NIDS——suricata(三)

于 2024-09-11 19:47:59 发布
阅读量1.1k 收藏 29
点赞数 11
分类专栏: 安全 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58666006/article/details/142145170
版权

一、监控ICMP流量

1、ICMP流量特征

        四大特征分别为:消息类型(Type)、代码(Code)、校验和(Checksum)、数据字段(Data Field)。这里我们使用 type消息类型。

        ICMP 消息的类型字段标识了消息的类型。常见的类型包括回显请求(Echo Request,类型 8),回显应答(Echo Reply,类型 0),目的不可达(Destination Unreachable,类型 3),超时(Time Exceeded,类型 11)等。

        而 ping 命令就是利用 ICMP 回显请求和回显应答来检查网络连接的连通性。

2、获取ICMP流量

通过ping的方式来获取该流量

ping ip        

ping了四次

锁定特征

 

构造规则

在suricata中与Type* 8对应的是itype: 8,因此无需再写prce或content

 alert icmp $EXTERNAL_NET any <> $HOME_NET any (msg:"icmp流量检测"; itype:8;threshold: type threshold,track by_src,count 10,seconds 20;sid:561011;)

threshold:用于设定和定义基于特定条件的阈值规则。

type threshold:设定规则为阈值类型,还可以是type rate等,限制速率,防止DDOS攻击。

track by_src:根据源 IP 地址来跟踪请求。

count 10,seconds 20:20秒内发生10次.

意思是:在20秒内连续ping10次就触发警告。

添加测试

 添加:

测试:

成功

二、监控TCP流量

1、预警TCP连接过高(全连接)

        所谓的全连接简单来说就是建立TCP连接的过程,确保双方都准备好进行通信。攻击者通过构建大量的全连接使服务器崩溃。

  规则构建:

flow:established,to_server这是关键字

flow:to_client, established:匹配从服务器到客户端的已建立连接的数据包。
flow:to_server, established, only_stream:匹配从客户端到服务器的已建立连接的数据包,并且这些数据包属于单一的数据流。
flow:to_server, not_established, no_frag:匹配从客户端到服务器的数据包,但这些数据包不属于已建立的连接,并且不允许是分片的。

alert tcp $EXTERNAL_NET any <> $HOME_NET any (msg:"tcp连接过高,请及时检测!(全)"; flow:established,to_server;threshold: type threshold,track by_src,count 20,seconds 10;sid:561013;)

写入规则与测试:

写入:

测试:

在kali中使用如下命令安装wrk:
apt install wrk

全连接攻击:

wrk -c 300 -t 4 -d 600 http://192.168.248.134/pikachu
-c, 跟主机保持连接数量
-d, 测试持续时间
-t, 开启线程数

成功 

三、监控SSH流量

1、抓取登录失败流量

分析:

        ssh登录时客户端和服务端会交换密钥然后产生新的密钥New Keys,ssh在爆破时会产生很多次New Keys,这就是ssh爆破的一个特征。

        其中每个New Keys的最后都是如下图这样:

框住的是16进制。

2、构建规则

根据上述的特征,先构建正则表达式,匹配New Keys中的最后的内容

prce:"|15 00 00 00 00 00 00 00 00 00 00|"

构建整个规则:

alert ssh any any <> $HOME_NET 22 (msg:"SSH爆破"; content: "|15 00 00 00 00 00 00 00 00 00 00|"; threshold: type threshold, track by_src, count 2, seconds 20; sid:5622002;)

四、MySql预警

1、登录失败预警

(1)保证系统的mysql可以远程连接

这里我使用的是xampp中的自带的mysql,初始时是没有密码的

修改成如下如这样就可以远程连接了:

测试远程连接


远程连接成功。

(2)抓取流量

 查看wireshark抓取的流量信息

成功时:

既然成功了,也没必要提醒了。

失败时:

查看失败流量:

(3)编写规则

锁定关键点:

Error message: Access denied for user 'root'@'192.168.164.1' (using password: YES)

中的:

Access denied for user

编写规则:

首先要在/etc/suricata/suricata.yaml添加一个MySql端口(3306)的变量:

vi etc/suricata/suricata.yaml 

我这里没有设置,直接填写为3306

Suricata默认并没有提供对MySQL的应用层协议的支持,所以只能使用TCP协议。

规则:

alert tcp any any <> any 3306 (msg:"MySQL登录失败"; content:"Access denied for user"; nocase; sid:5620001;)

(4)添加规则并测试:

添加:

测试:

成功

2、Mysql爆破预警

 1、编写规则

在登录失败的基础上加上阈值来构建MySql爆破的监控规则:

alert tcp any any <> any 3306 (msg:"MySQL爆破攻击"; content:"Access denied for user"; nocase; threshold: type threshold, track by_src, count 5, seconds 10; sid:5620002;)

2、添加规则并测试

 添加:

测试:

成功

3、MySql木马写入

1、锁定语句:

select "<?php eval($_POST['code']); ?>" into outfile "/opt/shell.php";

2、构建规则 

alert tcp any any <> any 3306 (msg:"MySQL木马写入"; content:"into outfile"; nocase; pcre: "/eval|assert|system|_POST|_GET/i"; sid:5620004;)

3、添加规则与测试

 测试:

Sun@happy
关注
专栏目录
suricata规则编写-检测ssh爆破攻击
whime
05-22 3701
步骤: 1. 使用hydra攻击ssh服务器,利用tcpdump 抓包。 2. 编写suricata规则 3. 重放pcap包测试效果。 利用hydra和 tcpdump获取攻击流量包 在
suricata mysql_Suricata 配置文件阅读 以及标注
weixin_39882589的博客
02-11 544
Suricata.yamlSuricata uses the Yaml format for configuration. The Suricata.yamlfile included in the source code, is the example configuration ofSuricata. This document will explain each option.At the ...
流量数据特征相关与攻击
lijieling123的博客
04-01 3869
数据包 根据网络协议的类型,数据包有不同的格式。数据包通常由两部分组成:数据包报头和它的有效负载 报头负责引导包在网络中传输,并标记包的源信息。在许多数据收集方法中,报头对于识别和过滤数据包变得很重要。一些基于报头的方法,根据报头中包含的IP地址、端口和协议将数据包分类为多个流。有效负载包含在通信各方之间交换的数据,尽管其中一些数据可以被加密 libpcap函数库提供了收集数据包流的所有内容的功能 网络流量的最小传输单元是一个包,每个包包括一个或多个报头和一个有效负载。例如,超文本传输协议(HTTP)包包
SSH流量分析
最新发布
欢迎光临
07-18 936
compression_algorithms_server_to_client string: 包含了服务器到客户端的压缩算法的列表。kex_algorithms: 包含了客户端和服务器之间支持的密钥交换算法的列表,这些算法用于在SSH连接的初始阶段协商密钥交换算法,curve25519-sha256就包含在其中。: 表示KEX H签名的具体数值。mac_algorithms_server_to_client string: 包含了服务器到客户端的消息认证码算法的列表。
suricata mysql_配置suricata
weixin_29728529的博客
02-06 363
yum -y install libpcap libpcap-devel libnet libnet-devel pcre \pcre-devel gcc gcc-c++ automake autoconf libtool make libyaml \libyaml-devel zlib zlib-devel libcap-ng libcap-ng-devel magic magic-devel ...
ProbeManager_Suricata:适用于探针管理器的Suricata NIDS模块
05-12
在远程服务器上安装和更新Suricata NIDS。 配置设置并测试配置。 添加,删除,更新脚本和签名。 测试签名的合规性。 测试签名是否通过Pcap生成警报。 通过HTTP或上传文件添加规则。 通过HTTP(EmergingThreat ...
Suricata + Wireshark离线流量日志分析
10-06
Suricata是一款开源的网络入侵检测系统(NIDS)和网络入侵预防系统(NIPS)。它能够实时监控网络流量,检测恶意活动,包括病毒、木马、DoS攻击、钓鱼攻击等。Suricata支持多种协议解析,如TCP/IP、HTTP、DNS等,且...
Ubuntu 18.04上使用snort3搭建NIDS)| ELK可视化篇
01-09
后面将会把snort3相关的发一个系列的博客,这是第篇,实现了snort3与ELK数据展示分析组件联动进行告警可视化。后续内容敬请期待,等我理清了思路就来~ 往期回顾 Ubuntu 18.04上使用snort3搭建NIDS(一)| 安装篇 ...
Suricata规则编写——常用关键字
热门推荐
Traxer的学习之路
03-31 1万+
1.简介现在的NIDS领域snort一枝独秀,而suricata是完全兼容snort规则的多线程IDS,无论在效率还是性能上都超过原有的snort,这个系列主要针对suricata的规则中的一些关键字进行了解和学习,参考链接为:https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules2.基本关键字所
nids.rar_NIDS_libnids_nids.lib_nids开发_visual c
09-23
标题中的“nids.rar_NIDS_libnids_nids.lib_nids开发_visual c”指的是一个关于网络入侵检测系统(Network Intrusion Detection System, NIDS)的压缩包文件,它包含了libnids库的相关资源,用于在Visual C++环境中...
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF.
SSH爆破:是什么?怎么查?怎么预防?
weixin_52730346的博客
12-24 4579
一、SSH爆破是什么? 如果在设置SSH服务时,管理员设置了容易被猜解出来的用户名和密码(弱口令),那么云服务器容易被黑客使用对应的密码工具进行暴力破解弱口令。破解出来就可以使用对应的用户名和密码登录系统。所以提醒大家:云服务器的登录密码一定不要设置为弱口令。 二、检查SSH是否被爆破 之前我的小鸟云内蒙bgp云服务器密码就是用的弱口令,差一点就被爆破了,后来联系了技术人员,自己也上网查找了一些资料,整理如下: 1.查看自己是否被爆破和爆破者IP cat /var/log/secure|awk '/Fail
suricata mysql_Suricata启用Hyperscan支持以及Prelude-siem安装方法.md
weixin_29263201的博客
02-11 446
# Suricata启用Hyperscan支持以及Prelude-siem安装方法## 0x01 安装 Hyperscan### 1、Hyperscan 安装要求:* GCC 版本大于等于 4.8.1,使用 yum 源安装即可* CMake 版本大于等于 2.8.11,使用 yum 源安装即可* Ragel 版本大于等于 6.9,使用 yum 源安装即可* Python 版本为 2.7,使用系统默...
FRP内网穿透如何避免SSH暴力破解(一)
Peter's Blog
02-06 1606
FRP作为高性能内网穿透工具,广泛运用在高校和企业的内网服务器穿透,让内部服务器可以通过外网访问内部资源。但是FRP给运维人员带来便利的同时,也暗藏被Hacker爆破攻击的风险。传统防止SSH被扫描爆破的方法有很多,比如关闭密码认证只允许ssh密钥认证、Fail2ban封掉扫描机器ip等等。但是由于FRP服务器无法区分异常流量,目前已有的方法只能在内网服务器部署,大量来自攻击者的流量仍会占据大量FRP隧道资源。同时来自FRP服务器的流量来源ip都是127.0.0.1,难以用Fail2ban过滤。
suricata安装以及流量抓包
qq_39744805的博客
08-24 268
先安装wazuh的agent上篇博客有提到。与wazuh联动,所以查看wazuh官方文档配置要求跟着配置一步步走就行到这一步,需要将本台ubuntu的ip写上ip addr查看正在使用的是哪块网卡,例如ens33,写在interface后面全都完成好后重启wazuh-agent和suricata
Suricata通过barnyard2将告警事件存入mysql
u011311291的博客
01-10 2617
barnyard2的输入可以为bro,snort,suricata的告警文件,输出可以为文件,sguil,database 这里以suricata+barnyard2为例,输出文件格式必须为unified2格式 一.修改suricata的配置文件suricata.yaml,修正输出格式 outputs: - fast: enabled: yes filename: fast.l...
Suricata入侵检测系统的搭建
煜铭2011
11-20 8713
0x01、安装CentOS1 基于CentOS-6.8-x86_64-bin-DVD1.iso,安装时选择desktop, customiz now,databases-->>mysql*, 进行安装mysql, 这里我们要配置可以访问外网。尽量选择多的开发包,不要选择最小化安装,因为那样的话,系统会缺失很多依赖包的,在后期编译的时候会出现很多问题的。毕竟现在硬盘和内存都很大了,不必节省那么点空间
关于linux中SSH爆破总结
weixin_34372728的博客
01-15 1091
2.思路 (1)对root账号进行暴力破解 (2)使用中国姓名top1000作为用户名进行暴力破解 (3)使用top 10000 password字典进行密码破解 (4)利用掌握信息进行社工信息整理并生成字典暴力破解 (5)信息的综合利用以及循环利用 ssh后门 1. 软连接后门 ln -sf /usr/sbin/sshd /tmp/su; /tmp/su-oP...
Suricata文件关键字详细指南:规则与元设置
Suricata是一款强大的网络入侵检测系统(NIDS)和网络威胁防御系统,它提供了一套丰富的规则关键字,用于匹配和分析网络流量中的文件属性。本文档详细介绍了在Suricata 4.0.0版本中如何利用这些关键字进行规则配置。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值