Snort+scapy(一)

已于 2022-04-10 22:23:28 修改
阅读量2.1k 收藏 4
点赞数 1
文章标签: ubuntu 网络安全
于 2022-03-20 14:38:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yichengchangan/article/details/123612430
版权

环境为ubuntu16.04虚拟机
snort用于入侵检测,有时候我们需要自定义一些报文用于测试,scapy可以方便的构造报文

pip install scapy

运行scapy
在这里插入图片描述
构造一个最简单的数据包,显示一下

pkt=Ether()/IP()/TCP()/"content"
pkt

在这里插入图片描述
接下来可以考虑构造一个ping数据包,试试ping百度

pkt=IP(dst='220.181.38.148')/ICMP()
sr1(pkt)

在这里插入图片描述
发送成功,并且可以看到收到了两个响应包

考虑用snort检测数据包,首先编写一条规则,加入到snort.conf的规则集中
这里我们针对检测一下dst为220.181.38.148icmp数据包
因此规则可以编写为
alert icmp any any -> 220.181.38.148 any (msg:"ping alert!!!";sid:10000;)
注意每条规则后要编一个sid

使用snort检测,首先开启snort环境,之后sr1(pkt)发送ping包
在这里插入图片描述
可以看到snort已经检测到了ping包和响应包
接下来看一下alert文件是否有记录

sudo vi /var/log/snort/alert

在这里插入图片描述
目的地址为220.181.38.148的数据包触发了警报,检测成功

接下来可以以相似的方法构造其它数据包测试了

hxm001122
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Snort+Scapy(二)
hxm的博客
03-28 970
本次实验的目的是构造规则检测连续的俩个流 if snort see two packets in a TCP flow with • first packet has “login” or “Initial” in payload, destination port is 3399; • and second packet has a “IPv4Address:Port”string(E.g. 123.45.6.7:8080) in payload. destination port is 3399; •
python入侵检测系统
02-20
python入侵检测系统
Web流量检测与绕过(基于Snort规则)
qq_42882717的博客
02-25 1092
Web流量检测与绕过SnortSnort概述Snort规则学习Snort规则编写流量特征处理消除流量特征检测特征是否消除实战 Snort 我在上一篇博客已经讲述,如何进行windows xp下的Snort+mysql配置,其余的windows系统也大差不差。 本章节主要内容是Snort规则的学习与编写,这样我们就能通过Snort检测到许多木马了。 Snort概述 Snort是一个翻译, 他自己不会说英文(抓包),只会把听到的英文(从libpcap抓到的包)翻译成中国话说出来(分析后,展示给我们)。 Snor
centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总
热门推荐
WillWinwin
12-19 1万+
一、基本环境 虚拟机工具:Vmware Workstation Pro 12 Centos版本:CentOS-7-x86_64-Minimal-1511 Snort版本:snort-2.9.9.0 Barnyard2版本:barnyard2-1.9 Base版本:base-1.4.5二、IDS系统搭建 1、安装wget工具[root@localhost alankong]# yum in
python实现——数据包分析
LainWith的博客
09-17 2133
需求分析 工作中经常会碰到设备大量告警,收到成百上千的取证包,面对如此众多的数据包,如何确认这些取证包是不是正确告警的结果呢?只能打开数据包分析看有没有相关攻击特征。由此,可以使用snort进行检测,但是如果经常出门在外,还要继续搭建snort环境吗?这就需要一种便捷化的工具,能根据我提供的特征去海量数据包中匹配,所以,我用python写了这么一款工具,并打包成exe即可出门干活了。代码不大规范,见谅。 软件特点 你只需要提供存放数据包的文件夹和要检查的关键字即可。 脚本会检查提供的文件夹下的所有文件,对
入侵检测系统_pytbull 入侵检测/预防系统(IDS / IPS)测试框架
weixin_39721807的博客
11-28 330
pytbull是Snort,Suricata和任何生成警报文件的IDS / IPS的入侵检测/预防系统(IDS / IPS)测试框架。它可用于测试IDS / IPS的检测和阻止功能,比较IDS / IPS,比较配置修改和检查/验证配置。该框架随附了大约300个测试,分为11个测试模块:badTraffic:不符合RFC的数据包被发送到服务器以测试数据包的处理方式。bruteForce:测...
基于Python入侵检测IDS系统3.0框架 html + css + jquery + python 3.9 +django
05-19
框架 html + css + jquery + python 3.9 + django+ scapy + snort 抓包工具 winshark,etherDetect,sniffer python manage.py runserver 0.0.0.0:8000 用户类型 管理员 admin 123456 模块介绍 登录模型 实时入侵 ...
基于Python入侵检测IDS系统4.0框架 html + css + jquery + python 3.9 +django
最新发布
05-19
框架 html + css + jquery + python 3.9 + django+ scapy+snort 抓包工具 winshark,etherDetect,sniffer python manage.py runserver 0.0.0.0:8000 用户类型 管理员 admin 123456 模块介绍 登录模型 实时入侵 ...
Snort_Log_Server:简化网络管理的工具。 从Snort IDS获取日志消息,进行处理,将其分类为THREAT NOT_THREAT,然后在出现威胁时创建一个弹出窗口
05-09
Snort IDS获取日志消息,进行处理,将其分类为THREAT / NOT_THREAT,然后在出现威胁时创建一个弹出窗口。 这个简单的Snort Log Server还支持SSH服务器连接,即,您可以通过SSH连接到网关并执行一些操作(将Mac...
snort环境安装与配置+基于特征的入侵检测实现
weixin_43906500的博客
01-21 3462
目录 一、实验目的 二、实验环境 三、实验内容 四、实验要求 五、实验步骤 1.搭建环境 1)安装winpcap 2)安装snort 3)安装设置mysql 4)建立数据库 5)安装Mysql_front软件 6)安装配置Snort规则库 7)编写规则 8)安装wireshark 9)启动Snort 2.测试并识别木马指纹 1)绿光远控木马检测 2)西门远程控制检测 3)飞狐远程控制检测 4)魔术a远程控制检测 5)DarkstRat检测 六、实验感悟 ...
dalton:Suricata和Snort IDS规则和pcap测试系统
05-13
道尔顿 Dalton是一个系统,该系统允许用户使用定义的规则集和/或定制规则针对自己选择的入侵检测系统(“ IDS”)传感器(例如Snort,Suricata)快速轻松地运行网络数据包捕获(“ pcaps”)。 道尔顿还为提供了一个类似于向导的Web界面,以方便自定义pcap的创建。 快速入门: ./start-dalton.sh 或做同样的事情: docker-compose build && docker-compose up -d 然后导航到http://<docker>/dalton/ 要配置可用的规则集,请参阅。 要配置可用的传感器,请参阅。 如果要在代理之后进行构建,请参阅 内容 Suricata套接字控制模式 作业设定 配置文件 工作结果 作业队列 感测器 道尔顿API 作业API 控制器API 茶壶工作 添加规则集 添加传感器 Docker传感
snort入侵检测
04-23
防火墙入侵检测系统关于snort的工具帮您解决一些问题啊
Snort-入侵检测系统规则集的优化
xnix相关的收藏
08-27 2773
摘要:随着网络的发展,入侵检测系统将成为一个重要瓶颈。本文根据TCP/IP协议的特点对Snort-入侵检测系统规则集进行了优化设计。关键词:Snort,入侵检测系统,规则集0 引言入侵检测系统(IDS)从计算机网络系统的若干关键点收集信息(如系统日志、审计数据和网络数据包等),然后通过分析这些信息来判断网络系统中是否有违反安全策略的行为和是否存在攻击。入侵检测依赖于两个假设:①用户和程
Snort入侵检测系统实验
m0_52089634的博客
01-03 5292
kali上Snort的实验
攻击行为检测规律
qq_46329726的博客
01-28 5008
使用snort设置rule实现报警检测
27了解网络安全防护工具 Snort 的基本用法,包括数据捕获、报警
玩机科技社的博客
05-29 5070
要编写自己的规则,可以编辑/etc/snort/rules/local.rules文件并添加规则。此命令将在eth0接口上启动Snort,并使用/etc/snort/snort.conf配置文件和/var/log/snort/目录来存储日志文件。其中,-c 参数指定 Barnyard2 的配置文件,-d 参数指定 Snort 日志的存储路径,-f 参数指定 Snort 日志文件的名称。总之,Snort是一款非常强大的网络入侵检测系统,可以帮助网络管理员及时发现潜在的安全威胁,并采取相应的措施进行防御。
如何自动化的对PCAP数据包进行suricata/snort/zeek分析
村中少年的专栏
06-09 1956
如何通过dalton提供的API自动化分析数据包
Snort入侵检测系统使用示例
qq_43678263的博客
12-10 2870
本文主要介绍了Snort系统是什么,主要用法和Snort入侵检测系统使用示例现如今Snort已发展成为一个具有多平台、实时流量分析、网络IP数据包记录等特性的强大的网络入侵检测/防御系统,是世界最顶尖的开源入侵检测系统。
snort和sniffer技术原理
ryanzzzzz的博客
06-20 1132
WinPcap可以使用在Windows 98、ME、2000、XP、Server 2003、Vista、Server 2008、Windows 7和Windows 8上,它支持多种网络协议和数据包格式,如Ethernet,IP,TCP,UDP,ICMP等。它拥有用户友好的图形用户界面,可以实时捕捉和绘制网络数据包的流动,同时还提供了深度网络和应用层协议解码、流量探测和过滤,以及多种分析工具等功能。,可以对网络流量进行审计,并生成具体的日志记录,从而帮助管理员或安全专员了解网络的使用情况和安全状况。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值