Snort Rules——使用pcre进行规则匹配

已于 2022-03-30 16:57:03 修改
阅读量3k 收藏 12
点赞数 4
分类专栏: 网络安全实训 文章标签: snort pcre
于 2022-03-27 11:05:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wu_tongtong/article/details/123734915
版权

题目描述
if snort see two packets in a TCP flow with

  • first packet has " login " or " Initial " in payload, destination port is 3399;
  • and second packet has a " IPv4Address:Port " string (E.g.123.45.6.7:8080) in payload. destination port is 3399;
  • output a alert with msg " bot founded " and sid 1000001

参考资料:
Snort规则详解
PCRE正则表达式语法
php pcre正则表达式完全教程——pcre官方文档
正则表达式校验IP地址
使用正则表达式验证IPv4地址

我们把题目中的几个难点拆分出来:

难点一:两条规则均命中,构成一个攻击事件

解决方法:设置flowbits字段(flowbits使用规范

在第一条检测规则中,我们设置一个标志位botlogin,同时设定不发出警报

flowbits:set,botlogin;flowbits:noalert;

在第二条规则中,我们检测标志位是否为1

flowbits:isset,botlogin;

难点二:first packet has " login " or " Initial " in payload

这是一个逻辑或的内容匹配,我们可以使用pcre规则实现

快速浏览一下PCRE正则表达式语法后,我们可以捏出来一个规则雏形:

pcre:"login|Initial";

实际上,这个 " 显而易见 " 规则,就可以解决第二个难点了,但还存在一点点语法错误
参考一下pcre中分隔符和元字符的使用方法,我们可以在前后加上小括号让pattern看上去更优美完整,再使用分隔符进行限定即可

这里是否需要这么多限定pattern界限的符号,我并不确定
不过保险起见,就都写上了

pcre:"/(login|Initial)/";

难点三:has a " IPv4Address:Port " string (E.g.123.45.6.7:8080) in payload

IPv4地址

IPv4地址:0-255.0-255.0-255.0-255
我们先来解决0-255如何表示为pattern
最简单的想法,将0-255拆分成:0-9,10-99,100-199,200-249,250-255

([0-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])

可以注意到,表达式中出现了[0-9][0-9]的结构,我们可以用{x}表示之前紧邻的模式需要匹配几次

[0-9][0-9]  -->  [0-9]{2}

此外,我们也可以用\d代表[0-9]

(\d|[1-9]\d|1\d\d|2[0-4]\d|25[0-5])

在0-255这部分后面添加一个 " . "(注意需要使用转义符 " \ ")

((\d|[1-9]\d|1\d\d|2[0-4]\d|25[0-5])\.)

" 0-255. "重复匹配三次

((\d|[1-9]\d|1\d\d|2[0-4]\d|25[0-5])\.){3}

完整的IPv4检测正则表达式

((\d|[1-9]\d|1\d\d|2[0-4]\d|25[0-5])\.){3}(\d|[1-9]\d|1\d\d|2[0-4]\d|25[0-5])

理论上,上述正则表达式就可以解决我们的问题

但是

我亲爱的同学遗憾地告诉我
在网上在线测评的时候,发现以上规则无法正确匹配255.255.255.255(最后一组的最后两个5无法匹配)
在这里插入图片描述
大概率是因为snort默认采用最短匹配
前三组有 " . " 的约束就会老老实实地挨个匹配
最后一组如图,首次匹配2成功了,一看是或关系,就直接跳到末尾了
在这里插入图片描述
这就可以解释为什么网上的很多文章," 无缘无故 " 会将确定性强(更特殊)的部分放到整个正则表达式的最前面
因此,保险起见,我们把IPv4的pcre规则更改为:

((25[0-5]|2[0-4]\d|1\d\d|[1-9]\d|\d)\.){3}(25[0-5]|2[0-4]\d|1\d\d|[1-9]\d|\d)

在这里插入图片描述

端口号

端口号:0-65535
还是先采用最简单的想法

[0-9]
[1-9][0-9]
[1-9][0-9][0-9]
[1-9][0-9][0-9][0-9]
[1-5][0-9][0-9][0-9][0-9]
6[0-4][0-9][0-9][0-9]
65[0-4][0-9][0-9]
655[0-2][0-9]
6553[0-5]

简化一下

\d
[1-9]\d
[1-9]\d{2}
[1-9]\d{3}
[1-5]\d{4}
6[0-4]\d{3}
65[0-4]\d{2}
655[0-2]\d
6553[0-5]

简单的,我们可以把0-9999(近似)表示为

\d{1,4}

完整的端口检测正则表达式

(\d{1,4}|[1-5]\d{4}|6[0-4]\d{3}|65[0-4]\d{2}|655[0-2]\d|6553[0-5])

同IPv4正则表达式描述的问题
以防万一我们可以把确定性高的表达式放到前面:

(6553[0-5]|655[0-2]\d|65[0-4]\d{2}|6[0-4]\d{3}|[1-5]\d{4}|\d{1,4})

最终的答案:

alert tcp any any -> any 3399 (msg:"bot login";pcre:"/(login|Initial)/";flowbits:set,botlogin;flowbits:noalert;sid:1000002;)
alert tcp any any -> any 3399 (msg:"bot founded";pcre:"/((\d|[1-9]\d|1\d\d|2[0-4]\d|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5]):(\d{1,4}|[1-5]\d{4}|6[0-4]\d{3}|65[0-4]\d{2}|655[0-2]\d|6553[0-5])/";flowbits:isset,botlogin;sid:1000001;)

调整正则表达式顺序后:

alert tcp any any -> any 3399 (msg:"bot login";pcre:"/(login|Initial)/";flowbits:set,botlogin;flowbits:noalert;sid:1000002;)
alert tcp any any -> any 3399 (msg:"bot founded";pcre:"/((25[0-5]|2[0-4]\d|1\d\d|[1-9]\d|\d)\.){3}(25[0-5]|2[0-4][0-9]|1[0-9]{2}|[1-9][0-9]|[0-9]):(6553[0-5]|655[0-2]\d|65[0-4]\d{2}|6[0-4]\d{3}|[1-5]\d{4}|\d{1,4})/";flowbits:isset,botlogin;sid:1000001;)

测试方法

snort读取外部数据方式

snort --pcap-dir="./pcap" -c test.rules -A fast
cat /var/log/snort/alert
Coco_T_
关注
专栏目录
snort 基本关键字
thebestismin的专栏
03-06 1018
11、fast_pattern(suricata对只有一个content关键字的规则使用多模匹配,而对于多个content的规则就对最长对复杂的一个进行多模匹配,而fast_pattern则可以改变这个状况,如果在较短较简单的content字段后加上fast_pattern关键字则会优先匹配这个content,有时这种方法可以有效提升效率。下面这个例子比较清楚的描述了within的用法,匹配完”abc”之后位置在’d’处,从’d’开始的3字节内对”def”进行匹配,而”fgh”明显已经超出了3字节的偏移)
snort-2.9.0.5+daq+libdnet+libpcap+pcre
07-04
基于linux的snort源码,以及所有需要的相关服务,一次下完,安装无忧!注:安装步骤上百度,一搜就有。
snort规则pcre规则选项
最新发布
黄粱一梦
02-29 411
设置正则检测引擎检测的数据长度和递归检测的次数检测限制信息(DETECT_PCRE_MATCH_LIMIT)(可通过配置文件配置大小)正则表达式为针对http_client_body的检测。正则表达式为针对http_raw_header的检测。正则表达式为针对http_stat_code的检测。正则表达式为针对http_stat_msg的检测。正则表达式为针对http_raw_uri的检测。正则表达式为针对http_header的检测。正则表达式为针对http_method的检测。
Snort Rules规则
qq_44465615的博客
04-27 1064
Writing Snort Rules 来源 https://paginas.fe.up.pt/~mgi98020/pgr/writing_snort_rules.htm 基础 Snort使用一种简单,轻量级的规则描述语言,该语言灵活且强力。在开发Snort规则时,需要遵守以下准则:1)首先,Snort规则必须完全包含在一行上,因为Snort规则解析器不知道如何处理多行上的规则Snort规则被分为两个逻辑部分,规则头和规则选项。规则头包含规则的操作、协议、源和目标IP地址和网络掩码,以及源和目标端口信息
Snort3:规则语法规范(三)
魔神8号的博客
11-16 1536
snort规则使用轻量级语法,结构简单,语法清晰,相对容易理解snort规则语法丰富,功能强大snort引擎对规则有较为友好的语法检查和容错机制存在语法错误时,解析阶段会抛出详细的提示信息,精确到行使用http选项时对 service 选项遗漏提醒和自动补充snort3对规则语法处理上可能不够完备有时遗漏 ";"不会抛出异常多条distance 、 within 修饰的content选项组合使用时,某些情况下无法命中如果期望对snort规则有较为准确。
pcre正则表达式规则列表
01-18 1516
正则表达式有多種不同的风格。下表是在PCRE中元字符及其在正则表达式上下文中的行为的一个完整列表:
snort rule snort rules snort 规则集 2900
02-20
snort官网上下载的规则集 版本2900 包括文本规则和so规则 snort官网上下载的规则集 版本2900 包括文本规则和so规则
Snort-Rules:Snort 23条规则的集合
05-11
Snort规则 描述 Snort 2和3规则很不错。 包括社区版和另一个Github存储库的快照克隆。 喷鼻息2 为了易于使用,该存储库已存储在snortrules-snapshot-2972.zip中。... 社区规则的公共版本snort3-community-rules.tar。
入侵检测系统Snort v2.9-community-rules.tar.gz规则文件
12-09
2. **Action**:定义了当规则匹配Snort应采取的操作,如警报、阻止或记录事件。 3. **Protocol**:指定规则应用于哪种网络协议,如TCP、UDP或ICMP。 4. **Source and Destination**:定义规则匹配的源IP地址和/或...
入侵检测系统Snort v3.0-snort3-community-rules.tar.gz规则文件
12-09
`flow`用于指定数据包流的方向,`content`用于匹配数据包载荷中的特定字符串或二进制模式,`byte_test`用于比较载荷中的字节值,`pcre`支持使用Perl兼容正则表达式(PCRE进行更复杂的模式匹配。 3. **动作...
pcre支持中文
04-06
pcre 支持中文正则的 c库, 附带pcre++ 直接创建工程将 文件全都 放入就可以 本人亲测, 有问题可以回复
入侵检测实验2 利用正则表达式编写匹配特定ip地址端口号的规则
weixin_51491521的博客
04-01 438
d{1,2}: 这个子表达式匹配 0-9 中的一个数字,可以匹配 1 或 2 个数字,{1,2} 表示这个数字可以重复 1 到 2 次。(2(5[0-5]|[0-4]\d)): 这个子表达式匹配 200 到 255 中的一个数字。首先匹配 2,然后匹配一个后跟 0-5。|: 这个字符是“或”操作符,可以使表达式匹配两个条件中的任意一个。: 这个子表达式匹配数字 0 或 1。之间数字的 5,或者一个后跟 0-4 之间数字的数字,其中 \d 表示匹配任何数字字符。中的一个,也可以不匹配任何数字。
pcre函数详解
zhangge3663的博客
04-20 1008
转载地址:https://blog.csdn.net/wxq1987525/article/details/7574017PCRE提供了19个接口函数:1.pcre_compile 原型: #include <pcre.h> pcre *pcre_compile(const char *pattern, int options, const char **errpt...
pcre正则表达式
非同╰_╯寻常
12-01 4639
PCRE正则表达式的定义: 用于描述字符排列和匹配模式的一种语法规则。它主要用于字符串的模式分割、匹配、查找及替换操作。 PHP中的正则函数: PHP中有两套正则函数,两者功能差不多,分别为: 一套是由PCRE(Perl Compatible Regular Expression)库提供的。使用“preg_”为前缀命名的函数; 一套由POSIX(Portable Operating Sy
PHP强化之11 - PCRE正则表达式
nosee123的博客
12-08 361
一、简介 正则表达式是一种描述字符串结果的语法规则,是一个特定的格式化模式,可以匹配、替换、截取匹配的字符串。 二、语法 当使用 PCRE 函数的时候,模式需要由分隔符闭合包裹。分隔符可以使任意非字母数字、非反斜线、非空白字符。经常使用的分隔符是正斜线(/)、hash符号(#) 以及取反符号(~)。 合法模式示例: /<\/\w+>/ #^[^0-9]$# |(\d{3})-\d+|S...
基础知识--pcre
程序狗的成长之路
07-23 2094
1.PCRE全称为Perl Compatible Regular Expression,意思是Perl兼容正则表达式。 PCRE中,通常将模式表达式(即正则表达式)包含在两个反斜线“/”之间,如“/apple/”。 正则中重要的几个概念有:元字符、转义、模式单元(重复)、反义、引用和断言。
snortsnort规则编写
cwllll的博客
04-09 1067
【作业】编写snort规则题目题目分析解决办法逻辑或的内容匹配——login 或 Initial两条规则匹配:设置flowbits规则IPV4地址匹配提交答案 题目 题目分析 本次题目对比第一次而言有不少难点: 两条规则 :两条规则同时匹配,才会命中某个报文流; 第一条规则中是对 “login” 或者 “Initial” 进行命中; has a " IPv4Address:Port " string (E.g.123.45.6.7:8080) in payload 第二条规则中的命中则是对一类地址进行
学习pcre之摘录
zhangge3663的博客
03-29 214
在linux的C标准库包含了一个正则库,只需要引用即可引用,但是发现Linux自带的正则库无法使用元字符和非贪婪匹配,例如:str: 1.1.1.1 regex: (\d*.\d*.\d*.\d*)其中的正则表达式使用了元字符\d来匹配数字,但在regex.h的正则库中却无法匹配。str: \123\456\ regex:\(.+?)\其中的正则表达式使用了非贪婪匹配,但在regex.h...
Snort+Scapy(二)
hxm的博客
03-28 988
本次实验的目的是构造规则检测连续的俩个流 if snort see two packets in a TCP flow with • first packet has “login” or “Initial” in payload, destination port is 3399; • and second packet has a “IPv4Address:Port”string(E.g. 123.45.6.7:8080) in payload. destination port is 3399; •
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值