入侵检测实验2 利用正则表达式编写匹配特定ip地址端口号的规则

最新推荐文章于 2024-04-13 16:19:00 发布
最新推荐文章于 2024-04-13 16:19:00 发布
阅读量411 收藏
点赞数
文章标签: 正则表达式 tcp/ip 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51491521/article/details/129898692
版权

题目信息:

if snort see two packets in a flow with
· first packet has "login" or "Initial" in payload, destination port is 3399;
· second packet has a "IPv4Address:Port" string(E.g. 123.45.6.7:8080) in payload, destination port is 3399;
output a alert with msg "bot founded" and sid 1000001

题目翻译:

如果snort在一个流中看到两个包

·首包载荷中有“login”或“Initial”,目的端口为3399;

·第二个数据包有一个“IPv4Address:Port”字符串(例如:123.45.6.7:8080),目的端口为3399;

输出一个带有MSG“bot established”和sid 1000001的警报

照例把我学习的博客内容放进来:
snort规则
网络入侵检测–Snort软件规则编写

alert tcp any any -> any 3399:表示匹配TCP协议、任何源IP、任何源端口、任何目标IP、目标端口为3399的数据包;

pcre:“/((2(5[0-5]|[0-4]\d))|[0-1]?\d{1,2})(.((2(5[0-5]|[0-4]\d))|[0-1]?\d{1,2})){3}:(6553[0-5]|655[0-2]\d|65[0-4]\d{2}|6[0-4]\d{3}|[1-5]\d{4}|\d{1,4})/”:表示匹配满足IPv4地址和端口的正则表达式的数据包,例如"123.45.6.7:8080";

  • (2(5[0-5]|[0-4]\d)): 这个子表达式匹配 200 到 255 中的一个数字。首先匹配 2,然后匹配一个后跟 0-5
    之间数字的 5,或者一个后跟 0-4 之间数字的数字,其中 \d 表示匹配任何数字字符。

  • |: 这个字符是“或”操作符,可以使表达式匹配两个条件中的任意一个。 [0-1]?: 这个子表达式匹配数字 0 或 1
    中的一个,也可以不匹配任何数字。? 表示这个数字是可选的。

  • \d{1,2}: 这个子表达式匹配 0-9 中的一个数字,可以匹配 1 或 2 个数字,{1,2} 表示这个数字可以重复 1 到 2 次。

因此,这个正则表达式可以匹配任意一个 0-255 之间的数字。当这个表达式出现在 IPv4 地址的正则表达式中时,可以用来匹配 IP 地址的每一个数字。

flowbits:isset,botlogin:表示检测是否已经在先前的数据包中发现了"login"或"Initial"字符串,并将这个信息设置为"botlogin"的流量位,以便后续数据包的检测;
msg=“bot founded”:表示在发现符合规则的数据包时输出的警报信息;
sid:1000001:表示这个规则的唯一标识符,可以用于在日志文件或其他输出中区分不同的规则。

答案:

alert tcp any any -> any 3399 (pcre:"/login|Initial/";flowbits:set,botlogin;flowbits:noalert;sid:1000002;)
alert tcp any any -> any 3399 (pcre:"/((2(5[0-5]|[0-4]\d))|[0-1]?\d{1,2})(\.((2(5[0-5]|[0-4]\d))|[0-1]?\d{1,2})){3}:(6553[0-5]|655[0-2]\d|65[0-4]\d{2}|6[0-4]\d{3}|[1-5]\d{4}|\d{1,4})/";flowbits:isset,botlogin;msg="bot founded";sid=1000001;)
陈冇某
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Snort Rules——使用pcre进行规则匹配
Coco_T的博客
03-27 2968
题目描述 if snort see two packets in a TCP flow with first packet has " login " or " Initial " in payload, destination port is 3399; and second packet has a " IPv4Address:Port " string (E.g.123.45.6.7:8080) in payload. destination port is 3399; output a aler.
正则表达式ip地址匹配(详细讲解)
m0_65463546的博客
10-10 2万+
从语法上看,完全正确,也达到了我们的题目要求,可是我们有没有注意到,我们日常生活中所用的ip地址每一位都是在0-255之间,但是我们上面写的表达式会匹配0-999之间的所有ip地址,如果在未来的工作中,有这样的需求,要匹配所有合法的ip地址,那么我们上面所写的正则表达式是不是就不符合要求了,这里就需要我们使用子表达式的嵌套(表达式为:((1\d{2}.)|(2[0-5]{2}.)|(\d{1,2}.)){3}((\d{1,2})|(1\d{2})|(2[0-5]{2}))),伙伴们可以一起实践一下!
正则表达式判断字符串中是否包含指定ip,指定端口,指定字符串
最新发布
zengliguang的专栏
04-13 205
.*<指定字符串>)(?=.*<指定 IP>)(?=.*:<指定端口>).*$1. 指定 IP:可以使用特定的模式来匹配 IP 地址。3. 指定字符串:使用普通的字符串匹配模式。2. 指定端口:通常是一个整数。
正则表达式匹配IP端口号:不能正确匹配的一种可能原因
NancyDeng的博客
04-23 2890
最近写的一个程序里要匹配IP地址端口号,但是总是匹配不成功,看了好几遍规则时正确的呀,后拆开一个一个慢慢排查原因,才发现是手贱的加了^和$在开头和结尾,这两个符号分别匹配字符串的开头和结尾,但我用的是re.search这个函数,只写了IP端口部分的正则表达式,前后没有加.*,当然匹配不上了。。。 下面是端口匹配的错误代码和修正版本: # 错误形式 domain = 'http://jppost...
JS正则表达式验证端口范围(0-65535)
01-19
javascript正则表达式验证IP地址端口合法性 if (!(/^[1-9]\d*$/.test(port) && 1 <= 1 * port && 1 * port <= 65535)){ return false } 提示文案: 您的端口不符合范围:0-65535 PS:下面看下JavaScript(Js)正则表达式验证IP+端口号 开发环境(蓝色粗体字为特别注意内容) 1,开发语言:JavaScript。 2,参考文献:https://www.jb51.net/article/177858.htm JavaScript验证IP地址端口正则表达式,拿走不谢~~~ var i
javascript正则表达式模糊匹配IP地址功能示例
10-20
主要介绍了javascript正则表达式模糊匹配IP地址功能,结合简单实例形式演示了JS模糊匹配IP地址的实现方法,涉及针对数字及字符串的相关正则判定与匹配操作技巧,需要的朋友可以参考下
Python正则表达式匹配和提取IP地址
12-25
下面是IPv4的IP正则匹配实例: 简单的匹配给定的字符串是否是ip地址 import re if re.match(r"^(?:[0-9]{1,3}\.){3}[0-9]{1,3}$", "236.168.192.1"): print "IP vaild" else: print "IP invaild" 精确的匹配给定...
正则表达式匹配IP的表达式(推荐)
12-13
这里给大家详细讲解一下一个匹配IP地址正则表达式,  有关正则方面的知识,会在详细的讲解中提到。  在讲解之前,我先给大家介绍一下,ip地址的生成规则。  IP地址,是由32位数字二进制转为四个十进制的字符串...
匹配 IP 地址与域名的正则表达式
12-13
一个完整的域名,由根域、顶级域、二级、三级&hellip;&hellip;域名构成,每级域名之间用点分开,每级域名由字母、数字和减号构成(第一个字母不...匹配完整域名的正则表达式: 代码如下: [a-zA-Z0-9][-a-zA-Z0-9]{0,62}(\.[a-zA-
url、IP端口、汉字、数字范围正则表达式验证
li_ser的专栏
01-11 5821
url、IP端口、汉字、数字范围正则表达式验证
ipv4、ipv6。MAC地址、端口正则表达式
chun的博客
12-03 2411
ip:来自站长工具 ^(25[0-5]|2[0-4]\d|[0-1]\d{2}|[1-9]?\d)\.(25[0-5]|2[0-4]\d|[0-1]\d{2}|[1-9]?\d)\.(25[0-5]|2[0-4]\d|[0-1]\d{2}|[1-9]?\d)\.(25[0-5]|2[0-4]\d|[0-1]\d{2}|[1-9]?\d)$ 端口: ^([0-9]|[1-9]\d{1,3}|[1-5]\d{4}|6[0-4]\d{3}|65[0-4]\d{2}|655[0-2]\d|6553[0-5])$
java正则表达式验证端口号_通过正则表达式验证IP端口格式的正确性
weixin_26905423的博客
02-13 1665
在网页开发中可能会遇到需要对在页面输入的ip端口进行正确性验证,那么正则表达式就是最有力的工具:1:ip正则表达式:格式是由“.”分割的四部分,每部分的范围是0-255;每段的正则可以分几部分来写:200—255;100-199;10-99;0-9;每一部分对应的正则表达式: 2[0-4]\d|25[0-5]; 1\d{2}; [1-9]\d; \d所以连起来就是\d|[1...
java正则表达式验证端口号_正则表达式检测IP地址端口号是否合法
weixin_31119637的博客
02-25 1363
正则表达式检测IP地址端口号是否合法,代码如下:正则表达式检测IP地址public static bool CheckAddress(string s){bool isLegal = false;Regex regex = new Regex(@"^((2[0-4]\d|25[0-5]|[1]?\d\d?)\.){3}(2[0-4]\d|25[0-5]|[1]?\d\d?)$");Match m...
Python正则表达式正则、regular、re)讲解,及常用正则匹配邮箱、身份证、手机号、IP地址、URL、HTML等
qq_39839807的博客
02-01 2016
正则表达式正则、regular、re)是 Python 中最常见的编程技巧,很多时候,一个好的正则表达式可以抵上几十行代码。比如:匹配(校验)邮箱、身份证、手机号、IP地址、URL、HTML等。 正则表达式,其实就是一串特殊的字符序列,而这串字符序列蕴含着事先定义好的 模式 (规则),可以用于匹配、校验其它的字符串(文本、网页等)。 但想掌握正则表达式的难度在于,其包括了较多的 基础模式语法 需...
Python 正则表达式提取URL中Port
计算机视觉
10-23 2803
正则表达式
正则表达式验证Ip地址(绝对正确)
热门推荐
ShanQuanQiang的专栏
02-04 13万+
之前一直不太会写正则表达式,很多要用到正则表达式的都直接百度,像上次要用正则表达式验证是否是合法的ip地址,然后就上网找,结果就是没找到一个对的,今天就为大家贡献一下,写个对的,并做一下解析。(建议大家还是去看书去规范的学一下,不要直接百度,不然都是坑)。 iPv4的ip地址都是(1~255).(0~255).(0~255).(0~255)的格式 下面给出相对应的正则表达式: "^(1\\d
正则表达式校验输入的ip地址端口号
06-08
以下是校验IP地址端口号正则表达式IP地址校验正则表达式: ``` ^((2[0-4]\d|25[0-5]|[01]?\d\d?)\.){3}(2[0-4]\d|25[0-5]|[01]?\d\d?)$ ``` 解释: - `^` 表示字符串的开始 - `(2[0-4]\d|25[0-5]|[01]?\d...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值