Suricata规则编写——HTTP关键字

最新推荐文章于 2024-06-14 09:31:49 发布
最新推荐文章于 2024-06-14 09:31:49 发布
阅读量8.4k 收藏 17
点赞数 3
分类专栏: 流量检测 文章标签: suricata http snort规则
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyangbotianshi/article/details/44854121
版权

1.简介

之前的常用关键字中介绍了content以及许多修饰它的关键字,除此之外,http协议中还有一些修饰content的关键字,也是由于http协议使用量较大,关键字较多,因此单独拿出来学习。参考:HTTP协议-维基百科

2.Request和Response

http协议包括了http request和http response数据包。通常,由HTTP客户端发起一个request请求,创建一个到服务器指定端口(默认是80端口)的TCP连接。HTTP服务器则在那个端口监听客户端的请求。一旦收到请求,服务器会向客户端返回一个状态,比如”HTTP/1.1 200 OK”,以及返回的内容,如请求的文件、错误消息、或者其它信息。

2.1 http request

http request请求包括请求行、请求头、空行和内容。一个普通的request请求如下:

这里写图片描述

红框部分是请求行,GET表示http method,除了GET还有POST,PUT,HEAD等;后面的/webshell/c99_locus7s.php则是http uri;HTTP/1.1则是版本,可以是0.9、1.0和1.1。绿框部分是请求头,也就是http head,除了HOST字段必须要有,其余字段都是可选的。蓝框部分是空行,只允许有\r\n。由于这个包是GET方法,因此没有内容,如果是POST等方法后面会跟上内容。

2.2 http response

http response应答包括应答行,头部,空行和内容,整体结构和request差不多,下图是针对上节request的应答包:

这里写图片描述

红框部分,HTTP/1.1是http版本,后面的200是返回的状态码,OK是状态信息。绿框部分是http header,蓝框部分则是返回的html页面,也就是结果。

3.HTTP关键字

3.1 http_method

http_method是content的修饰符,表示其所修饰的content只匹配http method部分。http可以使用的方法包括:GET, POST, PUT, HEAD, DELETE, TRACE, OPTIONS, CONNECT和PATCH。下面这个例子匹配GET方法,无论是否加http_method都能匹配:

最低0.47元/天 解锁文章
Traxer
关注
  • 3
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
HTTP关键词收集
CCCCCC1990的博客
04-07 152
HTTP协议】【客户端】【服务器端】【HTTPS】【Web服务器】【域名】【DNS】【IP地址】【虚拟服务器】【虚拟主机】【中转服务器】【HTTP/1.1规范】【域名解析】【Web托管服务】【代理】【网关】【隧道】【源服务器】【缓存代理】【透明代理】【临时网络文件】【请求报文】【响应报文】【状态码】 转载于:https://www.cnblogs.com/cchHers/p/8729...
Suricata规则编写
weixin_39003567的博客
03-05 2724
规则格式 Suricata规则包括以下三部分: action,action决定当signature匹配的时候会发生什么 header, 定义了协议,IP地址,端口和规则的位置 rule options, 定义规则细节 droptcp $HOME_NET any -> $EXTERNAL_NET any(msg:”ET TROJAN Likely Bot Nick in IRC (...
探索网络异常的利器:Suricata Hunting Rules
最新发布
gitblog_00076的博客
06-14 365
探索网络异常的利器:Suricata Hunting Rules 项目地址:https://gitcode.com/travisbgreen/hunting-rules 在网络安全的前沿阵地,每一行代码都可能成为抵挡威胁的坚固防线。今天,我们要向大家隆重推荐一个专为网络异常检测设计的开源项目——Suricata Hunting Rules。 项目介绍 Suricata Hunting Rules ...
suricataHTTP/S实时日志跟踪】
2301_76261573的博客
05-21 378
反制规则CS-Suricata规则编写和检测
suricata规则
whatday的专栏
12-20 8449
Emerging威胁检测规则wiki:http://doc.emergingthreats.net/bin/view/Main/WebHome Emerging规则文件:http://rules.emergingthreatspro.com/   基本语法 Snort规则Suricata规则基本语法相同 规则结构 一、规则头部: 1. 规则行为:行为声明,用于通知IDS引擎...
suricata规则字段解析
simply
08-31 547
另外,默认情况下,content中给定的值是包含运算(模糊匹配,但是不是正则表达式),同时也可以在content后面具体指定对应的字段,比如http_stat_code,http_url等。其中http_request_line表示请求头,http_request_body表示请求体,http_response_line表示响应头,http_response_body表示响应体。
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新Suricata规则,并将其保存在管理良好的数据库中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分...
scirius:Scirius是用于Suricata规则集管理的Web应用程序
02-05
Scirius是一款基于Web的开源应用程序,专门设计用于管理和维护Suricata规则集。Suricata是一款强大的网络威胁检测引擎,广泛应用于网络安全监控和入侵防御系统(IDS/IPS)。Scirius的出现使得Suricata规则的管理...
suricata-update:更新您的Suricata规则的工具
04-30
用于更新您的Suricata规则的工具。 安装 点安装--upgrade suricata-update 文献资料 问题 用法示例 suricata更新 suricata-update的默认调用将执行以下操作: 阅读配置,/ etc / suricata / update.yaml(如果存在...
suricata规则Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
02-06
suricata规则Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
snort v.s. suricata规则对比
10-25
入侵检测snortsuricata 规则语法对比,枚举出支持的keyword
suricata的安装与使用
qq_43671947的博客
08-13 5829
记第一次使用suricata 1.安装 网上有许多安装方法,我试过用ubuntu21版安装,但失败了,好像用ubuntu18.04版安装会好一点,但我这里直接使用kali安装的(kali永远的神,我这用的2021最新版,kali越更新越好用),直接apt-get install suricata就安装好了,很快,感绝就像假的一样,但就是能用,之后就是安装签名(就是规则rules文件)就可以了,命令是suricata-update, 注意这是官方更新的rule规则,更新的配置文件存放在/var/lib/sur
suricata匹配从入门到精通(四)----编译lua
热门推荐
leeezp的博客
01-31 24万+
年前有粉丝私信我,想让我做一期lua脚本。作为一个宠粉的博主,那必须给予回应。
Suricata常用规则和入侵检测案例。
qq_39330735的博客
03-30 4261
1、Suricata是来来源于经典的NIDS系统,是一套基于网络流量的危险检测引擎,整合了IDS(Instrusion detection)、IPS(Instrusion Prevention)、NSM(Network Security Monitoring)和PCAP等功能2、IDS功能通过监听网卡流量并匹配规则引擎进行入侵实时检测和预警,检测手段和wazuh比较类似3、、IPS功能。
Snort 规则基本语法
道长的博客
02-25 3365
直接上实例,首先只需要知道一点,下面这条规则代表探测到TTL位100的ICMP ping包的时候,就会产生警报。然后我们再一步步拆分解析这条规则。 alert icmp any any ->any any (msg:"Ping with TLL=100"; ttl: 100;) 一条snort规则分为规则头和规则体 ,规则体也叫规则选项, 规则选项在圆括号内 规则头(规则体) 规则头告诉snort在什么范围内去应用规则,并且做出什么动作。 alert icmp any any ->any a
Suricata详解
IAMZTDSF的博客
06-15 1万+
Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。是一款开源、快速、高度稳定的网络入侵检测系统Suricata引擎能够实时入侵检测,内联入侵防御和网络安全监控。Suricata由几个模块组成,如捕捉、采集、解码、检测和输出。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elast
suricate签名规则
Fogo_XD的博客
06-24 850
suricata防火墙学习
suricata HTTP关键字
weixin_30384217的博客
04-11 765
http request http request请求包括请求行、请求头、空行和内容。一个普通的request请求如下: http response http response应答包括应答行,头部,空行和内容,整体结构和request差不多,下图是针对上节request的应答包 HTTP关键字 之前的常用关键字中介绍了content以及许多修饰它的关键字,除此之外,http协议...
suricata的基本使用
yeshankuangrenaaaaa的博客
09-04 6036
suricata suricata安装 规则管理 Oinkmaster 依赖 apt-get install liblua5.1-dev #配置支持lua,--enable-lua apt-get install libgeoip-dev #配置支持GeoIP,--enable-geoip apt-get install cargo #配置支持Rust suricata配置相关 设置EXTER...
suricata规则编写
03-28
Suricata是一款高性能的网络入侵检测系统,可以通过编写规则来检测网络中的异常行为。下面是Suricata规则编写的基本步骤: 1. 确定规则的目的:规则应该明确规定要检测的行为和目的。 2. 选择匹配类型:Suricata规则支持多种匹配类型,包括内容匹配、正则表达式、IP地址、端口等。需要根据规则目的选择合适的匹配类型。 3. 添加规则头:规则头包括规则的名称、分类、优先级等信息。这些信息可以帮助管理员更好地管理规则。 4. 编写规则内容:规则内容包括匹配条件和动作。匹配条件指定要检测的数据,动作指定检测到匹配条件时要执行的操作,如记录日志、阻止访问等。 5. 测试规则:使用测试工具检查规则是否能够正常工作。 6. 部署规则:将规则部署到Suricata系统中,以便开始监测网络流量。 需要注意的是,Suricata规则编写需要具备一定的网络安全知识和技能,以确保规则的准确性和可靠性。同时,规则需要根据实际情况进行定制,以适应不同的网络环境。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值