Snort+Scapy(二)

最新推荐文章于 2023-04-01 16:59:53 发布
最新推荐文章于 2023-04-01 16:59:53 发布
阅读量970 收藏 1
点赞数
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yichengchangan/article/details/123802045
版权

本次实验的目的是构造规则检测连续的俩个流
if snort see two packets in a TCP flow with
• first packet has “login” or “Initial” in payload, destination port is 3399;
• and second packet has a “IPv4Address:Port”string(E.g. 123.45.6.7:8080) in payload. destination port is 3399;
• output a alert with msg “bot founded” and sid 1000001;

利用flowbits来控制对连续多条流的检测
flowbits:set,name
flowbits:isset,name 当对应name的flowbits为置位状态时,才执行规则的其它操作
flowbits:toggle,name 反置当前操作
flowbits:unset,name 取消流中的置位。
flowbits:isnotset,name
flowbits:noalert 设置后将不会发出警报

例如如下规则:

alert tcp any any -> any any (content:"***";flowbits:set,userlogin;flowbits:noalert;sid:100001;)
alert tcp any any -> any any (msg:"bot";content:"***";flowbits:isset,userlogin;sid:1000001;)

在这样的规则条件下,当一个报文的负载被第规则1匹配后,flowbits置位,并且不发出警报,等到接下来另一条流被规则2匹配后,假如flowbits已置位,则发出警报。

关于ipv4地址正则表达式部分:
[1-9] 匹配数字1-9
\d{2,5} 匹配任意数字,允许重复出现2-5次
\. 匹配小数点
\: 匹配冒号

接下来就是利用scapy构造流
可以选择向上篇文章一样一直打开snort,每次用scapy手动发送两个包
或者直接利用wrpcap("bot.pcap",pkt)封装报文
有个小技巧,可以利用命令行mergecap,将两个pcap包合并成一个

mergecap -w bot.pcap bot1.pcap bot2.pcap

tips:snort的检测规则可能是设定了两个流之间的间隔时长,相隔时间较久的话第一个flowbits置位会被取消。

直接用snort检测pcap包

sudo ./snort -c ./soft/snort-2.9.19/rules/snort.conf -r bot.pcap -A fast
hxm001122
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
snort学习以及规则编写
fa1lr4in的小博客
03-27 2893
一、结构 CIDF模型(Common Intrusion Detection Framework): 包含事 件生成器(event generator:E-boxes),分析引擎(analysis engines:A-boxes),存储机制(storage mechanisms:D-boxes),以及响应模块(countermeasures:C-boxes) SNORT数据流 snort ...
Snort Rules——使用pcre进行规则匹配
Coco_T的博客
03-27 2968
题目描述 if snort see two packets in a TCP flow with first packet has " login " or " Initial " in payload, destination port is 3399; and second packet has a " IPv4Address:Port " string (E.g.123.45.6.7:8080) in payload. destination port is 3399; output a aler.
snortsnort规则编写
cwllll的博客
04-09 1006
【作业】编写snort规则题目题目分析解决办法逻辑或的内容匹配——login 或 Initial两条规则匹配:设置flowbits规则IPV4地址匹配提交答案 题目 题目分析 本次题目对比第一次而言有不少难点: 两条规则 :两条规则同时匹配,才会命中某个报文流; 第一条规则中是对 “login” 或者 “Initial” 进行命中; has a " IPv4Address:Port " string (E.g.123.45.6.7:8080) in payload 第条规则中的命中则是对一类地址进行匹
网络入侵检测--Snort软件配置文件snort.conf详解
小人物的编程
11-16 5470
按照配置文件的配置步骤,详细解释了配置文件的参数
Suricata-流关键字
Phantasm的博客
09-02 1435
Thank Zhihao Tao for your hard work. The document spent countless nights and weekends, using his hard work to make it convenient for everyone. If you have any questions, please send a email to zhihao.tao@outlook.com 文章目录1. `flowbits`1.1 `flowbits`安装1.2 .
基于Python入侵检测IDS系统3.0框架 html + css + jquery + python 3.9 +django
05-19
框架 html + css + jquery + python 3.9 + django+ scapy + snort 抓包工具 winshark,etherDetect,sniffer python manage.py runserver 0.0.0.0:8000 用户类型 管理员 admin 123456 模块介绍 登录模型 实时入侵 ...
基于Python入侵检测IDS系统4.0框架 html + css + jquery + python 3.9 +django
最新发布
05-19
框架 html + css + jquery + python 3.9 + django+ scapy+snort 抓包工具 winshark,etherDetect,sniffer python manage.py runserver 0.0.0.0:8000 用户类型 管理员 admin 123456 模块介绍 登录模型 实时入侵 ...
Snort_Log_Server:简化网络管理的工具。 从Snort IDS获取日志消息,进行处理,将其分类为THREAT NOT_THREAT,然后在出现威胁时创建一个弹出窗口
05-09
Snort_Log_Server 简化网络管理的工具。 从Snort IDS获取日志消息,进行处理,将其分类为THREAT / NOT_THREAT,然后在出现威胁时创建一个弹出窗口。 这个简单的Snort Log Server还支持SSH服务器连接,即,您可以通过...
snort规则--flow分析
程序狗的成长之路
07-30 4998
1. 1 flow:   这个选项要和TCP流重建联合使用。它允许规则只应用到流量流的某个方向上。这将允许规则只应用到客户端或者服务器端。这将能把内网客户端流览web页面的数据包和内网服务器所发送的数据包区分开来。这个确定的关键字能够代替标志:A+ 这个标志在显示已建立的TCP连接时都将被使用。
Snort规则详述
weixin_51491521的博客
04-01 405
snort规则及规则后处理
入侵检测实验2 利用正则表达式编写匹配特定ip地址端口号的规则
weixin_51491521的博客
04-01 411
d{1,2}: 这个子表达式匹配 0-9 中的一个数字,可以匹配 1 或 2 个数字,{1,2} 表示这个数字可以重复 1 到 2 次。(2(5[0-5]|[0-4]\d)): 这个子表达式匹配 200 到 255 中的一个数字。首先匹配 2,然后匹配一个后跟 0-5。|: 这个字符是“或”操作符,可以使表达式匹配两个条件中的任意一个。: 这个子表达式匹配数字 0 或 1。之间数字的 5,或者一个后跟 0-4 之间数字的数字,其中 \d 表示匹配任何数字字符。中的一个,也可以不匹配任何数字。
suricata 检测规则编写
xuwaiwai的博客
09-11 4472
目录 规则头 规则行为,根据优先级排列: 协议: 源ip,目标ip: 源端口/目标端口: 流量方向: 规则体 msg: flow流匹配: flowbits : sameip源ip、目标ip检测: content内容匹配: 不区分大小写 nocase: 偏移位置 offset: 结束位置 depth: 在xx范围外 distance : 在xx范围内 within: 有效载荷大小 dsize: pcre正则 pcre: http修饰符: fast_pattern...
Snort攻略笔记(一)
GGGYL111的博客
01-18 1146
文章目录IDS基本概念Snort基础 IDS基本概念 IDS内部结构:事件产生器(传感器/嗅探器);事件分析器(核心);响应单元;事件数据库; IDS检测技术两大类:1. 基于特征(规则) 2. 基于异常 特征检测和异常检测的区别: 特征检测的准确度高,但是容易产生漏报的情况,因为它只去匹配特征库里的攻击,对于未知的攻击,基本上是无能为力;异常检测的准确率会低一些,因为容易产生误报的情况,把一些不是入侵的也当做入侵处理了,但是它能够识别一些未知的入侵(虽然可能误报,但是宁可错杀也不愿漏杀是吧)。这两种可以理
Snort+scapy(一)
hxm的博客
03-20 2115
Snort+scapy
snort 笔记1 ----- 3种模式简介
云里雾里的专栏
04-18 1万+
Snort操作:1 配置文件位置:/etc/snort2 运行:./usr/sbin/snort 需要root权限3 开机自启动关闭:http://blog.csdn.net/jo_say/archive/2011/03/08/6232952.aspx如snort的2,3,4,5级默认开启,通过chkconfig –-level 2345 snort off.就可将其关闭。(chkconfig操作见:http://blog.csdn.net/jo_say/archive/2011/04/18
snort2.9规则-学习笔记
weixin_44813582的博客
05-07 7014
目录 规则动作 协议部分 Ip地址 端口号 方向操作符 规则选项 general rule options payload detection rule options non-payload detection rule options post-detection rule options 大多数snort规则都写在一个单行上,或者在多行之间的行尾用/分隔。Snort规则...
snort 笔记2 ----- 规则编写
热门推荐
云里雾里的专栏
04-20 2万+
为了看懂rules,可以看下文,想要写好,就没那么简单了。^-^。******************************************************************************************************************************************I 总体结构分析:alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|"; msg: "moun
SNORT3规则编写
windStudyer的专栏
03-01 8848
Snort3 IPS规则编写 1.规则基础 Snort规则被分为两个逻辑部分,规则头和规则选项。 规则头包含规则的操作、协议、源和目标IP地址,以及源和目标端口信息。 规则选项部分包含警报消息和应该检查数据包的哪些部分的信息,以确定是否应该采取规则操作。 规则举例: 注:第一个括号之前的文本是规则标题,括号中包含的部分包含规则选项。规则选项部分中冒号前的单词称为选项关键字。选项部分关键字可选。 2.规则头 规则头包含规则的操作、协议、源和目标IP地址和网掩码,以及源和..
snort规则
浅笑996的博客
10-24 7465
一、Snort规则分为两个部分 、规则头的基本格式 动作 协议 源IP 源端口 方向操作符 目标IP 目标端口 动作: 动作描述一个数据包的“谁,在何处,什么”的问题,并指明规则被激发后,在事件中应当做什么。在编写规则时,你可以从下面的关键字中选择: ·alert –用选择的警告方法生成一个警告,然后记录这个数据包。 ·log -记录这个数据包。 ·pass – 忽略...
ubuntu snort
09-22
Snort是一种开源的网络入侵检测系统(NIDS),用于监测和分析网络流量以检测潜在的攻击行为。在Ubuntu下安装Snort可以实现IPS(入侵防御系统)功能。您可以按照以下步骤进行安装和配置: 1. 下载所需的Snort源文件,并解压缩。 2. 切换到解压后的Snort目录,并按照提供的说明进行编译和安装。 3. 安装完成后,使用"sudo systemctl status snort3.service"命令来检查Snort的运行状态。如果状态显示为"active (running)",则表示Snort正在运行。 4. 编辑Snort的配置文件,可以使用"sudo vim /usr/local/etc/snort/snort.lua"命令进行编辑。在配置文件中,您可以指定OpenAppID库的位置,以便Snort能够使用OpenAppID进行应用层协议的识别和分析。 注意:以上步骤仅为基本的安装和配置过程,具体的步骤可能会有所不同,取决于您使用的Snort版本和操作系统的要求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值