suricata 规则备注

最新推荐文章于 2024-09-30 15:42:36 发布
最新推荐文章于 2024-09-30 15:42:36 发布
阅读量424 收藏 10
点赞数 5
文章标签: 前端 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014212273/article/details/141564269
版权

alert icmp any any -> any any (msg:"ICMP Ping Flood Detected"; itype:8; flow:to_server; threshold:type both, track by_src, count 10, seconds 10; sid:1000
001; rev:1;)

这段配置是一个网络安全规则,特别是用在基于Snort或类似入侵检测系统(IDS)中,用于检测ICMP(Internet Control Message Protocol,互联网控制消息协议)的Ping洪水攻击。下面是对这段配置的详细解释:

  • alert icmp any any -> any any:这表示规则的动作是alert(报警),它适用于所有源地址(any any)到所有目标地址(any any)的ICMP协议流量。这里,any any是一个简化的表示,实际使用中可能需要更具体的IP地址或网络范围。

  • (msg:"ICMP Ping Flood Detected";:这是规则的一部分,用于指定当规则触发时显示的消息。在这个例子中,消息是"ICMP Ping Flood Detected",意味着检测到了ICMP Ping洪水攻击。

  • itype:8;:这指定了ICMP消息的类型。ICMP类型8是Echo请求(通常是Ping请求)。这意味着规则仅对Ping请求生效。

  • flow:to_server;:这指定了流量的方向。to_server表示流量是向服务器的,即从客户端到服务器的流量。这有助于区分不同方向的流量,以便更精确地应用规则。

  • threshold:type both, track by_src, count 10, seconds 10;:这是规则的关键部分,用于定义触发报警的条件。type both可能是一个简化的或特定于系统的表示,通常用于指定是考虑单一方向还是双向流量。track by_src表示跟踪将以源地址为基础,即如果来自同一源地址的流量满足条件,则触发报警。count 10, seconds 10表示在10秒内,如果来自同一源地址的ICMP Echo请求数量达到10个,则触发报警。

  • sid:1000001;:这是规则的唯一标识符(Signature ID)。它用于在日志或报告中唯一地标识这条规则。

  • rev:1;:这是规则的版本号,用于跟踪和记录规则的修改历史。

综上所述,这条规则的目的是在检测到来自同一源地址的连续10个ICMP Echo请求(即Ping请求),且这些请求在10秒内发生时,触发报警,提示可能发生了ICMP Ping洪水攻击。这种类型的攻击可能被用于网络扫描、带宽消耗或隐藏其他类型的攻击。

(让今天比昨天更懂得多一点点点。深入了解一点点)

甘北
关注
suricata中command的实现分析和自定义命令方法
每天分享一个编程小知识
05-20 408
1)注册命令:在UnixManagerThreadSpawnNonRunmode函数中注册命令"just-test": UnixManagerRegisterCommand("just-test", Justtest, NULL, 0);SCEnter();int i = 0;
scirius:Scirius是用于Suricata规则集管理的Web应用程序
02-05
Scirius是一款基于Web的开源应用程序,专门设计用于管理和维护Suricata规则集。Suricata是一款强大的网络威胁检测引擎,广泛应用于网络安全监控和入侵防御系统(IDS/IPS)。Scirius的出现使得Suricata规则的管理...
suricata-update:更新您的Suricata规则的工具
04-30
Suricata更新 用于更新您的Suricata规则的工具。 安装 点安装--upgrade suricata-update 文献资料 问题 用法示例 suricata更新 suricata-update的默认调用将执行以下操作: 阅读配置,/ etc / suricata / update.yaml(如果存在)。 读入规则过滤器配置文件: /etc/suricata/disable.conf /etc/suricata/enable.conf /etc/suricata/drop.conf /etc/suricata/modify.conf 下载找到的Suricata版本的最佳版本的Emerging Threats Open规则集。 从/ etc / suricata / rules中读取Suricata发行版随附的规则文件。 应用禁用,启用,删除和修改过滤器。 解
suricata 检测规则编写
xuwaiwai的博客
09-11 4735
目录 规则规则行为,根据优先级排列: 协议: 源ip,目标ip: 源端口/目标端口: 流量方向: 规则体 msg: flow流匹配: flowbits : sameip源ip、目标ip检测: content内容匹配: 不区分大小写 nocase: 偏移位置 offset: 结束位置 depth: 在xx范围外 distance : 在xx范围内 within: 有效载荷大小 dsize: pcre正则 pcre: http修饰符: fast_pattern...
Suricata规则配置
weixin_30394669的博客
04-12 1760
Suricata 规则配置 IDS/IPS/WAF IPS、IDS和WAF分别是入侵防御系统和入侵检测系统以及WEB应用防火墙的简称,很多人说这些玩意不就是盒子吗已经过时了,其实不是,SIEM其实是有效的正规的打法,对于内网安全监控室非常必要的东西。之前大家的方式都是摒弃盒子思维,觉得盒子不靠谱防御不了真正的攻击行为。这样的理解难说不是国内众多盒子厂商(本人待过很多)走低价竞争路线的一个恶性...
Suricata规则下的威胁检测
m0_59598029的博客
08-02 798
流量对抗作为网络安全最关键、最重要的一个环节,针对流量的威胁检测显的尤为重要。同时以流量检测为支撑的安全产品层出不穷,其中XDR(拓展检测响应)目前最受欢迎。而suricata目前作为开源的优秀网络流量检测引擎,并且不断进行了持续优化更新,不仅支持多种网络协议、常见编码、HTTP细分关键字等,大大提升了对威胁检测的有效性,希望对检测响应方向有兴趣的同学可以一起交流学习。
Suricata安装与使用:常用关键字、规则BUG
weixin_43778378的博客
01-24 2443
目录Suricata简介实验环境虚拟机版本信息Suricata版本Suricata安装安装过程更新规则库常用规则关键字Suricata使用补充说明 Suricata简介 Suricata是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。 实验环境 虚拟机版本信息 虚拟机平台:VMw
Suricata IDS 入门 — 规则详解
SHELLCODE_8BIT的博客
12-21 6592
suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)与nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。 安全脉搏SecPulse.Com独家发文,如需转载,请先联系授权。 1.规则配置 配置文件位置:/etc/suricata/suricata.yaml 规则目录位置:/etc/suricata/rules 先设置HOME_NET与EXTERNAL_NET,推荐HOME_NET填写内网网段,EXTERNAL_NET设
suricata
ice_rib的博客
03-26 983
action决定当规则匹配的时候的行为。
suricata 各个线程干的事情 -- 主线程
xuwaiwai的博客
01-06 4499
suricata 各个线程的作用 -- 主线程
suricata规则Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
02-06
suricata规则Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新Suricata规则,并将其保存在管理良好的数据库中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分...
OTX-Suricata:OTX Suricata规则生成器可用于创建Suricata规则和配置,以从您的OTX帐户中发出指标警报
05-02
OTX Suricata规则生成器 OTX Suricata规则生成器可用于为Suricata创建规则和配置,以从您的OTX帐户(otx.alienvault.com)发出警报。 这是通过suricata IP信誉和文件提取功能完成的。 对于您订阅的每个脉冲,这会将...
Suricata是什么?
weixin_33770878的博客
08-17 617
      不多说,直接上干货!       见Suricata的官网 https://suricata.readthedocs.io/en/latest/what-is-suricata.html         snort、suircata、bro,这三个都是非常优秀的IDS(入侵检测系统)。由于对bro没有深入了解,我们对比了snort和suricata,结合sur...
登录功能开发 P167重点
最新发布
2303_81204446的博客
09-30 102
前端无法识别controller方法,因此存在Dispa什么的。Claims:jwt中的第二部分。
Webpack 打包后文件过大,如何优化?
官方推荐
09-30 1496
Webpack 打包后文件过大,如何优化?
Web认识 -- 第一课
ZxVSaccount的博客
09-30 680
这里是我们进入前端学习的开端,在本次更新之后我会陆续上传html,css,javaScript等相关语言的教程,有感兴趣的小伙伴们点点关注,未来我们一起学习!IE、火狐和谷歌是目前互联网上的三大浏览器,其他常用的浏览器还有苹果的Safari浏览器和欧朋浏览器等。对于一般的网站,只要兼容IE浏览器、火狐浏览器和谷歌浏览器,就能满足绝大多数用户的需求。本节主要简单介绍了一下关于HTML、CSS、JavaScript的一些基本概念,有感兴趣的朋友,点点关注我们一起学习,博主持续更新中!
前端规范工程-2:JS代码规范(Prettier + ESLint)
Vinca@的博客
09-26 683
Prettier 主要关注代码的格式,而 ESLint 则关注代码的质量和规范。结合使用这两个工具,可以极大地提高代码的可读性和维护性,同时减少潜在的错误和不一致性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值