国科大网络协议安全大作业——分析流量并使用Snort规则进行检测

已于 2024-01-02 19:11:17 修改
阅读量2.3k 收藏 14
点赞数 10
分类专栏: 国科大作业 文章标签: linux centos 网络 安全 网络协议 计算机网络
于 2023-12-16 00:54:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44357071/article/details/135000825
版权

一、实验准备

1.1 实验要求

SHA256(Secure Hash Algorithm 256-bit)是一种密码学哈希函数,用于计算数据的哈希值。每个文件使用一个哈希算法只会有一个确定的哈希值。

1.2 虚拟机配置

被感染主机设置为ubuntu22.04,虚拟机IP地址为192.168.88.142

二、打开.pcap文件的流程

2.1 用root账号登录虚拟机

原因:避免wireshark奇怪报错

2.2 查看文件类型和使用命令行计算SHA256哈希值

 2.2.1在终端执行 file命令查看文件类型

file malware.pcap

2.2.2计算该文件的SHA256

shasum -a 256 malware.pcap

得到哈希值为68bdbde81313644728076c1f1dd4c3106d08a3bb428269d3866ee29520f2fb62

额外知识:在windows里使用SHA256计算哈希值

 CertUtil -hashfile "I:\virtual_machine_linux\virtual_machine\ubuntu_polyos\Ubantu_polyos-disk1.vmdk" SHA256

把文件拖到"" 内会自动出现路径

2.3 用wireshark打开.pcap文件

2.3.1 什么是.pcap文件

全称叫做packet capture,即抓到的包,被导出来,形成文件,文件就是.pcap格式,哈哈哈不是那种导出来。

2.3.2 在linux中打开.pcap文件

直接进入文件夹,找到目标文件,然后选择用wireshark打开

2.2

在导出http报文之前,先停止抓包

三、 安装snort

使用以下代码安装snort

sudo apt-get update
sudo apt-get install -y snort

出现这个界面,是选择监听的网络块,保持默认,使用方向键,然后点击OK

使用以下代码查看snort是否安装成功

snort -V

可以看到snort安装成功

四、 重点关注malware.pcap中的HTTP流量

参考以下链接学习如何导出可疑流量,然后放入检查网站检测是否是病毒

Wireshark Tutorial: Exporting Objects from a Pcap

4.1 筛选出http的请求流量

4.2 导出http的请求流量

4.3 选择全部导出

4.4 选择保存位置

4.5 通过VirusTotal鉴别文件是否是病毒

网站:VirusTotal

可以看到众多病毒检测网站都认为这个文件是一个病毒文件

4.6 回过头来再分析

这个时候我们看到,看似他是一个.pdf,实则是一个可执行文件

它的SHA256值:f25a780095730701efac67e9d5b84bc289afea56d96d8aff8a44af69ae606404

五、使用Snort来筛选病毒

5.1 将规则保存为一个文本文件,例如example.rules,并放在snort的规则目录中,例如/etc/snort/rules/

5.2 在snort的配置文件中,例如/etc/snort/snort.conf,添加一行来引用规则文件,例如include $RULE_PATH/example.rules

5.3 重启snort服务或重新加载snort配置,以使规则生效。

sudo systemctl restart snort
sudo snort -c /etc/snort/snort.conf -A console # 重新加载snort配置并在控制台显示警报

5.4 设置配置文件和监听网卡

sudo /usr/sbin/snort -d -l /var/log/snort/ -c /etc/snort/snort.conf -i ens33

上面的代码多了一个 -d 参数。这个参数的作用是让 Snort 以 数据包转储 模式运行

使用ens33是因为我的默认网卡是ens33

运行后监听网卡ens33

可以通过ctrl+c来停止监听

5.5 读取malware.pcap

参考视频https://www.youtube.com/watch?v=RUmYojxy3Xw

在执行第二条指令之前,先打开一个终端,用以下命令跟踪alert文件日志的最后几行,然后再打开一个终端,执行第二条指令,这样就可以很清晰的看到变化。

tail -f -n 5 /var/log/snort/snort.alert.fast
sudo /usr/sbin/snort -d -l /var/log/snort/ -c /etc/snort/snort.conf -r /home/itheima/snort/malware.pcap

操作界面如图所示

输出的结果如图所示,snort会帮忙扫描.pcap包中的协议类型,然后根据rules,给出相应的alert

可以见到上图中的virus detected ,是咱们在5.1 部分设置的规则,检测到由HOME_NET之外的网络发入HOME_NET之内的TCP请求,其content包含"pdf"即在日志中生成alert msg "virus detected"。

六、 选做部分

分析这个恶意文件是什么类型的恶意文件,有什么恶意行为。
https://s.threatbook.com/ 打开微步在线云沙箱网站,传入病毒文件
可以看到文件类型是Windows动态链接库文件
文件检测是恶意病毒
恶意行为有以下
起床学FPGA
关注
  • 10
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
计算机安全_Lab4_Snort实验
Yue的小部落格
06-03 5926
目录 1 实验描述 2 实验准备 3 实验内容 3.1 Snort三种工作模式 3.2 snort规则定义 3.3 task 1 :检测到其他计算机通过HTTP协议访问计算机时,显示警报。 3.4 task 2 :当有人通过任何方法以root用户身份在计算机外部登录计算机时,该规则将显示警报。 4 实验总结 1 实验描述 对于网络安全而言入侵检测是一件非常重要的事。入侵检测系...
入侵检测系统Snort v3.0-snort3-community-rules.tar.gz规则文件
12-09
在运行Snort时,它会依据这些规则网络流量进行深度检测,从而保护网络安全。 总之,Snort v3的社区规则文件是维护网络安全的重要工具,通过持续更新和优化这些规则,用户可以有效地抵御各种网络攻击,提高网络...
入侵检测 snort 详细使用实验教程
11-08
入侵检测 snort 详细使用实验教程 入侵检测 snort 详细使用实验教程
强大的轻量级网络入侵检测系统SNORT
starspirit的专栏
08-25 1748
网络日益普及的今天,网络安全变的越来越重要,作为网络安全的一个重要组成部分网络入侵检测系统(Network Intrusion Detection System,NIDS)也越来越显示出其重要性。NIDS用来监视网络数据流动情况,当入侵发生时能够提供报警。现在已经出现了很多商业的NIDS,但是它们大多比较复杂,比较难以掌握,而且比较昂贵,比较小的公司无法承受。本文将介绍一个出色的免费NIDS系统---snort,它基于GPL,作者是 Martin Roesch。最新版本是1.70版。本文将介绍snort
网络安全——基于Snort的入侵检测实验
网络工程
12-12 4584
,"/etc/snort/rules"是用于存放规则文件的路径,Snort就是根据诸多的规则文件给用户提供预警和提示的。③ 清除规则:执行"sudo vi /etc/snort/snort.conf"命令,把除了local.rules之外的规则全部注释掉(把local.rules之后的include语句注释掉;3、在配置检测规则,可根据用户所需,根据实际的情况进行规则的设置,本实验设置的是ICMP、HTTP数据包;1、入侵检测检测引擎就是通过对规则选项的分析构成了Snort 检测引擎的核心。
snort实验(一)
qq_43481350的博客
03-24 3569
snort模式 snort包含三种模式:嗅探器、数据包记录器以及网络入侵检测系统。 Snort作为网络入侵检测系统 1、利用snort命令启动入侵检测系统: sudo snort -d -h 192.168.202.134/24 -l ./log -c snort.conf -i en33 解释如下: (1)-d:显示应用层数据 (2)-h:指定snort.confHOME_NET的值,如下所示: 此条命令指明HOME_NET=192.168.202.134/24(此地址需要更换为自己的虚拟机地址)。
网络安全实验Snort网络入侵检测实验
12-16
网络安全实验Snort网络入侵检测实验
网络通信安全snort入侵检测系统使用.pdf
06-22
Snort是一个开源的网络入侵检测系统,能实时监控网络流量,识别潜在的攻击行为,并通过报警或采取响应措施来保障网络安全。 实验目的旨在让参与者理解入侵检测的基本原理,通过实际操作了解Snort的功能。实验所需的...
snort-sort.zip_Snort 安全检测
09-24
Snort 是一款开源的网络入侵检测系统(NIDS),它能够实时监控网络流量,通过复杂的规则引擎对数据包进行分析,以识别潜在的攻击行为。这个"snort-sort.zip_Snort 安全检测"文件可能包含的是一个用于处理Snort生成的...
snort实验.doc
06-18
对于网络安全而言,入侵检测是一件非常重要的事。入侵检测系统(IDS)用于检测网络非法与恶意的请求。 Snort是一款免费、开源的网络入侵防御系统(Network Intrusion Prevention System,NIPS)和网络入侵检测系统(Network Intrusion Detection System,NIDS)工具,用于管理和防御黑客入侵 Web 站点、应用程序和支持 Internet 的程序。
入侵检测系统Snort v2.9-community-rules.tar.gz规则文件
12-09
Snort是一款开源的网络入侵检测系统(NIDS),它能够实时监控网络流量,识别并防止潜在的攻击行为。Snort v2.9是其版本之一,具有强大的检测能力和灵活性,适用于各种规模的网络环境。社区规则Snort用户共享的规则...
网络安全实验】snort实现高级IDS
最新发布
weixin_52553215的博客
02-01 1528
加深理解:我们说理解/etc/snort/sid-msg.map这个文件的意义非常重要,实体signature表示的是报警信息列表规范化,即将报警事件信息按规则编号(sig_id)、规则描述(sig_name)、规则分类编号(sig_class_id)规则优先级(sig_priority)规则版本号(sig_rev),规则snort的内部编号(sig_sid;根据上面命令执行结果会在/var/log/snort/目录下生成报警文件,大家可以看到报警文件格式都是snort.log.时间戳。
Snort入侵检测系统简介
Nicholas的专栏
02-18 5292
前言 防火墙可以比喻为办公室门口的警卫,用来检查进出者的身份。而入侵检测系统就像是网上的警报器,当发现入侵者时,指出入侵者的来历、他们正在做什么。入侵检测系统被视为防火墙之后的第二道安全闸门。 实验目的 1.掌握snortIDS工作机理   2.应用snort三种方式工作   3.熟练编写snort规则 Snort IDS 概述 Snort IDS(入侵检测系统)是一个强大的网络入侵检测...
网络空间安全 恶意流量恶意代码 结合Wireshark初步分析(二)
Ax的博客
09-16 1552
网络空间安全 恶意流量恶意代码 学习入门(二)
解析pcap
weixin_45534297的博客
06-23 1570
需求:我们需要从恶意流量的log提取其ip地址。再根据ip地址去从tcpdump采集pcap包,把恶意流量提取出来。 首先是初版的解析pcap包 import os from scapy.all import * import scapy.all as scapy import sys import csv from time import strftime, localtime # f = open('log/dealpcap.log', 'a') #日志的重定向输出 # sys.stdout =
snort本地pcap检测
守望者的博客
12-04 3620
环境需求:snort和barnyard2(呈现) 本机Linux系统,直接启用snort本地包指令(可用snort  --help查询):snort -r 路径 开启barnyard2呈现 虚拟机模式(感谢森哥提供的虚拟机):配置好snort和barnyard2的虚拟机(这里是用的centos) 1、更改网卡设置,新建一个仅主机模式的虚拟机网卡(注意ip配置) 2、启动ssh服务:进去后
入侵检测:IDS-snort的安装配置及pcap规则编写思路
KEY0NE的个人博客
03-29 1680
介绍windows环境下的snort安装和配置,主要是为了下面写snort规则和验证规则做铺垫下载安装官网下载:https://www.snort.org/直接默认安装进入安装目录:C:\Snort配置文件编辑C:\Snort\etc\snort.conf 修改成如下图# Path to your rules files (this can be a relati...
网络入侵检测--Snort软件运行模式及参数详解
小人物的编程
11-15 4154
介绍了snort的三种运行模式,及相关参数的详细解释
snort使用协议检测arpspoof攻击的原理
06-01
ARP Spoofing 攻击是一种常见的网络攻击,攻击者可以通过发送虚假的 ARP 响应包来欺骗目标主机和网关之间的 ARP 缓存,从而实现间人攻击。为了检测 ARP Spoofing 攻击,可以在 Snort 编写规则检测 ARP 协议的异常行为。 具体来说,可以通过编写如下的 Snort 规则检测 ARP Spoofing 攻击: ``` alert arp any any -> any any (msg:"ARP Spoofing Detected"; arp:reply; threshold: type both, track by_src, count 5, seconds 10; sid:100004; rev:1;) ``` 该规则的含义是,当 Snort 检测到任意源地址和任意目的地址之间发生的 ARP 响应包,且连续 5 次发生在 10 秒内,则触发警报,提示可能发生了 ARP Spoofing 攻击。 这里使用Snort 的一些关键字和选项,例如 "alert" 表示触发警报,"arp:reply" 表示检测 ARP 响应包,"threshold: type both, track by_src, count 5, seconds 10;" 表示设置阈值,当连续发生 5 次 ARP 响应包且在 10 秒内,则触发警报,"sid" 表示规则的唯一标识符。 具体原理是,当攻击者进行 ARP Spoofing 攻击时,会发送虚假的 ARP 响应包,从而欺骗目标主机和网关之间的 ARP 缓存。Snort检测到 ARP 响应包时,会提取其的关键信息,如源 IP 地址、目的 IP 地址、源 MAC 地址、目的 MAC 地址等,并与规则定义的匹配条件进行比对,如果匹配成功,则触发警报。 通过编写这样的规则,就可以有效地检测 ARP Spoofing 攻击,帮助管理员及时发现和防范网络攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值