snort 中的规则解析框架(三)

最新推荐文章于 2024-05-16 10:47:05 发布
最新推荐文章于 2024-05-16 10:47:05 发布
阅读量196 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/u/572632/blog/289471
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

简介

    前面两篇文章已经对部分代码做了分析,这里从整体上总结下snort处理配置文件的流程。

http://my.oschina.net/u/572632/blog/289256

http://my.oschina.net/u/572632/blog/289421

流程分析

   snort读取配置文件是为了根据配置文件初始化某些数据或使能某些结构。但同时snort的配置文件又支持包含(include)其他文件的功能,并且支持换行('\')符. 

    根据以上限制对照分析,配置文件的处理流程如下图:

  1. 首先初始化必要的基础结构

  2. 然后解析顶层文件

  3. 每个被解析单元是以一条规则为单位

  4. 分析规则部分特征来触发不同的解析方式

  5. 如果被触发的include方式则递归解析被包含的子文件

  6. 根据以上发现snort解析配置文件最重要的思想就是根据解析出来的数据选择下一步细化处理的插件,这样的处理方式相当灵活.

172159_Fst9_572632.jpg

结构分析

  1. 将待动态加载配置的模块看作数据初始化管理中的单元,存放待获取配置文件完成初始化接口的集合看作插件管理,将文件顶层词法分析看作文件解析管理。

  2. 待初始化的模块将自己的接口提供给插件管理注册

  3. 插件管理整理各个模块的初始化接口,并自己再注册部分必要的规则分析接口

  4. 文件解析管理负责不断读取配置文件,并以规则条目为顶层单元触发顶层插件

  5. 不断的分析该规则特征,并在提取到满足触发条件的特征后触发相应的插件.

  6. 在解析规则的过程中也触发了部分待初始化的数据注册的接口,这些接口也就根据配置文件对相应的模块进行了使能和初始化.

174727_pURO_572632.jpg

转载于:https://my.oschina.net/u/572632/blog/289471

weixin_34293902
关注
snort规则 snortrules-snapshot-2.8.tar.gz/snortrules-snapshot-2970.tar.gz
04-14
压缩包还包含了一些 Snort 运行所依赖的库文件,如 `libpcap-1.8.1.tar.gz`(网络数据包捕获库)、`zlib-1.2.11.tar.gz`(压缩库)、`daq-2.0.6.tar.gz`(数据包分析框架)、`libdnet-1.12.tgz`(低级网络编程库...
认识Snort3 (1):编译、安装与简单使用
weixin_44911246的博客
01-07 8063
Snort 简介 Snort,是一款开源的 IDS/IPS 软件,由思科公司(Cisco)主导开发,使用广泛。Snort种模式——包嗅探模式(Packet Sniffer)、包记录模式(Packet Logging)、IPS模式(Intrusion Prevention System)。搭配自定义的规则、不同的插件与其他软件,Snort 能在不同的系统发挥不同的作用。 本篇文章简单记录 Snort3 的编译、安装和简单使用流程。 编译安装 Snort3 例子使用的操作系统是 Ubuntu Serv
Snort3:规则语法规范(
魔神8号的博客
11-16 1705
snort规则使用轻量级语法,结构简单,语法清晰,相对容易理解snort规则语法丰富,功能强大snort引擎对规则有较为友好的语法检查和容错机制存在语法错误时,解析阶段会抛出详细的提示信息,精确到行使用http选项时对 service 选项遗漏提醒和自动补充snort3对规则语法处理上可能不够完备有时遗漏 ";"不会抛出异常多条distance 、 within 修饰的content选项组合使用时,某些情况下无法命如果期望对snort规则有较为准确。
最新Snort3和Snort2安装详细教程
橙留香Park的博客
01-17 7395
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
SNORT3规则编写
windStudyer的专栏
03-01 8980
Snort3 IPS规则编写 1.规则基础 Snort规则被分为两个逻辑部分,规则头和规则选项。 规则头包含规则的操作、协议、源和目标IP地址,以及源和目标端口信息。 规则选项部分包含警报消息和应该检查数据包的哪些部分的信息,以确定是否应该采取规则操作。 规则举例: 注:第一个括号之前的文本是规则标题,括号包含的部分包含规则选项。规则选项部分冒号前的单词称为选项关键字。选项部分关键字可选。 2.规则规则头包含规则的操作、协议、源和目标IP地址和网掩码,以及源和..
在Ubuntu 上安装和配置Snort 3 NIDS
dzqxwzoe的博客
02-23 1577
没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。再就是,要正式进入web安全领域,得学会web渗透,OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握,像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
基于Python入侵检测IDS系统4.0框架 html + css + jquery + python 3.9 +django
最新发布
05-19
框架 html + css + jquery + python 3.9 + django+ scapy+snort 抓包工具 winshark,etherDetect,sniffer python manage.py runserver 0.0.0.0:8000 用户类型 管理员 admin 123456 模块介绍 登录模型 实时入侵 ...
基于Python入侵检测IDS系统3.0框架 html + css + jquery + python 3.9 +django
05-19
框架 html + css + jquery + python 3.9 + django+ scapy + snort 抓包工具 winshark,etherDetect,sniffer python manage.py runserver 0.0.0.0:8000 用户类型 管理员 admin 123456 模块介绍 登录模型 实时入侵 ...
Snort框架分析
ljl1704的专栏
01-07 1383
下面是snort2.0的框架分析,相比snort之后的版本,其结构比较简单、更容易学习和理解,其次是 本人对此版本相对比较熟悉一些,可以为初次接触和学习snort的朋友提供帮助,能够快速整体全局性地 了解snort的基本框架。下面从四个方面展开描述。 一、snort插件 snort的插件有3类,输出插件,预处理插件,规则选项检测插件 插件的好处: 灵活地选择使用哪些功能 开发人员很容易开发第方插件,易于扩展。 1、输出插件 InitOutputPlugins //输出插件初始化函数注册 1) 注册过.
Snort3:使用说明(四)
魔神8号的博客
11-16 1480
通过命令行,仅能指定输出警报信息到标准输出。可通过修改配置文件,来使其输出到文件。在配置文定义了对应alert_*模块的表,即表示使能了该模式。帮助信息会显示模式的可用配置项,这些配置项可以 snort 配置文件进行配置。读取pcap文件(也可使用-i选项指定网口抓包),转存到 log 目录。按上述配置文件后,警报文件会输出到 -l 指定的目录文件名固定为。此选项可以多次指定,以设置多个规则文件。实际验证,警报模式会影响该选项输出。实际验证,警报模式会影响该选项输出。命令行最多指定一次。
Ubuntu 18.04上使用snort3搭建NIDS()| ELK可视化篇
01-09
为最近项目上要用到snort3,但是找了很多博客都是snort2.9.x的安装与配置,所以只能靠着官网文档和自己的反复摸索来学习snort3相关的内容。后面将会把snort3相关的发一个系列的博客,这是第篇,实现了snort3与ELK数据展示分析组件联动进行告警可视化。后续内容敬请期待,等我理清了思路就来~ 往期回顾 Ubuntu 18.04上使用snort3搭建NIDS(一)| 安装篇 Ubuntu 18.04上使用snort3搭建NIDS(二)| 配置篇 在上一节,经过配置,大概可以实现一个建议的网络入侵检测系统了,但是它对于检测到的潜在的攻击数据只是简单的进行记录、在输出的告警文件
snort3-community-rules.tar.gz
04-09
snort3社区提供的免费规则匹配文件,在官网上开放下载,但因为本身挂载在亚马逊服务器上,在国内下载可能不是很方便,所以这里上传一份方便大家来下载 # 2021-7-8 将系统动态调分提高到50积分的价格重新降回了5分
snort体系结构图
02-17
snort图文框架,让人更加进一步理解入侵检测系统代码实现原理框架图形
snort3规则及软件更新指导
shen5528744的博客
01-28 685
snort3升级指导
没人讲清楚!我来讲!---- Ubuntu 20.04下载配置Snort3,参数讲解及实现协议警报
weixin_45266856的博客
05-16 2533
Snort是一个功能强大的开源网络入侵检测和预防系统(IDS/IPS),由于1998年创建,现由Cisco旗下的Sourcefire进行维护和开发。Snort通过监控网络流量,根据预定义的规则检测并响应潜在的安全威胁。每次都去修改snort.lua文件太麻烦,如想要捕获别的类型数据包并输出警报,可以创建自定义规则以如下命令来讲解自定义规则的匹配参数,表示当匹配的任意端口向的任意端口发送UDP的数据包时,snort会发出警报rev:1;alert。
Centos 8 stream安装snort3(2023年2月3日更新部分问题)
shen5528744的博客
01-11 1339
Centos 8 stream安装snort3,安装时间2023年1月11日,亲测成功。
Snort3:新一代开源网络入侵检测系统
gitblog_00099的博客
03-23 600
Snort3:新一代开源网络入侵检测系统 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个强大的开源网络安全工具,用于实时流量监控、网络入侵检测和预防。作为 Snort 系列的最新版本,Snort3 提供了显著的性能提升和现代化的设计,使它成为企业级安全解决方案的理想选择。 技术分析 高效与可扩展性 Snort3 利用了多线程处理和事件驱动的架构,使其在处理大量网...
入侵检测IDS学习--snort规则
程序狗的成长之路
07-24 5733
1.入侵检测的检测引擎就是通过对规则选项的分析构成了Snort 检测引擎的核心。选项主要可以分为四类, 第一类是数据包相关各种特征的描述选项,比如:content、flags、dsize、ttl等; 第二类是规则本身相关一些说明选项,比如:reference、sid、classtype、priority等; 第类是规则匹配后的动作选项,比如:msg、resp、react、session、l
Snort3:概述(一)
魔神8号的博客
11-15 273
恶意网络活动,并使用这些规则来。
理解Snort规则:编写与解析
"这篇文章主要介绍了如何量身定制Snort规则,包括Snort语法的基本结构以及规则的各个组成部分,如规则头部、规则选项、规则动作、协议、源IP地址、源端口、方向操作符、目标地址、目标端口以及规则选项的‘content...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值