Snort搭建以及规则编写

已于 2022-11-21 17:58:54 修改
阅读量3.9k 收藏 23
点赞数 9
分类专栏: snort 文章标签: 网络 安全
于 2022-11-21 12:00:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhscxj/article/details/127959882
版权

目录

Snort IDS

Snort搭建

安装web服务,方便设置sonrt后期访问

Mysql安装

PHP安装 

安装 Snort

Snort配置

创建snort专用的用户和组

配置目录

配置规则

修改配置文件

规则编写

Snort IDS

Snort IDS(入侵检测系统)是一个强大的网络入侵检测系统。它具有实时数据流量分析和记录IP网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。此外,Snort是开源的入侵检测系统,并具有很好的扩展性和可移植性。

Snort搭建

环境:centos

安装web服务,方便设置sonrt后期访问

#apache
yum install httpd httpd-devel

#启动ahache
systemctl start httpd

#设置开机自启
systemctal enable httpd

#防火墙设置开启80端口
firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --reload

#查看80端口
yum install lsof
lsof -i:80

Mysql安装

yum install wget (若是自带wget就不必安装了)
wget http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpm

#安装mysql-com/mysql-community-release-el7-5.noarch.rpm包
rpm -ivh mysql-community-release-el7-5.noarch.rpm

#安装完成后会在/etc/yum.repos.d/目录下新增mysql-community.repo 、mysql-community-source.repo 两个 yum 源文件。

#进入/etc/yum.repos.d/安装mysql
yum install mysql-server

#检查是否安装成功
rpm -qa | grep mysql

#启动mysql服务
systemctl start mysqld.service
systemctl enable mysqld.service

#mysql 安全设置
mysql_secure_installation

PHP安装 

yum install php
yum install php-mysql
yum install -y php-gd php-ldap php-odbc php-pear php-xml php-xmlrpc php-mbstring php-snmp php-soap 

##安装php后重启apache使其生效
systemctl restart httpd.service

#测试php,在网站根目录/var/www/html/下新建 index.php 文件
写入:    <?php phpinfo(); ?>
访问ip/index.php ,出现phpinfo界面说明安装完成

安装 Snort

安装依赖

yum install gcc flex bison zlib zlib-devel libpcap libpcap-devel pcre pcre-devel libdnet libdnet-devel tcpdump
yum -y install epel-release
yum -y install nghttp2

 安装daq和snort

记得下载到对应的目录下,别下乱了

wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
wget https://www.snort.org/downloads/snort/snort-2.9.20.tar.gz

 

 下载好后进入目录解压编译

对daq进行编译

tar -xvzf daq-2.0.7.tar.gz
cd daq-2.0.7
./configure
make
make install

回到上级目录下载LuaJIT库,并编译

cd ..
wget https://luajit.org/download/LuaJIT-2.1.0-beta3.tar.gz
#解压
tar -xvzf LuaJIT-2.1.0-beta3.tar.gz
#进入src目录
cd LuaJIT-2.1.0-beta3/src
make
#接着到src上层目录进行make install
cd ..
make install

下载 openssl依赖

yum install openssl
yum install openssl-devel

 对snort进行编译

tar -xvzf snort-2.9.18.1.tar.gz
cd snort-2.9.18.1
./configure --enable-sourcefire
make
make install

查看安装的信息

snort -V

Snort配置

创建snort专用的用户和组

groupadd snort
useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

配置目录

IDS 模式运行时会创建一些目录,其中配置文件储存在 /etc/snort 中,规则储存在 /etc/snort/rules中,编译规则储存在 /usr/local/lib/snort_dynamicrules 中,日志粗存在 /var/log/snort 中

#创建snort目录
mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /etc/snort/rules/iplists
mkdir /etc/snort/preproc_rules
mkdir /usr/local/lib/snort_dynamicrules
mkdir /etc/snort/so_rules


#创建储存规则文件
touch /etc/snort/rules/iplists/black_list.rules
touch /etc/snort/rules/iplists/white_list.rules
touch /etc/snort/rules/local.rules
touch /etc/snort/sid-msg.map

#创建日志目录
mkdir /var/log/snort
mkdir /var/log/snort/archived_logs


#修改文件权限
chmod -R 5775 /etc/snort
chmod -R 5775 /var/log/snort
chmod -R 5775 /var/log/snort/archived_logs
chmod -R 5775 /etc/snort/so_rules
chmod -R 5775 /usr/local/lib/snort_dynamicrules


#修改文件属主
chown -R snort:snort /etc/snort
chown -R snort:snort /var/log/snort
chown -R snort:snort /usr/local/lib/snort_dynamicrules


#将配置文件从源文件复制到/etc/snort/中
cd /snort-2.9.18.1/etc/    # (进入snort安装目录,每个人可能不同)

cp *.conf* /etc/snort
cp *.map /etc/snort
cp *.dtd /etc/snort

cd /root/snort-2.9.18.1/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor
cp * /usr/local/lib/snort_dynamicpreprocessor/

配置规则

我们使用官方给的免费的社区规则,如果有需要的话可以选择官方的其他套餐
(社区套餐免费;注册即可领注册套餐;付费套餐)

https://www.snort.org/downloads/community/community-rules.tar.gz

解压,添加 

tar -xvzf community-rules.tar.gz
cp community-rules/* /etc/snort/rules/

修改配置文件

vim /etc/snort/snort.conf

# 在45行附近  ipvar HOME_NET <any>修改为本机的内部网络
ipvar HOME_NET <ip>.1/24

 通过 / 进行查询关键字即可找到位置

 

 # 在104行附近  配置规则文件路径
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/prepproc_rules
var WHITE_LIST_PATH /etc/snort/rules/iplists
var BLACK_LIST_PATH /etc/snort/rules/iplists

 

#在515行  output unified2:....... 之后添加
output unified2: filename snort.u2, limit 128

 

#546行,取消注释local.rules文件,后面的 include 文件均注释掉
include $RULE_PATH/local.rules

保存,退出

检查规则是否配置完成

snort -T -c /etc/snort/snort.conf

 配置成功

规则编写

进入local.rules编写自定义规则

vim /etc/snort/rules/local.rules

此条规则的sid为1,任意ip的任意端口访问 192.168.171.130的80端口时

提示 "A test guys" 

alert tcp any any -> 192.168.171.130 80 (msg:"A test guys";sid:1)

 激活 snort 控制台检测流量,此处需要看一下自己的网卡,我的是ens32

snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i ens32

 启动后尝试对目标进行访问

查看snort监听这边,已经成功匹配记录下来

 

规则详细使用

规则选项

msg - 在报警和包日志中打印一个消息。
logto - 把包记录到用户指定的文件中而不是记录到标准输出。
ttl - 检查ip头的ttl的值。
tos 检查IP头中TOS字段的值。
id - 检查ip头的分片id值。
ipoption 查看IP选项字段的特定编码。
fragbits 检查IP头的分段位。
dsize - 检查包的净荷尺寸的值 。
flags -检查tcp flags的值。
seq - 检查tcp顺序号的值。
ack - 检查tcp应答(acknowledgement)的值。
window 测试TCP窗口域的特殊值。
itype - 检查icmp type的值。
icode - 检查icmp code的值。
icmp_id - 检查ICMP ECHO ID的值。
icmp_seq - 检查ICMP ECHO 顺序号的值。
content - 在包的净荷中搜索指定的样式。
content-list 在数据包载荷中搜索一个模式集合。
offset - content选项的修饰符,设定开始搜索的位置 。
depth - content选项的修饰符,设定搜索的最大深度。
nocase - 指定对content字符串大小写不敏感。
session - 记录指定会话的应用层信息的内容。
rpc - 监视特定应用/进程调用的RPC服务。
resp - 主动反应(切断连接等)。
react - 响应动作(阻塞web站点)。
reference - 外部攻击参考ids。
sid - snort规则id。
rev - 规则版本号。
classtype - 规则类别标识。
priority - 规则优先级标识号。
uricontent - 在数据包的URI部分搜索一个内容。
tag - 规则的高级记录行为。
ip_proto - IP头的协议字段值。
sameip - 判定源IP和目的IP是否相等。
stateless - 忽略刘状态的有效性。
regex - 通配符模式匹配。
distance - < distance - 强迫关系模式匹配所跳过的距离。
within - 强迫关系模式匹配所在的范围。
byte_test - 数字模式匹配。
byte_jump - 数字模式测试和偏移量调整

content

查找匹配净荷中的内容,并触发响应,选项数据可以包含混合文本和二进制数据,二进制数据放在两个管道符号"||"之间,表示为字节码,需要通过十六进制的方式进行表示

alert tcp any any -> any 139 (content:"|5c 00|p|00|I|00|P|00|E|00 5c|";)
alcet tcp any any -> any 80 (content:!"GET";)

 在请求中通过POST提交,包含字符 pass

 提交时通过wireshark抓包,抓取载荷中

编写规则

tcp流中如果载荷中出现 ”70 61 73 73“ 则提示 msg 字符串中的内容

 设置完后保存,重新刷新页面,snort这里并没有记录

 当我们通过burp 提交带有pass字符时

 snort这里进行报警

 SQL注入测试

写一条又臭又长的规则,里面是sql关键字

nocase:与content配套使用,申明content大小写字符串不敏感

distance:与content配套使用,本次匹配内容与上次匹配payload内容的间距,同时确保不一样的content匹配内容存在匹配的顺序,distance生效的content为距离distance最近的左侧content

匹配上

 

PS:此篇笔记是根据师傅 Thgilil 文章中的内容一步步记录的,第一次接触这个东西,感谢师傅的文章让我学到很多

Thgilil 师傅的主页地址:Thgilil的博客_CSDN博客-渗透测试,环境搭建,蓝队领域博主

深白色耳机
关注
  • 9
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
snort rule snort rules snort 规则集 2900
02-20
snort官网上下载的规则集 版本2900 包括文本规则和so规则 snort官网上下载的规则集 版本2900 包括文本规则和so规则
搭建snort环境并测试简单规则1~3.zip
03-17
在本实验中,我们将深入探讨如何在Linux CentOS 6.5操作系统上搭建Snort环境,并进行简单的规则测试。Snort是一款开源的网络入侵检测系统(NIDS),它能够监控网络流量,识别潜在的攻击行为,并根据预设的规则对可疑...
Snort规则入门学习
qq_57035765的博客
03-22 7331
Snort规则学习 入门引言 从一条简单的snort规则开始 alert tcp any any -> 192.168.1.0/24 111(content:"|00 01 86 a5|";msg:"mountd access";) snort 每条规则都可以分成逻辑上的两个部分:规则头(header)和规则选项(General Option) 从开头到括号前属于规则头部分,括号内的部分属于规则选项。规则选项中冒号前面的词叫做选项关键词(option keywords)。如果许多选项组合在一起
snort规则编写简述
热门推荐
狂客队长
03-22 2万+
编写snort 规则 snort使用一种简单的,轻量级的规则描述语言,这种语言灵活而强大。在开发snort规则时要记住几个简单的原则。     第一, 大多数snort规则都写在一个单行上,或者在多行之间的行尾用/分隔。Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的
Snort规则编写
最新发布
goldfish8848的博客
05-11 1157
HTTP_PORTS 是一个可选的变量,表示你想要监控的端口范围,但在此场景下,由于NULL扫描是针对任意端口的,所以你可能需要自定义一个端口范围或简单地使用any。如果端口开放,目标主机会回应一个SYN-ACK包,但扫描者通常不会回应这个包,因为它只是想要检测端口是否开放,而不是建立连接。扫描者发送一个TCP SYN包到目标主机的某个端口,但不设置任何TCP标志位(即flag为NULL)。seq:0 和 ack:0 表示只匹配序列号(seq)和确认号(ack)都为0的TCP包。
Snort3:规则语法规范(三)
魔神8号的博客
11-16 1042
snort规则使用轻量级语法,结构简单,语法清晰,相对容易理解snort规则语法丰富,功能强大snort引擎对规则有较为友好的语法检查和容错机制存在语法错误时,解析阶段会抛出详细的提示信息,精确到行使用http选项时对 service 选项遗漏提醒和自动补充snort3对规则语法处理上可能不够完备有时遗漏 ";"不会抛出异常多条distance 、 within 修饰的content选项组合使用时,某些情况下无法命中如果期望对snort规则有较为准确。
计算机网络安全--snort介绍--linux下安装和使用
余的日常学习
03-07 4233
计算机网络安全--snort介绍、安装到使用、可能的问题
snort系统规则
我们俩
10-19 2794
Snort系统根据入侵者在进行入侵时所执行程序的某些行为为特征,建立一种入侵行为模型。根据这种行为模型所代表的入侵意图的行为特征,来判断用户执行的操作是否是属于入侵行为。要建立一个这样的特征信息(又称攻击签名) 库的前提是必须建立一个有效、可扩展的特征描述方法,能够描述所有的入侵事件。Snort 规则分为两部分: 规则头部和规则选项。规则头部包含规则的操作、协议、源IP 地址和目标IP 地址及其网
snort和sniffer技术原理
ryanzzzzz的博客
06-20 1132
WinPcap可以使用在Windows 98、ME、2000、XP、Server 2003、Vista、Server 2008、Windows 7和Windows 8上,它支持多种网络协议和数据包格式,如Ethernet,IP,TCP,UDP,ICMP等。它拥有用户友好的图形用户界面,可以实时捕捉和绘制网络数据包的流动,同时还提供了深度网络和应用层协议解码、流量探测和过滤,以及多种分析工具等功能。,可以对网络流量进行审计,并生成具体的日志记录,从而帮助管理员或安全专员了解网络的使用情况和安全状况。
搭建snort+BASE入侵检测系统
guansheng123的博客
02-23 6093
搭建snort+BASE入侵检测系统
如何编写snort的检测规则
08-07
snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行...本文将讲述如何开发snort规则
snort2.7规则库文件
09-16
官方提供的snort规则库文件,2.7版本的 快来下载吧
snort 规则
09-20
snort规则 ,入侵,嗯,download把,第一个 是为了要下载window snort安装用的,
snort规则
05-10
安装 snort规则所需要的snortrules-snapshot-2900.tar.gz
snort 安装配置教程 完整版
06-07
snort 安装配置教程 电子书 doc文档
snort的配置与使用
01-25
Snort的安装与配置 Snort的总体结构分析 Snort的使用 Snort规则 使用Snort构建入侵检测系统实例
snort 搭建手册和安装包
12-20
本篇文章将详细介绍如何利用Snort搭建一个有效的网络安全防护体系,并结合Web界面进行管理和监控。 首先,安装Snort之前,你需要确保你的系统环境支持Snort的运行。Snort通常在Linux环境下工作,例如Ubuntu、CentOS...
snort规则库 好东西
12-22
snort规则库,下载后直接解压到snort文件夹下,覆盖就行了
Snort基础配置
hxm的博客
03-20 1705
Snort基础配置
snort编写规则检测ARP攻击
04-26
好的,关于snort编写规则检测ARP攻击的问题,我给您提供以下内容: 首先,需要了解ARP攻击的原理。ARP(Address Resolution Protocol)是用于将IP地址转化为MAC地址的协议,攻击者可以伪造ARP请求和回应,欺骗网络中的其他设备,使其将流量发送到攻击者控制下的设备上。在网络中进行ARP攻击是一种非常常见的黑客攻击手段。 接着,在snort编写规则,可以使用以下规则来检测ARP攻击: alert ip any any -> any any (msg:"ARP Poisoning Detected!"; arp;) 以上规则是一个简单的示例,其中msg用来记录警告信息,arp表示检测ARP协议,any表示检测所有IP地址和端口,"->"表示检测流量的方向。 此外,还可以根据具体的网络环境和攻击方式,制定更为细致的规则。而snort规则编写也是一个相对复杂的过程,需要根据具体需求进行调整和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值