环境为ubuntu16.04虚拟机
snort用于入侵检测,有时候我们需要自定义一些报文用于测试,scapy可以方便的构造报文
pip install scapy
运行scapy
构造一个最简单的数据包,显示一下
pkt=Ether()/IP()/TCP()/"content"
pkt
接下来可以考虑构造一个ping数据包,试试ping百度
pkt=IP(dst='220.181.38.148')/ICMP()
sr1(pkt)
发送成功,并且可以看到收到了两个响应包
考虑用snort检测数据包,首先编写一条规则,加入到snort.conf的规则集中
这里我们针对检测一下dst为220.181.38.148
的icmp
数据包
因此规则可以编写为
alert icmp any any -> 220.181.38.148 any (msg:"ping alert!!!";sid:10000;)
注意每条规则后要编一个sid
使用snort检测,首先开启snort环境,之后sr1(pkt)
发送ping包
可以看到snort已经检测到了ping包和响应包
接下来看一下alert文件是否有记录
sudo vi /var/log/snort/alert
目的地址为220.181.38.148
的数据包触发了警报,检测成功
接下来可以以相似的方法构造其它数据包测试了