类优质开源项目:https://gitcode.com/ 是一个开源项目,专门为Suricata网络安全引擎提供了一系列规则和配置,用于检测、预防和响应网络上的恶意活动。这个项目的目的是帮助IT专业人员更好地保护他们的网络环境,防止各种网络安全威胁。 项目简介 Suricata本身是一款高性能的网络入侵检测系统(NIDS)和网络入侵防御...
Wireshark分析https流量
开心乐源的专栏
09-13 1881
wireshark分析https流量
suricata规则编写-检测ssh爆破攻击
whime
05-22 3941
步骤: 1. 使用hydra攻击ssh服务器,利用tcpdump 抓包。 2. 编写suricata规则 3. 重放pcap包测试效果。 利用hydra和 tcpdump获取攻击流量包 在
Suricata详解
热门推荐
IAMZTDSF的博客
06-15 1万+
Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。是一款开源、快速、高度稳定的网络入侵检测系统Suricata引擎能够实时入侵检测,内联入侵防御和网络安全监控。Suricata由几个模块组成,如捕捉、采集、解码、检测和输出。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elast
Suricata:开源网络分析和威胁检测
网络研究观
10-02 567
Suricata 是由 OISF 和 Suricata 社区开发的网络入侵检测系统、入侵防御系统和网络安全监控引擎。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值