Snort规则详述

最新推荐文章于 2024-07-19 16:09:28 发布
最新推荐文章于 2024-07-19 16:09:28 发布
阅读量410 收藏
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51491521/article/details/129703479
版权

flow控制 可以减少误报率
有三个参数
定义方向 flow

(to _client,to_server,established)

flowbits 提供小型状态机, pcre也能做这样的事,不过这个更简单

(set,unset,isset,noalert)

其实是设置一些bit数组,哪个发生了,就set(1)
通过flowbit 可以做设置选项
isset 是否被设置
noalert==不发生警报

对负载进行匹配 ,包含规则选项,

规则后处理

官方文档
https://snort.org/faq/readme-filters
必要性:有可能会出发很多警报,这些警报有时是冗余,有时可能由一个漏洞产生数万个警报,正常的

rate filtering 根据事件速度,对规则采取新的动作
·new action of event
当事件报告速度超过一定值,采取新动作

Event Filtering
·reduce the number of event

Event Suppressing
·ignore it for specified target
针对特定地址(比如内网地址),发生这种事件我就不报了(比如认为内网可控制)

Example:
在这里插入图片描述
·头部五元组的定义
这个是做IRC服务的
flow:to_server,若发往其他方向就不管了
established,如果其他报文也有负载,但没有建立连接,也不管了
content:
“PRIVMSG”,把特定关键字匹配
并不是整个负载都要匹配,而是depth8,这里没有offset,说明从头开始
nocase 大小写无关
.DCC后的都是IRC协议内的东西

若6666:7000段内包含这些匹配项的话,就给它增加个上下文“flowbits内的内容” 且noalert

Example2:
在这里插入图片描述
黄色内容:
flowbits 减少误报
红色:
pcre的模式 把这个bot匹配出来
flowbits:
if(isset)发警报
content内是匹配内容 “http|3a|//”(3a代表冒号:)
\s 空格
*可以理解为闭包(0个多个)
+ 一个或多个
\x 表示/
这个正则表达式,不就是,编译原理讲过的

规则检测的报文如何联动??留作作业

预处理器 The prprocessors of Snort

13:30录音
detect: sfportscan, reputation

reassemble: frag3, session, stream

decode & detect: http/smtp/pop3/dns/…·
解码的过程中也会检测
management: performance monitor
管理 性能管理,检测,监控
rewrite the packet: normalizer
这个比较特殊,并不用在IDS里,而是ADS里 因为rewrite,要重写了,上面四个并不改变报文,最多创建一个对象,

detect

sfportscan

based on statistics of packet
TCP/UDP/IP

one-one

many-one
从目的端口做宿端口统计,
如果有一个服务器,别人来访问我的80端口(web)就好了,但扫描的时候不知道我打开了哪些端口,就会扫描我所有端口,用1000个地址,此时发现问题

one-many
若445端口有漏洞,我就看哪些扫描了1000个机器的445端口,此时发现问题

reputation 黑名单

IP Blacklist/Whitelist
snort最核心的是负载部分的处理,ip地址里的东西很少,所以关键在端口 。检测时对非负载部分先头部,再负载,做成树状图,在每个叶节点都有负载的子集,检测content或pcre。
implemented in route table format
以路由表中的结构做ip地址的匹配
performance better than rule

the first pp where packet arrived

reassemble the flow

6:00
把不同ttl的分片
frag3 vs. Session vs. Stream
frags : IP fragment·
session & stream
Transport protocol fragment
stream5
memory cost
预处理器占用内存很多,重组这种事,把无状态-》有状态,占用大量内存

区别session vs stream:
Session
flow flowbits就是用session这个预处理器维护和支持的。
它为每个流创建上下文
provide context for rule detection(flow, flowbits)
·support TCP(default), UDP ICMPIP
·tcp session count: 256k(default), 1M(max)

14:05
·stream
·Target-Based
·Anomaly Detection
·Protocol Aware Flushing
·support application protocol decode
3和4相关,可以在了解协议时 tcp本身没有边界

Decode & Detect
Application Protocol
HTTP SMTP etc.
rule content options
improve detection accuracy

陈冇某
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Snort rules概述
Adminxe的博客
05-03 968
0x01 前言 今天看到小伙伴说面试过程中碰到面试官问Snort规则问题,然后找了下资料,整理了一下,来做一下分享,如果涉及侵权,请联系我删除,这边只做公益分享。 0x02 Snort rules 知识总结 Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的包的具体部分。 规则...
snort rule snort rules snort 规则集 2900
02-20
snort官网上下载的规则集 版本2900 包括文本规则和so规则 snort官网上下载的规则集 版本2900 包括文本规则和so规则
Snort规则检测引擎--架构解析
网络安全研究
08-24 2016
规则头和规则选项 snort将所有已知的攻击以规则的形式放在规则中,规则中的每条规则条目分为两个部分:规则头(RuleHeader)和规则选项(RuleOption)。 规则头包括:规则行为、协议、源/目的IP地址、子网掩码以及源/目的端口、数据流方向。 规则选项包含:报警信息和异常包的信息 (特征码) 这是Snort中一条事件定义:alert tcp $EXTERNAL_NET any-&g...
Snort3:规则语法规范(三)
魔神8号的博客
11-16 1095
snort规则使用轻量级语法,结构简单,语法清晰,相对容易理解snort规则语法丰富,功能强大snort引擎对规则有较为友好的语法检查和容错机制存在语法错误时,解析阶段会抛出详细的提示信息,精确到行使用http选项时对 service 选项遗漏提醒和自动补充snort3对规则语法处理上可能不够完备有时遗漏 ";"不会抛出异常多条distance 、 within 修饰的content选项组合使用时,某些情况下无法命中如果期望对snort规则有较为准确。
Snort搭建以及规则编写
xhscxj的博客
11-21 3988
它具有实时数据流量分析和记录IP网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索/匹配。此外,Snort是开源的入侵检测系统,并具有很好的扩展性和可移植性。中,规则储存在 /etc/snort/rules中,编译规则储存在 /usr/local/lib/snort_dynamicrules 中,日志粗存在 /var/log/snort 中。我们使用官方给的免费的社区规则,如果有需要的话可以选择官方的其他套餐。
snort2.9规则-学习笔记
weixin_44813582的博客
05-07 7026
目录 规则动作 协议部分 Ip地址 端口号 方向操作符 规则选项 general rule options payload detection rule options non-payload detection rule options post-detection rule options 大多数snort规则都写在一个单行上,或者在多行之间的行尾用/分隔。Snort规则...
Snort 中文手册
斑竹的程序设计专栏
09-17 2084
Snort 中文手册摘要snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。(2003-12-11 16:39:12)Snort 用户手册 第一章
snort系统规则
我们俩
10-19 2798
Snort系统根据入侵者在进行入侵时所执行程序的某些行为为特征,建立一种入侵行为模型。根据这种行为模型所代表的入侵意图的行为特征,来判断用户执行的操作是否是属于入侵行为。要建立一个这样的特征信息(又称攻击签名) 的前提是必须建立一个有效、可扩展的特征描述方法,能够描述所有的入侵事件。Snort 规则分为两部分: 规则头部和规则选项。规则头部包含规则的操作、协议、源IP 地址和目标IP 地址及其网
snort规则 好东西
12-22
snort规则,下载后直接解压到snort文件夹下,覆盖就行了
snort 规则
09-20
现在我们来深入探讨Snort规则的结构、类型以及它们在入侵检测中的作用。 Snort规则主要由两部分组成:头域和选项域。头域包含了事件类型(如警报、日志或忽略)、协议、源和目标IP地址、源和目标端口。选项域则包含...
snort2.9规则
09-24
3. **rules**:这是Snort的主要规则文件,包含了用Snort规则语言编写的签名。每条规则定义了一个特定的网络事件,如特定的攻击模式、异常流量或已知的恶意软件特征。规则通常包括匹配条件(如IP地址、端口、协议和...
Snort2.8规则
05-28
snort2.8完整规则集,已用于snort源码上编译成功
snort规则--flow分析
程序狗的成长之路
07-30 5008
1. 1 flow:   这个选项要和TCP流重建联合使用。它允许规则只应用到流量流的某个方向上。这将允许规则只应用到客户端或者服务器端。这将能把内网客户端流览web页面的数据包和内网服务器所发送的数据包区分开来。这个确定的关键字能够代替标志:A+ 这个标志在显示已建立的TCP连接时都将被使用。
网络入侵检测系统之Suricata(十六)--类suricata/snort规则自动维护工具
诗酒趁年华
03-08 366
之前一直想写一个工具用来维护一套类suricata/snort规则,需要做到脚本运行后自动可以爬取预先设置的网站规则,然后会将规则进行一些处理并存为数据,接着可以进行相关的统计,比如今天新增多少规则或者哪些规则已经废弃了。
Kali 下安装snort并且配置规则(保姆级教学)
weixin_67066346的博客
04-20 4583
你还在为安装snort报错而烦恼么?这篇文章将解决你的问题!!!下面便进入正题吧,以下是snort的安装第一步:首先是先安装好以下几个包:如果报错了,就用aptitude install + 包名 这条指令(记得先Apt-get isnatll aptitude)接着先去snort官网下载daq接下来在安装snort前,我们先安装LuaJIT安装好后,我们便可以下载安装snort了,老样子,和装daq一样的,右键复制snort的链接网址,然后下载。
编写snort规则检测网络攻击
guansheng123的博客
02-23 5560
Snort 规则被分成两个逻辑部分:规则头和规则选项。 规则头包含规则的 动作,协议,源和目标 ip 地址与网络掩码,以源和目标端口信息; 规则选项 部分包含报警消息内容和要检查的包的具体部分。 Alert:使用选择的报警方法生成一个警报,然后记录(log)这个包。 Alert 动作用来在一个包符合规则条件时发送告警消息。告警的发送有多种方式, 例如可以发送到文件或者控制台。 Snort 当前分析可疑包的 ip 协议有四种: tcp 、 udp、 icmp 和 ip。...
snort规则
qq_32350719的博客
09-19 1万+
Snort规则被分成两个逻辑部分:规则头和规则选项。 规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息; 规则选项部分包含报警消息内容和要检查的包的具体部分。 1. 规则规则动作 在snort中有五种动作:alert、log、pass、activate和dynamic. Alert:使用选择的报警方法生成一个警报,然后记录(log)这个包。 Alert动作用来在一个...
「干货」Snort使用手册「详细版」
热门推荐
橙留香Park的博客
01-21 1万+
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
【Socket 编程】基于UDP协议建立多人聊天室
最新发布
稻草人敲代码的博客
07-19 372
对于服务端来说,除了要接收消息之外,还要实现一个路由转发模块,该路由转发模块可以将相应发送给所有连接的客户端。而对于客户端来说,除了要发送消息给聊天室,还要能实时看到其它所有客户端的消息。下面来看看具体实现的代码,代码只给出核心模块,其余代码模块代码可以借鉴我之前的博客。具体来说,服务器类实现的功能只有收消息。
snort 规则下载
08-19
Snort 规则下载是指通过网络Snort IDS(入侵检测系统)所需的规则集下载到本地机器上。 首先,为了下载 Snort 规则,我们需要访问 Snort 官方网站或其他可靠的资源,如 Snort 规则公开数据。在网站的下载页面...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值