存疑解惑

最新推荐文章于 2023-08-02 11:30:00 发布
最新推荐文章于 2023-08-02 11:30:00 发布
阅读量469 收藏
点赞数
分类专栏: 入侵检测 文章标签: snort
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44288604/article/details/108640370
版权

TCP协议

snort的专栏里面,以DVWA之反射型XSS攻击为例

问题描述

反射型XSS使用的是HTTP协议,经GET方法发起攻击,然而我的snort规则所用的协议却是TCP,它是怎么去检测HTTP的?
附上规则内容:

alert tcp any any -> any any (msg:"DVWA-XSS_r漏洞攻击"; flow:to_server,established; uricontent:"DVWA-master/vulnerabilities/xss_r"; fast_pattern:only; uricontent:"name="; nocase; pcre:"/name[\s=]+?.+?(%3c|\x3c|<).+?(%3E|\x3E|>)/iU"; metadata:service http; sid:3; rev:1;)

一些思考

首先观察这个数据包,可以看到攻击的主要内容在红色部分,虽然用“三次握手”或者wireshark的TCP追踪流,能解释snort的协议应该使用的是TCP协议,但总觉得牵强。因为TCP是网络层的协议,要是分析数据包也应该是分析网络层及网络层之下的协议,不应该分析网路层上面的协议。
在这里插入图片描述

正解

1:认为应该分析网络层及网络层之下的协议是错误的。
我产生这个想法是受wireshark红色框选部分影响,想当然的认为如果分析网络层就应该能够分析网络层及数据链路层的协议
在这里插入图片描述
2:snort使用TCP协议就能分析HTTP协议是因为协议封装。
数据包经过一层就会加封一层,应用层的内容是TCP的数据部分,所以分析TCP协议就可以看到TCP数据部分的内容——HTTP
在这里插入图片描述
在这里插入图片描述

lainwith
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
suricata匹配从入门到精通(三)----开始编写简单的snort规则
leeezp的博客
08-31 32万+
suricata 兼容 snort规则的大部分语法。今天我来教大家编写一条检测请求的规则。基于suricata 6.0.x 版本。 欢迎关注专栏,会持续更新...
网络协议一讲
weixin_42280395的博客
02-24 780
有这么一个经典的小问题: Q: 为什么有时候网页访问连接失败,但QQ能够连上? A:QQ直接使用IP地址连接服务器,而网络用的是DNS TCP/IP协议族 TCP/IP 是互联网相关的各类协议族的总称,按层次分别分:应用层、传输层、网络层和数据链路层 接收端的服务器在链路层接收到数据,按序往上层发送,一直到应用层。当传输到应用层,才能算真正接收到由客户端发送过来的 HTTP请求 发送端在层与层之间传输数据时,每经过一层时必定会被打上一个该层所属的首部信息。反之,接收端在层与层传输数据时,每经过一层时会
入侵检测:User-Agent
LainWith的博客
02-09 6315
目录前言HydraWPScanWordpresscanWebRootSharinGanRsasSkipfishBruteXSSXSStestnmapW3afzgrabhttrackiFinDsqlmapwhatwebniktoDirBusterIndy Library 前言 在入侵检测中,有一类防御类型是针对黑客攻工具的,不少工具只有“User-Agent”是其唯一可识别项,因此整理了一些可以基于“User-Agent”作为识别特征的工具。 规则的开发很简单,这里暂且举两个例子,一个是纯content的,一
Suricata规则下的威胁检测
最新发布
m0_59598029的博客
08-02 743
流量对抗作为网络安全最关键、最重要的一个环节,针对流量的威胁检测显的尤为重要。同时以流量检测为支撑的安全产品层出不穷,其中XDR(拓展检测响应)目前最受欢迎。而suricata目前作为开源的优秀网络流量检测引擎,并且不断进行了持续优化更新,不仅支持多种网络协议、常见编码、HTTP细分关键字等,大大提升了对威胁检测的有效性,希望对检测响应方向有兴趣的同学可以一起交流学习。
入侵检测——nc(扫描篇)
LainWith的博客
04-12 1174
目录环境介绍参数数据包TCP扫描UDP扫描 环境介绍 NAT模式: kali攻击方 win7受害者 Metasploitable受害者 参数 关于nc端口扫描的进一步了解参见我之前的文章:图文介绍——NC使用笔记 nc只有简单的两种扫描方式,如下: -z参数就是端口探测,默认使用TCP连接。 nc的端口扫描是从大到小,一旦能建立起三次握手,就发送FIN+ACK断开连接,然后扫描下一个端口。 nc -nvz 192.168.56.104 1-3000 #扫描win7的1-3000端口 nc -nvz 19
“集中式融合的性能一定优于分布式融合的性能”存疑
02-23
抱着对此存疑的态度,对采用IMM算法时的集中式融合与分布式融合进行了研究,给出了扩维、序贯以及等效量测3种集中式融合算法和简单方差凸组合、互协方差组合2种分布式融合算法,并设置不同运动场景对算法进行了大量仿真...
js代码-快速排序---存疑
07-16
如果`js代码-快速排序---存疑`中的“存疑”指的是代码存在疑问或bug,那么可能需要查看具体代码来找出问题所在。例如,错误的分区逻辑、递归调用不正确或者未处理边界条件等。在分析代码之前,确保理解快速排序的...
053存疑题目及新加题
05-26
【Oracle OCP考试存疑题目及解析】 在Oracle OCP认证考试中,考生可能会遇到一些存疑或新加入的题目,这些题目对于理解和掌握Oracle数据库管理的深入知识至关重要。以下是一些具体的题目及其解析: 1. 题目5: 这...
位置服务成团购网站标配 能否拯救团购存疑.docx
09-27
位置服务成团购网站标配 能否拯救团购存疑.docx
SNORT入侵检测系统
热门推荐
swordheart的博客
04-19 1万+
0x00 一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:”Web Access”; sid:1) alert:表示如果此条规则被触发则告警 tcp:协议类型 ip地址:源/目的IP地址 any/80:端口号 ->:方向操作符,还有<>双向。 msg:在告警和包日志中打印消息 sid:Snort规则id … 这条规则看字面意思就很容易理解。Snort就是利用规则来匹配数据包进行实时流量分析,网络数据包
SNORT3规则编写
windStudyer的专栏
03-01 8882
Snort3 IPS规则编写 1.规则基础 Snort规则被分为两个逻辑部分,规则头和规则选项。 规则头包含规则的操作、协议、源和目标IP地址,以及源和目标端口信息。 规则选项部分包含警报消息和应该检查数据包的哪些部分的信息,以确定是否应该采取规则操作。 规则举例: 注:第一个括号之前的文本是规则标题,括号中包含的部分包含规则选项。规则选项部分中冒号前的单词称为选项关键字。选项部分关键字可选。 2.规则头 规则头包含规则的操作、协议、源和目标IP地址和网掩码,以及源和..
撰写一组SNORT规则防御SQL注入
cnbird's blog
07-03 2358
http://bbs.chinaunix.net/viewthread.php?tid=1211897修改错误的地方:load_file()这里应该是(/%3D|=)+(/S|/s)+((/%75)|u|U|(/%55))((/%6E)|n|N|(/%4E))((/%69)|i|I|(/%49))((/%6F)|o|O|(/%4F))((/%6E)|n|N|(/%4E))(/S|/s)+(
snort 检测nmap_snort规则之常见web漏洞扫描器
weixin_39680380的博客
12-22 1188
之前工作中搭建开源IDS,架构是suricata+barnyard2+snort规则。跟同事测试写了一些常见web漏洞扫描器的规则,分享出来。很多都是根据UA来识别的,因此比较简单,可能也会有误报。#Web app scan tools rules#alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"Sqlmap found"; flow:t...
利用data:进行XSS测试
cnbird's blog
02-14 1663
利用data:进行XSS测试
snort 源码分析之规则结构分析(一)
guoguangwu的专栏
03-10 3368
snort中比较复杂的结构很多,今天和大家分享一下snort的规则设计的数据结构:规则头和规则选项 先从一条规则实例开始分析: alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"MALWARE-CNC GzWaaa outbound data connection"; flow:to_server,established...
TCP状态详解
zhoxing
02-04 540
1、TCP状态 linux查看tcp的状态命令: 1)、netstat -nat  查看TCP各个状态的数量 2)、lsof  -i:port  可以检测到打开套接字的状况 3)、  sar -n SOCK 查看tcp创建的连接数 4)、tcpdump -iany tcp port 9000 对tcp端口为9000的进行抓包
Suricata IDS 入门 — 规则详解
SHELLCODE_8BIT的博客
12-21 6474
suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)与nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。 安全脉搏SecPulse.Com独家发文,如需转载,请先联系授权。 1.规则配置 配置文件位置:/etc/suricata/suricata.yaml 规则目录位置:/etc/suricata/rules 先设置HOME_NET与EXTERNAL_NET,推荐HOME_NET填写内网网段,EXTERNAL_NET设
snort源码分析
安子自语
12-31 2612
http://www.cppblog.com/iniwf/archive/2012/05/18/77468.html OTN存储在hash表中 RTN独立存储,和OTN关联;多个OTN可能对应同一个RTN。 alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any  ---------------------------
suricata规则学习记录
weixin_41038905的博客
03-08 1448
Suricata快速模式(fast_pattern)确定解释 如果在规则中明确设置了’fast_pattern’关键字,Suricata将使用它作为快速模式匹配。fast_pattern关键字只能按规则设置一次。如果未设置“fast_pattern”,Suricata会自动确定要用作快速模式匹配的内容。以下说明Suricata用于自动确定要使用的快速模式匹配的逻辑。(请注意,如果存在正(即非否定)...
OCP考试存疑题目解析与新增试题
"这是关于Oracle OCP考试中的一些存疑题目及新增题目,主要涉及数据库健康检查报告和SQL问题诊断。" 在Oracle数据库管理中,Oracle Health Monitor (OHM) 是一个重要的工具,用于自动检测和解决数据库系统中的性能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值