IPS规则开发中常见问题清单

已于 2022-02-27 11:44:27 修改
阅读量2.4k 收藏
点赞数 1
分类专栏: 入侵检测 文章标签: snort
于 2022-02-25 15:18:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44288604/article/details/123133622
版权

目录

规则问题

1:研判

请确认规则是否勾选了研判,以及虚拟机在跑规则的时候,是否开启了研判

显示(尝试)(成功)
ips rule_judge config judge_rule_alert switch on	

只显示(尝试)
ips rule_judge config judge_rule_alert switch off

2:http请求与响应

  • http头的content使用http_headerpcre使用H

  • http请求体的content使用http_client_bodypcre使用P

  • http响应体的contentpcre前面使用file_data

警告,由于file_data后面的内容一律视为http响应体的内容,此时不能把响应头的内容写到file_data后面。请按照要求,使用上面的修饰符,有不少设备不告警问题是由于没有正确使用修饰符导致的,但与此同时,承认,偶尔,可能出现使用修饰符会导致设备不告警。

例如:

tid60515不告警的反馈结果是:http头解析异常,按照普通content匹配,去掉http_header和pcre末尾的’\H’

tid67287不告警的反馈结果是:http头解析异常未解析出uri,urilen无法匹配

3:http头与http正文

如下图,“请求/响应”头 与 “请求/响应”主体部分之间是0d 0a 0d 0a

在这里插入图片描述

如果使用http_client_body匹配请求体,或者file_data匹配响应体时:

  • 头与体不能连在一起

  • 主体部分不能以0d 0a开始,然后紧跟主体部分

    ❌ file_data; content:"|0d 0a d0 cf|";

    ❌ file_data; content:"|0d 0a 0d 0a d0 cf|";

    ✅ content:"|0d 0a 0d 0a d0 cf|";

    ✅ file_data; content:"|d0 cf|";

  • 不能在主体中使用distance等关键字来联系头部

    ❌ content:“ms-powerpoint”; http_header; file_data; content:"|d0 cf 11|"; distance:4;

    ✅ content:“ms-powerpoint”; http_header; file_data; content:"|d0 cf 11|";

  • 对规则取逆的时候,请看清楚需要取逆的数据所在的位置,不要乱放位置

4:关键字

flow

flow关键字作用于tcp协议的规则,不能使用在udp类型的数据包上

tcp.option

【根据反馈结果显示:如果一个cve对应的数据包存在不同的tcp.option,就只能逐个匹配了】

描述

这个选项直接匹配tcp选项的内容,格式类似content的形式,在引号双竖线中以十六进制形式依次将每个字节罗列。比较的是tcp选项。最大有效范围是30个字节。超过只比较前30个字节。

格式

tcp.option: "|hex|";

示例

例如要检测一个特定tcp选项的规则选项可以写为:

tcp.option:"| E3 56 3B 2D 49 58 AC 7E 37 45|";

其中第一个引号前可以有空格,每一个十六进制数之间只用一个空格,"|"与第一个十六进制数之间可以有空格。即上面的规则选项可以写为:

tcp.option: "| E3 56 3B 2D 49 58 AC 7E 37 45|";

约束

  1. 十六进制数个数必须为偶数,且每两个十六进制之间必须有空格
  2. hex与管道(”|”)之间不能有空格
  3. 至多有30个十六进制对

注:tcp.option指定的"|hex|"会从报文中tcp选项的第一个字节开始对比,如下图所示报文:

tcp.option:"|03 03 02 01 05 00 01 00|"; ➡ 可匹配成功

tcp.option:"|03 03 02 01 05 00|"; ➡ 可匹配成功

tcp.option:"|02 01 05 00 01 00|"; ➡ 匹配失败

在这里插入图片描述

dsize

引擎暂不支持dsize=0的数据包

http.host_len

引擎暂不支持http.host_len

http_header

http 的请求是按行处理,若开始第一行中包含换行符会导致uri解析失败,会按照普通content处理

【解决方式】http头域对应匹配,直接指定content,不需加http_header修饰

offset/dsize

涉及重组报文,请尽量不使用offset和dsize之类会失效的选项

释义

众所周知,TCP是面向字节流的。“面向字节流”的含义是:虽然应用程序和 TCP 的交互是一次一个数据块(大小不等),但 TCP 把应用程序交下来的数据仅仅看成是一连串的无结构的字节流。TCP对数据包的分割、重组就是NG设备里的重组报文的含义。比如http就是典型的会流重组的报文,简单来说就是http协议慎用offset/dsize关键字

5:协议

加密协议

  • tls处理为service https, service ssl
  • dtls协议的写service dtls

ftp协议

对于ftp协议,写为metadata:service ftp, service ftp-data, service http

注意添加ftp-data,http,这两个是产品部要求的

telnet协议

对于telnet协议的数据包,匹配数据包中的16进制数据时,需要加上rawbytes关键字。

以tid 61813 为例,不加rawbytes关键字设备无法告警

6:明文匹配

有些规则,虽然规则明文与数据包内容不完全匹配,但是snort可以告警,需要手动检查规则。

7:深度

关键字最大长度
msg2048
content2048
uricontent2048
HTTP的max_header_buffer_len2048

对于超长http请求头,注意匹配深度不要超过2048,否则无法匹配成功!

pcre:"/GET \x2f HTTP\x2f1\x2e1[\s\S]{12000,}/iD"

8:数据包

回环地址

数据包地址为环回地址时,设备无法检测。

lainwith
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
绿宝石ROM开发内置修改器IPS补丁
07-09
绿宝石内置修改器IPS ,绿宝石内置修改器IPS生成器 手机: 1. GBA模拟器(myboy!),设置->其它->ROM补丁 2. 将ips文件名改成和游戏文件名一样,并且放在同一个文件夹里。 例如游戏文件名为“ROM.gba”,ips文件名则改为“ROM.ips” 3. 进入游戏按start键,选择“作弊” 电脑: 1. VisualBoyAdvance(简称VBA),选项->模拟器->自动使用ips补丁 2. 将ips文件名改成和游戏文件名一样,并且放在同一个文件夹里。 例如游戏文件名为“ROM.gba”,ips文件名则改为“ROM.ips” 3. 进入游戏按start键,选择“作弊” 注: 也可手动打补丁,把补丁整合到gba文件里,但如果一个gba文件使用多个补丁,可能会造成冲突,容易出bug 特别提示: 1. 选择完要修改的技能后按右方向键选择“确定”,然后再按A键修改完成 2. 按start键可以让光标选到【确定】选项 3. 穿墙功能要慎用,尽量不要超出地图边界,死机毁存档我不负责
IPS规则开发的一些误区
LainWith的博客
02-25 758
目录CVE-2001-1032 PHP-Nuke文件泄漏和上传漏洞CVE-2006-2926 Qbik WinGate HTTP请求 缓冲区溢出漏洞CVE-2018-1270 Pivotal Software Spring Framework 代码注入漏洞CVE-2018-3903 Samsung SmartThings Hub video-core HTTP服务器缓冲区错误漏洞HTTP Generic SQL注入探测攻击 这里整理了以前技术支撑发现的一些问题,愿大家在规则开发,避开这些误区。 提供的原
snort规则编写简述
热门推荐
狂客队长
03-22 2万+
编写snort 规则 snort使用一种简单的,轻量级的规则描述语言,这种语言灵活而强大。在开发snort规则时要记住几个简单的原则。     第一, 大多数snort规则都写在一个单行上,或者在多行之间的行尾用/分隔。Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的
SNORT3规则编写
windStudyer的专栏
03-01 8691
Snort3 IPS规则编写 1.规则基础 Snort规则被分为两个逻辑部分,规则头和规则选项。 规则头包含规则的操作、协议、源和目标IP地址,以及源和目标端口信息。 规则选项部分包含警报消息和应该检查数据包的哪些部分的信息,以确定是否应该采取规则操作。 规则举例: 注:第一个括号之前的文本是规则标题,括号包含的部分包含规则选项。规则选项部分冒号前的单词称为选项关键字。选项部分关键字可选。 2.规则规则头包含规则的操作、协议、源和目标IP地址和网掩码,以及源和..
IPS BYPASS姿势
weixin_34212189的博客
03-08 271
MayIKissYou · 2014/12/16 16:170x00 背景之前wooyun上经常也看到一些bypass的方法,如利用mysql的特性bypass web程序的防注入函数,又例如直接构造绕过防注入的正则等等。最近在编写IPS特征的时候,发现在一些其他的角度上可以做到绕过IPS防护,下面就将这些另外的角度做一个总结。在描述的时候涉及到一些网络层面的基础知识,这里不单独叙述,在利用姿势里...
IPS规则从哪来
LainWith的博客
09-08 1399
目录前言PeiQI WiKi文库⭐⭐⭐TALOS⭐⭐⭐⭐国家信息安全漏洞库⭐⭐⭐⭐⭐白阁文库seebugCERTexploit-dbpwnwiki漏洞复现博客针对工具其他 前言 IPS,一种防御网络攻击的设备,除了防御常见的web攻击、黑客工具攻击……更重要的是能够针对当下爆出的新漏洞进行防御。那么,当你面对一个日渐完善的规则库,如何继续开发新的规则呢?下面介绍一下我找漏洞的一些思路。 PeiQI WiKi文库⭐⭐⭐ 我最喜欢的漏洞文库,简明扼要的记录的漏洞的利用方式,告诉你fofa要搜索的内容、漏洞点、P
入侵检测(IPS)--基础知识
程序狗的成长之路
07-22 9047
1.TOE(TCP Offload Engine ,TCP卸载引擎)是一个延续了多年的概念,它旨在使用网卡上专用处理器来完成一些或所有数据包的处理任务。也就是说,通过采用配有TOE芯片的专用网卡,包括TCP在内的四层处理请示都可以从主机处理器转移到网卡(参见图4),其最终的结果就是在加速网络响应的同时提高服务器的性能。
网络--http--IPS测试时,发现没有日志,定位发现是实际报文没有传输(server返回304代码,因该是200才对)和乱序问题
我不是庸医
08-28 418
现象 IPS检测没有出现日志 环境 使用了一个旁路测试环境,PC1访问PC2,通过sw镜像到IPS检测设备上 问题定位: 1、抓包发现,流量乱序 原因:镜像流量,把出入口的流量双方向全都镜像了 解决:只镜像了一个口 2、检查包的http是否正常传输 原因:http的返回码是304,结果发现是因为服务器端认为没有变化,未实际传输报文 解决:打开服务器端,观察实际是否传输,一般通过...
IPS的原理以及使用手册(cisco4240)
Stephen_jj的博客
05-27 7838
IPS的原理以及使用手册(cisco4240) 好久没写博客了,今天终于把IPS的知识掌握完毕,所以将这些内容分析出来,感兴趣的同学请继续往下看。 本篇讲的内容会偏多,其包括下面的几个方面: 1、IPS的基本原理 2、IPS的console的初始化 3、IDM环境搭建 4、IPS的在线模式和杂合模式 5、IPS的signature(签名/策略)和alerts(警告) 6、IPS signature engine(引擎)介绍 7、IPS参数调整 8、IPS的调控和配置blocking IPS的基本原理 IP
基础电子的简述IPS工作原理和技术特征
11-05
在下边的文章里,我们通过文字和图片尽可能简单的阐述IPS工作原理,并且介绍IPS系统的四项技术特征。  IPS工作原理  IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的...
ips.rar_ips
09-20
ip控件的使用, 能实现ip地址的添加,查找,删除
浪潮商用机 IPS合规性
07-14
浪潮商用机 IPS合规
IPSIDS特征识别和签名或规则编写
05-06
IPSIDS特征识别和签名或规则编写 写的非常详细,图文并茂,看完保证你能明白。
tshark在流量分析的绝佳应用(超详细)
LainWith的博客
03-28 1万+
目录简介参数tshark与wireshark对比基本命令获取数据包摘要信息显示时间格式捕获过滤器捕获并保存数据包显示过滤器区分显示过滤器和读取过滤器一些好用的显示过滤器-e参数的应用HTTP的应用案例mysql的应用案例-z参数的应用专家信息:**-z expert**追踪流:**-z follow**-z http统计数据包信息统计会话统计出所有IP显示每个协议树的具体信息导出对象追踪流追踪tcp流/http流追踪流数量读取TCP流-纯16进制读取TCP流-16进制读取TCP流-ascii获取TCP流
windows下安装snort,以及简单使用
LainWith的博客
09-15 8932
环境准备配置环境变量启动snort配置规则排雷小试牛刀编写规则捕获并过滤出命令注入的数据包分析数据包查看结果 环境准备 在虚拟机win7下安装snort 准备软件: 疯狂下一步,没什么好说的 snort: https://www.snort.org/downloads npcap:https://nmap.org/npcap/ 完事后,你可以在C盘下看到snort 配置环境变量 这一步的主要作用是为了避免非得跑到snort的bin目录下才能运行snort,配置了环境变量你可以在任意位置运行snor.
入侵检测——nbtscan(扫描篇)
LainWith的博客
04-13 8681
目录环境介绍工具简介数据包规则 环境介绍 NAT模式: kali攻击方 win7受害者 Metasploitable受害者 工具简介 一个在本地或远程TCP/IP网络上扫描开放的NETBIOS名称服务器的命令行工具。它基于Windows系统的nbtstat工具的功能实现,但它可在许多地址上运行,而不是仅一个地址。 用法: 用法: nbtscan-unixwiz [选项] 目标 [目标...] 目标可以是IP地址,DNS名称或地址的列表范围。 范围可以表示成“192.168.12.0/24”
入侵检测:User-Agent
LainWith的博客
02-09 6002
目录前言HydraWPScanWordpresscanWebRootSharinGanRsasSkipfishBruteXSSXSStestnmapW3afzgrabhttrackiFinDsqlmapwhatwebniktoDirBusterIndy Library 前言 在入侵检测,有一类防御类型是针对黑客攻工具的,不少工具只有“User-Agent”是其唯一可识别项,因此整理了一些可以基于“User-Agent”作为识别特征的工具。 规则开发很简单,这里暂且举两个例子,一个是纯content的,一
IPS的——SQL注入绕过与反绕过
LainWith的博客
11-08 5909
目录前言1. 空格字符绕过2. 大小写绕过3. 浮点数绕过绕过IDP角度分析4. NULL值绕过绕过IDP角度分析5. 引号绕过6. HEX绕过7. 添加库名绕过8. 去重复绕过⭐绕过IDP角度分析9. 反引号绕过10. 脚本语言特性绕过绕过IDP角度分析11. substr 截取字符串⭐绕过IDP角度分析12. mid 截取字符串⭐12. 使用join绕过13. like绕过⭐14. limit offset 绕过15. or and xor not 绕过⭐16. ascii 字符绕过⭐17. 等号绕过⭐
天融信ips规则库升级
最新发布
08-16
天融信IPS规则库升级是指对天融信系统的入侵防御系统(IPS规则库进行更新和升级。IPS规则库包含了针对已知攻击和漏洞的检测和防御规则,通过定期更新和升级规则库,可以增强系统对新出现的威胁的识别和防御能力。 升级IPS规则库通常具有以下目的: 1. 新增攻击和漏洞的检测规则:随着网络威胁的不断演进,新的攻击技术和漏洞可能会出现。通过升级规则库,可以及时识别新出现的攻击行为,提高系统的安全性。 2. 修复已知漏洞和弱点:IPS规则库升级还可以修复已知的漏洞和弱点,以减少系统受到攻击的风险。 3. 优化规则库性能:升级规则库还可以对现有规则进行优化,提高系统的性能和效率。 升级IPS规则库可以通过天融信官方网站或者系统管理界面进行下载和安装。建议定期检查和升级IPS规则库,以保持系统的安全性和防御能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值