国科大网络协议安全大作业——分析流量并使用Snort规则进行检测

已于 2024-01-02 19:11:17 修改
阅读量2.3k 收藏 14
点赞数 10
分类专栏: 国科大作业 文章标签: linux centos 网络 安全 网络协议 计算机网络
于 2023-12-16 00:54:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44357071/article/details/135000825
版权

一、实验准备

1.1 实验要求

SHA256(Secure Hash Algorithm 256-bit)是一种密码学哈希函数,用于计算数据的哈希值。每个文件使用一个哈希算法只会有一个确定的哈希值。

1.2 虚拟机配置

被感染主机设置为ubuntu22.04,虚拟机IP地址为192.168.88.142

二、打开.pcap文件的流程

2.1 用root账号登录虚拟机

原因:避免wireshark奇怪报错

2.2 查看文件类型和使用命令行计算SHA256哈希值

 2.2.1在终端执行 file命令查看文件类型

file malware.pcap

2.2.2计算该文件的SHA256

shasum -a 256 malware.pcap

得到哈希值为68bdbde81313644728076c1f1dd4c3106d08a3bb428269d3866ee29520f2fb62

额外知识:在windows里使用SHA256计算哈希值

 CertUtil -hashfile "I:\virtual_machine_linux\virtual_machine\ubuntu_polyos\Ubantu_polyos-disk1.vmdk" SHA256

把文件拖到"" 内会自动出现路径

2.3 用wireshark打开.pcap文件

2.3.1 什么是.pcap文件

全称叫做packet capture,即抓到的包,被导出来,形成文件,文件就是.pcap格式,哈哈哈不是那种导出来。

2.3.2 在linux中打开.pcap文件

直接进入文件夹,找到目标文件,然后选择用wireshark打开

2.2

在导出http报文之前,先停止抓包

三、 安装snort

使用以下代码安装snort

sudo apt-get update
sudo apt-get install -y snort

出现这个界面,是选择监听的网络块,保持默认,使用方向键,然后点击OK

使用以下代码查看snort是否安装成功

snort -V

可以看到snort安装成功

四、 重点关注malware.pcap中的HTTP流量

参考以下链接学习如何导出可疑流量,然后放入检查网站检测是否是病毒

Wireshark Tutorial: Exporting Objects from a Pcap

4.1 筛选出http的请求流量

4.2 导出http的请求流量

4.3 选择全部导出

4.4 选择保存位置

4.5 通过VirusTotal鉴别文件是否是病毒

网站:VirusTotal

可以看到众多病毒检测网站都认为这个文件是一个病毒文件

4.6 回过头来再分析

这个时候我们看到,看似他是一个.pdf,实则是一个可执行文件

它的SHA256值:f25a780095730701efac67e9d5b84bc289afea56d96d8aff8a44af69ae606404

五、使用Snort来筛选病毒

5.1 将规则保存为一个文本文件,例如example.rules,并放在snort的规则目录中,例如/etc/snort/rules/

5.2 在snort的配置文件中,例如/etc/snort/snort.conf,添加一行来引用规则文件,例如include $RULE_PATH/example.rules

5.3 重启snort服务或重新加载snort配置,以使规则生效。

sudo systemctl restart snort
sudo snort -c /etc/snort/snort.conf -A console # 重新加载snort配置并在控制台显示警报

5.4 设置配置文件和监听网卡

sudo /usr/sbin/snort -d -l /var/log/snort/ -c /etc/snort/snort.conf -i ens33

上面的代码多了一个 -d 参数。这个参数的作用是让 Snort 以 数据包转储 模式运行

使用ens33是因为我的默认网卡是ens33

运行后监听网卡ens33

可以通过ctrl+c来停止监听

5.5 读取malware.pcap

参考视频https://www.youtube.com/watch?v=RUmYojxy3Xw

在执行第二条指令之前,先打开一个终端,用以下命令跟踪alert文件日志的最后几行,然后再打开一个终端,执行第二条指令,这样就可以很清晰的看到变化。

tail -f -n 5 /var/log/snort/snort.alert.fast
sudo /usr/sbin/snort -d -l /var/log/snort/ -c /etc/snort/snort.conf -r /home/itheima/snort/malware.pcap

操作界面如图所示

输出的结果如图所示,snort会帮忙扫描.pcap包中的协议类型,然后根据rules,给出相应的alert

可以见到上图中的virus detected ,是咱们在5.1 部分设置的规则,检测到由HOME_NET之外的网络发入HOME_NET之内的TCP请求,其content包含"pdf"即在日志中生成alert msg "virus detected"。

六、 选做部分

分析这个恶意文件是什么类型的恶意文件,有什么恶意行为。
https://s.threatbook.com/ 打开微步在线云沙箱网站,传入病毒文件
可以看到文件类型是Windows动态链接库文件
文件检测是恶意病毒
恶意行为有以下
起床学FPGA
关注
  • 10
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
超详细 snort源码分析
04-27
在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System)
入侵检测系统Snort v3.0-snort3-community-rules.tar.gz规则文件
12-09
在运行Snort时,它会依据这些规则网络流量进行深度检测,从而保护网络安全。 总之,Snort v3的社区规则文件是维护网络安全的重要工具,通过持续更新和优化这些规则,用户可以有效地抵御各种网络攻击,提高网络...
[转]如何编写snort检测规则
heiyeluren的blog(黑夜路人的开源世界)
12-16 5000
如何编写snort检测规则from:  http://kunming.cyberpolice.cn/aqjs/200010.html              摘要snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时
Snort分析报告
LBY8203XJ的专栏
07-08 3678
1.--snort的简介 snort 是一个基于libpcap的数据包嗅探器并可以作为一个轻量级的网络入侵检测系统( NIDS)。所谓的轻量级是指在检测时尽可能低地影响网络的正常操作,一个优秀的轻量级的NIDS应该具备跨系统平台操作,对系统影响最小等特征并且管理员能够在短时间内
snort源码分析
qq_43445553的博客
02-24 3600
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eS0IVwzj-1645710889444)(snort分析.assets/xiaoming.jpg)] 《入侵检测技术》课程报告 《入侵检测技术》 snort分析 ​ 课程名称 入侵检测技术 ​ .
snort 源码分析规则结构分析(一)
guoguangwu的专栏
03-10 3341
snort比较复杂的结构很多,今天和大家分享一下snort规则设计的数据结构:规则头和规则选项 先从一条规则实例开始分析: alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"MALWARE-CNC GzWaaa outbound data connection"; flow:to_server,established...
网络安全实验Snort网络入侵检测实验
12-16
网络安全实验Snort网络入侵检测实验
网络通信安全snort入侵检测系统使用.pdf
06-22
Snort是一个开源的网络入侵检测系统,能实时监控网络流量,识别潜在的攻击行为,并通过报警或采取响应措施来保障网络安全。 实验目的旨在让参与者理解入侵检测的基本原理,通过实际操作了解Snort的功能。实验所需的...
snort-sort.zip_Snort 安全检测
09-24
Snort 是一款开源的网络入侵检测系统(NIDS),它能够实时监控网络流量,通过复杂的规则引擎对数据包进行分析,以识别潜在的攻击行为。这个"snort-sort.zip_Snort 安全检测"文件可能包含的是一个用于处理Snort生成的...
snort源码
05-07
比较新的网络嗅探器snort的源码
snort源代码
05-20
snort源代码, 最近做相关项目,正在研究,大家也可去官网下载
snort抓包命令
02-14
snort常用抓包命令,如log文件存放位置,抓包的格式等等
snort提高抓包效率和方法(青)
08-27
本资源在许多上面需要用钱,这里不用,呵呵,好东西,大家一起分享.
入侵检测snort源码分析经典版(详细)
11-19
九贱的源码分析,非常经典
入侵检测系统Snort v2.9-community-rules.tar.gz规则文件
12-09
Snort是一款开源的网络入侵检测系统(NIDS),它能够实时监控网络流量,识别并防止潜在的攻击行为。Snort v2.9是其版本之一,具有强大的检测能力和灵活性,适用于各种规模的网络环境。社区规则Snort用户共享的规则...
Kali 下安装snort并且配置规则(保姆级教学)
weixin_67066346的博客
04-20 4589
你还在为安装snort报错而烦恼么?这篇文章将解决你的问题!!!下面便进入正题吧,以下是snort的安装第一步:首先是先安装好以下几个包:如果报错了,就用aptitude install + 包名 这条指令(记得先Apt-get isnatll aptitude)接着先去snort官网下载daq接下来在安装snort前,我们先安装LuaJIT库安装好后,我们便可以下载安装snort了,老样子,和装daq一样的,右键复制snort的链接网址,然后下载。
实验 snort安装配置与规则编写
weixin_30411239的博客
05-18 1772
实验snort安装配置与NIDS规则编写 1 实验目的 在linux或windows任意一个平台下完成snort的安装,使snort工作在NIDS模式下,并编写符合相关情景要求的snort规则。 2 实验环境 物理机:windows 8.1 虚拟机:ubuntu 12.04 和 windows xp sp3 软件:winpcap 4.0.2 、 snort 2.9....
入侵检测:IDS-snort的安装配置及pcap规则编写思路
KEY0NE的个人博客
03-29 1687
介绍windows环境下的snort安装和配置,主要是为了下面写snort规则和验证规则做铺垫下载安装官网下载:https://www.snort.org/直接默认安装进入安装目录:C:\Snort配置文件编辑C:\Snort\etc\snort.conf 修改成如下图# Path to your rules files (this can be a relati...
snort使用协议检测arpspoof攻击的原理
最新发布
06-01
ARP Spoofing 攻击是一种常见的网络攻击,攻击者可以通过发送虚假的 ARP 响应包来欺骗目标主机和网关之间的 ARP 缓存,从而实现间人攻击。为了检测 ARP Spoofing 攻击,可以在 Snort 编写规则检测 ARP 协议的异常行为。 具体来说,可以通过编写如下的 Snort 规则检测 ARP Spoofing 攻击: ``` alert arp any any -> any any (msg:"ARP Spoofing Detected"; arp:reply; threshold: type both, track by_src, count 5, seconds 10; sid:100004; rev:1;) ``` 该规则的含义是,当 Snort 检测到任意源地址和任意目的地址之间发生的 ARP 响应包,且连续 5 次发生在 10 秒内,则触发警报,提示可能发生了 ARP Spoofing 攻击。 这里使用Snort 的一些关键字和选项,例如 "alert" 表示触发警报,"arp:reply" 表示检测 ARP 响应包,"threshold: type both, track by_src, count 5, seconds 10;" 表示设置阈值,当连续发生 5 次 ARP 响应包且在 10 秒内,则触发警报,"sid" 表示规则的唯一标识符。 具体原理是,当攻击者进行 ARP Spoofing 攻击时,会发送虚假的 ARP 响应包,从而欺骗目标主机和网关之间的 ARP 缓存。Snort检测到 ARP 响应包时,会提取其的关键信息,如源 IP 地址、目的 IP 地址、源 MAC 地址、目的 MAC 地址等,并与规则定义的匹配条件进行比对,如果匹配成功,则触发警报。 通过编写这样的规则,就可以有效地检测 ARP Spoofing 攻击,帮助管理员及时发现和防范网络攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值