snort 中的规则解析框架(三)

最新推荐文章于 2024-05-30 00:00:00 发布
最新推荐文章于 2024-05-30 00:00:00 发布
阅读量196 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/u/572632/blog/289471
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

简介

    前面两篇文章已经对部分代码做了分析,这里从整体上总结下snort处理配置文件的流程。

http://my.oschina.net/u/572632/blog/289256

http://my.oschina.net/u/572632/blog/289421

流程分析

   snort读取配置文件是为了根据配置文件初始化某些数据或使能某些结构。但同时snort的配置文件又支持包含(include)其他文件的功能,并且支持换行('\')符. 

    根据以上限制对照分析,配置文件的处理流程如下图:

  1. 首先初始化必要的基础结构

  2. 然后解析顶层文件

  3. 每个被解析单元是以一条规则为单位

  4. 分析规则部分特征来触发不同的解析方式

  5. 如果被触发的include方式则递归解析被包含的子文件

  6. 根据以上发现snort解析配置文件最重要的思想就是根据解析出来的数据选择下一步细化处理的插件,这样的处理方式相当灵活.

172159_Fst9_572632.jpg

结构分析

  1. 将待动态加载配置的模块看作数据初始化管理中的单元,存放待获取配置文件完成初始化接口的集合看作插件管理,将文件顶层词法分析看作文件解析管理。

  2. 待初始化的模块将自己的接口提供给插件管理注册

  3. 插件管理整理各个模块的初始化接口,并自己再注册部分必要的规则分析接口

  4. 文件解析管理负责不断读取配置文件,并以规则条目为顶层单元触发顶层插件

  5. 不断的分析该规则特征,并在提取到满足触发条件的特征后触发相应的插件.

  6. 在解析规则的过程中也触发了部分待初始化的数据注册的接口,这些接口也就根据配置文件对相应的模块进行了使能和初始化.

174727_pURO_572632.jpg

转载于:https://my.oschina.net/u/572632/blog/289471

weixin_34293902
关注
SNORT3规则编写
windStudyer的专栏
03-01 8956
Snort3 IPS规则编写 1.规则基础 Snort规则被分为两个逻辑部分,规则头和规则选项。 规则头包含规则的操作、协议、源和目标IP地址,以及源和目标端口信息。 规则选项部分包含警报消息和应该检查数据包的哪些部分的信息,以确定是否应该采取规则操作。 规则举例: 注:第一个括号之前的文本是规则标题,括号包含的部分包含规则选项。规则选项部分冒号前的单词称为选项关键字。选项部分关键字可选。 2.规则规则头包含规则的操作、协议、源和目标IP地址和网掩码,以及源和..
Web流量检测与绕过(基于Snort规则
qq_42882717的博客
02-25 1191
Web流量检测与绕过SnortSnort概述Snort规则学习Snort规则编写流量特征处理消除流量特征检测特征是否消除实战 Snort 我在上一篇博客已经讲述,如何进行windows xp下的Snort+mysql配置,其余的windows系统也大差不差。 本章节主要内容是Snort规则的学习与编写,这样我们就能通过Snort检测到许多木马了。 Snort概述 Snort是一个翻译, 他自己不会说英文(抓包),只会把听到的英文(从libpcap抓到的包)翻译成国话说出来(分析后,展示给我们)。 Snor
snort3-community-rules.tar.gz
04-09
snort3社区提供的免费规则匹配文件,在官网上开放下载,但因为本身挂载在亚马逊服务器上,在国内下载可能不是很方便,所以这里上传一份方便大家来下载 # 2021-7-8 将系统动态调分提高到50积分的价格重新降回了5分
Snort3:规则语法规范(
魔神8号的博客
11-16 1639
snort规则使用轻量级语法,结构简单,语法清晰,相对容易理解snort规则语法丰富,功能强大snort引擎对规则有较为友好的语法检查和容错机制存在语法错误时,解析阶段会抛出详细的提示信息,精确到行使用http选项时对 service 选项遗漏提醒和自动补充snort3对规则语法处理上可能不够完备有时遗漏 ";"不会抛出异常多条distance 、 within 修饰的content选项组合使用时,某些情况下无法命如果期望对snort规则有较为准确。
snort3规则及软件更新指导
shen5528744的博客
01-28 678
snort3升级指导
snort体系结构图
02-17
snort图文框架,让人更加进一步理解入侵检测系统代码实现原理框架图形
snort规则 snortrules-snapshot-2.8.tar.gz/snortrules-snapshot-2970.tar.gz
04-14
压缩包还包含了一些 Snort 运行所依赖的库文件,如 `libpcap-1.8.1.tar.gz`(网络数据包捕获库)、`zlib-1.2.11.tar.gz`(压缩库)、`daq-2.0.6.tar.gz`(数据包分析框架)、`libdnet-1.12.tgz`(低级网络编程库...
【网络安全】Snort框架代码简要分析及输出
Walter的专栏
01-20 6311
Snort框架代码分析:后续对每个模块单独进行分析,snort主要采用插件注册方式,目前还支持动态插件即读取动态库的方式注册加载。 主要流程在SnortMain函数 1、SnortInit         注册输出插件alert_fast,alert_full等函数         注册preprocess插件,如stream5,frag3,rpc,arp,httpinspect   
基于Python入侵检测IDS系统4.0框架 html + css + jquery + python 3.9 +django
05-19
框架 html + css + jquery + python 3.9 + django+ scapy+snort 抓包工具 winshark,etherDetect,sniffer python manage.py runserver 0.0.0.0:8000 用户类型 管理员 admin 123456 模块介绍 登录模型 实时入侵 ...
Ubuntu server 24 安装配置 snort3 3.2.1.0 网络入侵检测防御系统 配置注册规则
最新发布
tonyhi6的博客
05-30 721
规则集分为种:Community Rules,Registered Rules,Subscriber Rules;其社区规则可以直接下载使用,注册规则需要注册之后才可以下载,但2个都免费的;5 snort检验规则,19500+条。 安装snort 3.2.1.0。1 自定义一条ping测试的规则。五 下载,配置snort3规则。3 安装pulledpork。4 安装gperftools。4 修改snort配置文件。3 查看snort版本。2 本文下载注册规则集。一 下载并安装源代码。
snort3:喷鼻息++
07-24
喷鼻息++ Snort 3 是下一代 Snort IPS(入侵防御系统)。 该文件将向您展示 Snort++ 必须提供的功能,并指导您完成从下载到演示的步骤。 如果您不熟悉 Snort,您应该先查看 Snort 文档。 我们将涵盖以下主题: 概述 此版本的 Snort++ 包括新功能以及所有 Snort 2.X 功能和针对 Snort 基本版本的错误修复,除非如下所示: Project = Snort++ Binary = snort Version = 3.0.0 (Build 250) from 2.9.11 以下是 Snort++ 的一些主要功能: 支持多包处理线程 使用共享配置和属性表 使用简单的、可编写脚本的配置 使关键组件可插拔 无端口配置的自动检测服务 在规则支持粘性缓冲区 自动生成参考文档 提供更好的跨平台支持 促进组件测试 路线图上的其他功能包括: 使用共享网
Snort3臂
02-12
使用Arm的Hyperscan在Arm上构建并安装Snort3.1.1.0 我们使用此pcap进行测试: wget 运行以下脚本来构建和安装snort3.1.1.0:./build_snort3.sh 最终,您将看到snort -V像这样: 呼吸-V ,, _- > Snort ++ < - o“)〜版本3.1.1.0 ''''Martin Roesch和The Snort Team http://snort.org/contact#team Copyright (C) 2014-2020 Cisco and/or its affiliates. All rights reserved. Copyright (C) 1998-2013 Sourcefire, Inc., et al. Using DAQ versio
snort规则
05-23
snort规则库,好用的东东哦。我找了很久的。
超详细 snort源码分析
04-27
在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System)
Snort预处理器之`DNP3`
有理论,有实验,有结论,可为一篇文章
08-20 713
文章目录1 DNP3 预处理器简介2 DNP3 预处理器的依赖3 DNP3 预处理器的配置4 DNP3 预处理器的规则选项5 DNP3 预处理器的事件 1 DNP3 预处理器简介 DNP3 预处理器是一个用于解码 DNP3 协议的 Snort 模块。它还提供了访问某些协议字段的规则选项。这允许用户为 DNP3 包编写规则,而无需使用一系列 “content” 和 “byte_test” 选项对协议进行解码。 DNP3 是一种在 SCADA 网络使用的协议。如果您的网络不包含任何支持 dnp3 的设备,我们
Snort3:使用说明(四)
魔神8号的博客
11-16 1446
通过命令行,仅能指定输出警报信息到标准输出。可通过修改配置文件,来使其输出到文件。在配置文定义了对应alert_*模块的表,即表示使能了该模式。帮助信息会显示模式的可用配置项,这些配置项可以 snort 配置文件进行配置。读取pcap文件(也可使用-i选项指定网口抓包),转存到 log 目录。按上述配置文件后,警报文件会输出到 -l 指定的目录文件名固定为。此选项可以多次指定,以设置多个规则文件。实际验证,警报模式会影响该选项输出。实际验证,警报模式会影响该选项输出。命令行最多指定一次。
Snort总结-系统结构
非同╰_╯寻常
10-10 1670
1)    主控模块实现的功能包括所有模块的初始化、命令行参数解释、配置文件解释、数据包捕获库Libpcap的初始化,然后调用Libpcap开始捕获数据包,初始化插件链表,初始化预处理插件,读入规则,形成规则匹配数据结构,规则快速匹配数据结构和输出数据结构。 2)    解码模块把从网络上抓取的原始数据,从下向上沿各个协议进行解码并填相应的数据结构,以便规则处理模块处理。 3)    预处理模块
Snort框架分析
ljl1704的专栏
01-07 1371
下面是snort2.0的框架分析,相比snort之后的版本,其结构比较简单、更容易学习和理解,其次是 本人对此版本相对比较熟悉一些,可以为初次接触和学习snort的朋友提供帮助,能够快速整体全局性地 了解snort的基本框架。下面从四个方面展开描述。 一、snort插件 snort的插件有3类,输出插件,预处理插件,规则选项检测插件 插件的好处: 灵活地选择使用哪些功能 开发人员很容易开发第方插件,易于扩展。 1、输出插件 InitOutputPlugins //输出插件初始化函数注册 1) 注册过.
入侵检测IDS学习--snort规则
程序狗的成长之路
07-24 5720
1.入侵检测的检测引擎就是通过对规则选项的分析构成了Snort 检测引擎的核心。选项主要可以分为四类, 第一类是数据包相关各种特征的描述选项,比如:content、flags、dsize、ttl等; 第二类是规则本身相关一些说明选项,比如:reference、sid、classtype、priority等; 第类是规则匹配后的动作选项,比如:msg、resp、react、session、l
理解Snort规则:编写与解析
"这篇文章主要介绍了如何量身定制Snort规则,包括Snort语法的基本结构以及规则的各个组成部分,如规则头部、规则选项、规则动作、协议、源IP地址、源端口、方向操作符、目标地址、目标端口以及规则选项的‘content...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值