centos下的snort如何在检测到各种攻击,并且将预警显示在base上,如端口扫描,arp欺骗,DDOS攻击等。
snort是一个强大的轻量级的 *** 入侵检测系统。它具有实时数据流量分析和日志IP *** 数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。此外,snort具有很好的扩展性和可移植性。本文将讲述如何开发snort规则。
1.基础
snort使用一种简单的规则描述语言,这种描述语言易于扩展,功能也比较强大。下面是一些最基本的东西:
snort的每条规则必须在一行中,它的规则解释器无法对跨行的规则进行解析。注意:由于排版的原因本文的例子有的分为两行。
snort的每条规则都可以分成逻辑上的两个部分:规则头和规则选项。规则头包括:规则行为(rule's action)、协议(protocol)、源/目的IP地址、子网掩码以及源/目的端口。规则选项包含报警信息和异常包的信息(特征码,signature),使用这些特征码来决定是否采取规则规定的行动。
这是一个例子:
alert tcp any any - 192.168.1.0/24 111(content:"|00 01 86 a5|";msg:"mountd access";)
表1.一条简单的snort规则
从开头到最左边的括号属于规则头部分,括号内的部分属于规则选项。规则选项中冒号前面的词叫做选项关键词(option keywords)。注意对于每条规则来说规则选项不是必需的,它们是为了更加详细地定义应该收集或者报警的数据包。只有匹配所有选项的数据包,snort才会执行其规则行为。如果许多选项组合在一起,它们之间是逻辑与的关系。让我们从规则头开始。
snort规则 snort入侵检测软件写针对sql注入、暴力破解攻击以及端口扫描的规则。
首先:我们要了解SQL收到一个指令后所做的事情: 具体细节可以查看文章:Sql Server 编译、重编译与执行计划重用原理 在这里,我简单的表示为: 收到指令 - 编译SQL生成执行计划 -选择执行计划 -执行执行计划。 具体可能有点不一样,但大致的...
如何利用Scapy测试Snort规则
常见的端口扫描类型有:1. TCP 连接扫描
2. TCP SYN 扫描(也称为半开放扫描或stealth扫描)
3. TCP 圣诞树(Xmas Tree)扫描
4. TCP FIN 扫描
5. TCP 空扫描(Null)
6. TCP ACK 扫描
7. TCP 窗口扫描
8. UDP 扫描
下面先讲解每种扫描的原理,随后提供具体实现代码。
TCP 连接扫描
客户端与服务器建立 TCP 连接要进行一次三次握手,如果进行了一次成功的三次握手,则说明端口开放。
snort规则
这个嘛。你应该去看介绍snort规则的书,或者是官方手册snort manual.
snort的每一条规则分为规则头和规则体。例如之一条规则:
alert udp $EXTERNAL_NET any - $HOME_NET 161 (msg:"SNMP missing community string attempt"; content:"|04 00|"; depth:15; offset:5; metadata:service snmp; reference:bugtraq,2112; reference:cve,1999-0517; classtype:misc-attack; sid:1893; rev:6;)
括号(之前为规则头。括号之内的是规则体。
这条规则讲到,如果一条目的地为$HOME_NET的UDP数据包,目的端口为161,则产生一个报警(alert)。该报警在日志文件或者其它报警输出方式中就显示为:SNMP missing community string attempt。snort如何判断该攻击呢?是通过查找UDP数据包中是否存在十六进制04 00。(因为snort是一个特征匹配类型的IDS,所以这是它基本的工作原理)后边的偏移位,深度,参考,分类,sid之类的不多说了。要想用好snort,还得看文档,好好熟悉规则,并在实际中应用,再做出修改。
0条大神的评论