guoguangwu
guoguangwu

snort 源码分析之模式匹配引擎

   snort是一款著名的开源IPS,其主页地址:snort 官网。更详细的介绍网上很多,可自行搜索了解。本博客主要介绍snort-2.9.5版本的模式匹配引擎的加载和匹配。

 

   模式匹配引擎主要使用多模式匹配算法和单模式匹配算法。先由多模式匹配算法大概确定有哪些规则可能匹配成功,然后再通过单模式匹配算法去精确匹配。其配置格式如下:

config detection: search-method ac-split search-optimize max-pattern-len 20

   snort的初始化函数主要做的工作是读取配置文件,第一次只是把所有配置项解析出来,第二次则是解析所有规则,将所有规则加载到对应的配置对象中。

   SnortInit为入口,主要步骤如下(预处理模块、输出模块、动态库加载等暂不介绍):

  1:命令行解析,本博客暂不介绍, 

  2:注册一些解析配置的函数,作为准备工作, 主要由以下三个注册函数完成:

  •        RegisterOutputPlugins:注册输出日志解析配置等函数。在程序运行中会将防护日志记录到对应的配置中。
  •        RegisterPreprocessors:注册预处理模块解析配置等函数。由ARP、连接管理、http解析、端口扫描等模块,他们基本都是为后面的模式匹配引擎做准备工作的。
  •        RegisterRuleOptions:注册解析规则内容、匹配等函数。其中与模式匹配引擎息息相关的是content、uricontent字段的内容,模式匹配引擎根据其来生成的。

  3:解析配置文件

  •      ParseSnortConf :解析配置文件,模式匹配引擎的配置也在这个函数中完成

  4:解析规则

  •      ParseRules:解析配置文件,将所有规则加载到内存中,然后做相关处理 

  5:生成引擎

  •      fpCreateFastPacketDetection:根据第3步解析到的模式匹配引擎配置,将第4步解析到的规则重新组织生成模式匹配引擎,在匹配规则中用。

 

  •   SnortInit的部分源码如下:
void SnortInit(int argc, char **argv)
{
    ...
    /* chew up the command line */
    /* 命令行解析*/
    ParseCmdLine(argc, argv);
    ...
    if (!ScVersionMode()) 
    { 
        /* Every run mode except version will potentially need output * If output plugins should become dynamic, this needs to move */
        /* 注册输出模块 */
        RegisterOutputPlugins();
    }
    ...
    /* if we're using the rules system, it gets initialized here */
    if (snort_conf_file != NULL)
    {
        SnortConfig *sc;
        /* initialize all the plugin modules */
        /* 注册预处理模块*/
        RegisterPreprocessors();
        /* 注册规则解析相关模块*/
        RegisterRuleOptions();
        /* 解析配置函数,通过解析命令行获取配置文件snort.conf,再通过这个文件解析出所有配置*/
        sc = ParseSnortConf();
         /* Merge the command line and config file confs to take care of * command line overriding config file. * Set the global snort_conf that will be used during run time */ 
         /* 合并命令行与配置文件中相关的配置,命令行的配置会覆盖配置文件中的配置 */
         snort_conf = MergeSnortConfs(snort_cmd_line_conf, sc);
         /* Handles Fatal Errors itself. */
         /* 事件队列,这个队列中的节点会被输出日志模块使用*/
         SnortEventqNew(snort_conf->event_queue_config, snort_conf->event_queue);
    } 
    else if (ScPacketLogMode() || ScPacketDumpMode())
    {
        /* Make sure there is a log directory */
        /* This will return the cmd line conf and resolve the output * configuration */ 
        SnortConfig* sc = ParseSnortConf();
        snort_conf = MergeSnortConfs(snort_cmd_line_conf, sc);
        SnortEventqNew(snort_conf->event_queue_config, snort_conf->event_queue);
    }
    ... 
    /* 解析规则,由于规则中会使用一些变量,所有解析规则在解析配置后面,保证规则的正确性*/ 
    ParseRules(snort_conf);
    ... 
    fpCreateFastPacketDetection(snort_conf);
    ...
}
  • 解析配置文件的函数部分源码如下:
SnortConfig * ParseSnortConf(void)
{
    /* 创建snort的配置对象, 所有的配置都保存在这个结构里面,所以非常庞大 */
    SnortConfig *sc = SnortConfNew();\
    ... 
    /* 这里是模式匹配引擎的配置对象的创建,在FastPatternConfigNew函数中会调用fpSetDefaults设置默认值,默认使用 MPSE_AC_BNFA 算法*/
    sc->fast_pattern_config = FastPatternConfigNew();
    ...
    /* 通过变量parse_rules来判断,0:解析配置;1:解析规则 */
    parse_rules = 0;
    /* 这里是真正解析配置和规则文件的地方 */
    if ( strcmp(file_name, NULL_CONF) ) ParseConfigFile(sc, sc->targeted_policies[policy_id], file_name);
}

 

ParseConfigFile函数的源码比较长,暂不贴出来。大概讲一下其逻辑。

1:打开文件,完整的读取一行。

2:调用mSplit对该行切分成两个元素

3:将切分好的第一个元素循环与snort_conf_keywords比较看是否有相关配置的解析函数,如果有,再判断parse_rules来决定是解析配置还是规则,最终会调用snort_conf_keywords[i].parse_func(sc, p, args)来解析相关配置。如果有特殊配置需要处理, 以此类推,进行处理

    例如今天要介绍的模式匹配引擎的配置;假设其配置如下:

 config detection: search-method ac-split search-optimize max-pattern-len 20

  ParseConfigFile的执行流程如下:

  •   ParseConfigFile=》snort_conf_keywords[i].parse_func(sc, p, args)=》ParseConfig=》config_opts[i].parse_func(sc, opts)=》ConfigDetection   通过这一系列的调用模式匹配引擎的配置就算是解析完成了

ParseRules函数最终也是调用ParseConfigFile完成规则解析,部分源码如下:

void ParseRules(SnortConfig *sc) {
    ... 
    /* 设置标志:表明是解析规则*/
    parse_rules = 1;
    ...
    /* 真正去解析规则 */
    ParseConfigFile(sc, sc->targeted_policies[policy_id], snort_conf_file);
    ...
    /* Compile/Finish and Print the PortList Tables */ /* 为生成模式匹配引擎做准备,将规则进行去重等*/
    PortTablesFinish(sc->port_tables, sc->fast_pattern_config);
    ...
 }

fpCreateFastPacketDetection函数

根据前面的准备工作来创建模式匹配引擎;

主要工作:

1:将规则重新分类,从每条规则中选出一个最特殊的模式串出来,加入到模式匹配引擎中,然后生成模式匹配引擎,

2: 再将每条规则重新组织。在解析的时候,规则的匹配函数是以链表的形式组织,经过这个函数后变成了一棵树,这样做的优点是去重,节约内存。至此,模式匹配引擎的初始化完成。

3:然后通过SetPktProcessor函数设置各类数据包解码函数,

4:最终调用PacketLoop进行处理数据包

 

PacketLoop的处理流程

1:通过DAQ_Acquire从内核中获取数据包,

2:调用PacketCallback函数处理数据包,

3:调用ProcessPacket,在该函数中调用grinder进行解码,

4:然后调用Preprocess来调用预处理插件和模式匹配引擎匹配接口函数Detect,

5:然后依次调用fpEvalPacket=>fpEvalHeaderTcp=>fpEvalHeaderSW=>mpseSearch=>rule_tree_match=>detection_option_tree_evaluate=>detection_option_node_evaluate

这里只列出了tcp数据包的匹配过程,UDP与TCP一样。其中mpseSearch就是模式匹配引擎的匹配函数,而rule_tree_match则是匹配规则的入口函数

 

  • 整个过程的主要代码如下:
int SnortMain(int argc, char *argv[]) { ... 
    /* snort的初始化 包括预处理模块、模式匹配引擎、日志模块*/ 
    SnortInit(argc, argv); 
    ... 
    /* 设置数据包解码函数*/ 
    SetPktProcessor();
     ... 
     /* 循环处理数据包:先从内核获取数据包、解码、预处理、利用模式匹配引擎检测攻击、产生日志、做出动过:alert 、drop、pass */ 
    PacketLoop(); 
    return 0;
}
  • 数据包解码函数源码如下:
static int SetPktProcessor(void)
{
    const char* slink = NULL;
    const char* extra = NULL;
    int dlt = DAQ_GetBaseProtocol();

    switch ( dlt )
    {
        case DLT_EN10MB:
            slink = "Ethernet";
            grinder = DecodeEthPkt;/* 此处为设置以太网的解码函数*/
            break;
...
        default:
            /* oops, don't know how to handle this one */
            FatalError("Cannot decode data link type %d\n", dlt);
            break;
    }
...
    return 0;
}
  • 循环数据包处理函数源码:
void PacketLoop (void)
{
    ...
    while ( !exit_logged )
    {
        /* 通过DAQ向内核获取数据包然后调用PacketCallback回调函数 */
        error = DAQ_Acquire(pkts_to_read, PacketCallback, NULL);
         ...
    }
    ...
}
  • PacketCallback函数源码:
static DAQ_Verdict PacketCallback(
    void* user, const DAQ_PktHdr_t* pkthdr, const uint8_t* pkt)
{
...
    /* 处理数据包*/
    verdict = ProcessPacket(&p, pkthdr, pkt, NULL);
...
}

 

  • ProcessPacket函数源码:
DAQ_Verdict ProcessPacket(
    Packet* p, const DAQ_PktHdr_t* pkthdr, const uint8_t* pkt, void* ft)
{
...
     /* 数据包解码*/
    (*grinder) (p, pkthdr, pkt);
...
    if ( !(p->packet_flags & PKT_IGNORE) )
    {
        /* 调用预处理模块和检测引擎(模式匹配引擎)*/
        Preprocess(p);
        /* 记录日志*/
        log_func(p);
    }
...
}
  • Preprocess函数源码:
int Preprocess(Packet * p)
{
    ...
    // If the packet has errors, we won't analyze it.
    if ( p->error_flags )
    {
        ...
    }
    else
    {
        ...
        if ( p->dsize )
        {
            while ((idx != NULL) && !(p->packet_flags & PKT_PASS_RULE))
            {
                if ( ((p->proto_bits & idx->proto_mask) || (idx->proto_mask == PROTO_BIT__ALL) ) && IsPreprocBitSet(p, idx->preproc_bit))
                {
                    /* 调用预处理模块 */
                    idx->func(p, idx->context);
                    ...
                }
                 else
                     idx = idx->next;
             }
        }
        ...
        if ((do_detect) && (p->bytes_to_inspect != -1))
        {
            /* Check if we are only inspecting a portion of this packet... */
            if (p->bytes_to_inspect > 0)
            {
                DEBUG_WRAP(DebugMessage(DEBUG_DETECT, "Ignoring part of server " "traffic -- only looking at %d of %d bytes!!!\n", p->bytes_to_inspect, p->dsize););
                p->dsize = (uint16_t)p->bytes_to_inspect;
            }
            /* 调用检测引擎*/
            Detect(p);
        }
        else if (p->bytes_to_inspect == -1)
        {
            DEBUG_WRAP(DebugMessage(DEBUG_DETECT, "Ignoring server traffic!!!\n"););
        }
    } 
    ...
}
  • Detect函数源码:
int Detect(Packet * p)
{
...
    detected = fpEvalPacket(p);
...
}

 

  • fpEvalPacket函数源码:
int fpEvalPacket(Packet *p)
{
...
    switch(ip_proto)
    {
        case IPPROTO_TCP:
            DEBUG_WRAP(DebugMessage(DEBUG_DETECT,
                        "Detecting on TcpList\n"););

            if(p->tcph == NULL)
            {
                ip_proto = -1;
                break;
            }

            return fpEvalHeaderTcp(p, omd);
        default:
            break;
    }

    /*
    **  No Match on TCP/UDP, Do IP
    */
    return fpEvalHeaderIp(p, ip_proto, omd);
}

 

  • fpEvalHeaderTcp函数源码:
static inline int fpEvalHeaderTcp(Packet *p, OTNX_MATCH_DATA *omd)
{
...

    if (dst != NULL)
    {
        if (fpEvalHeaderSW(dst, p, 1, 0, omd))
            return 1;
    }
...
}

 

  • fpEvalHeaderSW函数源码:
static inline int fpEvalHeaderSW(PORT_GROUP *port_group, Packet *p,
        int check_ports, char ip_rule, OTNX_MATCH_DATA *omd)
{
...

    if (do_detect_content)
    {
...
            if (p->uri_count > 0)
            {
...

                    if ((so != NULL) && (mpseGetPatternCount(so) > 0))
                    {
                        start_state = 0;
                        mpseSearch(so, UriBufs[i].uri, UriBufs[i].length,
                                rule_tree_match, omd, &start_state);
...
                    }
                }
            }
        }
    }
    return 0;
}

 

  • mpseSearch函数源码:此函数如果赤星成功会调用rule_tree_match函数继续匹配规则,进行检测
int mpseSearch( void *pvoid, const unsigned char * T, int n, int ( *action )(void* id, void * tree, int index, void *data, void *neg_list), void * data, int* current_state )
{
    ...
    switch( p->method )
    {
        /* 这里就是调用多模式匹配算法AC*/
        case MPSE_AC_BNFA:
        case MPSE_AC_BNFA_Q:
            /* return is actually the state */
            ret = bnfaSearch((bnfa_struct_t*) p->obj, (unsigned char *)T, n, action, data, 0 /* start-state */, current_state );
        ...
        default: PREPROC_PROFILE_END(mpsePerfStats);
        return 1;
    }
}
  • rule_tree_match函数源码:

 

static int rule_tree_match( void * id, void *tree, int index, void * data, void * neg_list)
{
...
    rval = detection_option_tree_evaluate(root, &eval_data);
...
    return 0;
}

 

  • detection_option_tree_evaluate函数源码:
static int detection_option_tree_evaluate(detection_option_tree_root_t *root, detection_option_eval_data_t *eval_data)
{
...
    /* 这里就是匹配规则树*/
    for ( i = 0; i< root->num_children; i++)
    {
        /* New tree, reset doe_ptr for safety */
        UpdateDoePtr(NULL, 0);

        /* Increment number of events generated from that child */
        /* 匹配规则树的节点*/
        rval += detection_option_node_evaluate(root->children[i], eval_data);
    }
...
}
  • detection_option_node_evaluate函数源码:
int detection_option_node_evaluate(detection_option_tree_node_t *node, detection_option_eval_data_t *eval_data)
{
    ...
    /* No, haven't evaluated this one before... Check it. */
    do
    {
        switch (node->option_type)
        {
            ...
            case RULE_OPTION_TYPE_CONTENT:
                if (node->evaluate)
                {
                    /* This will be set in the fast pattern matcher if we found * a content and the rule option specifies not that * content. Essentially we've already evaluated this rule * option via the content option processing since only not * contents that are not relative in any way will have this * flag set */
                    if (dup_content_option_data.exception_flag)
                    {
                        if ((dup_content_option_data.last_check.ts.tv_sec == eval_data->p->pkth->ts.tv_sec) && (dup_content_option_data.last_check.ts.tv_usec == eval_data->p->pkth->ts.tv_usec) && (dup_content_option_data.last_check.packet_number == cur_eval_pkt_count) && (dup_content_option_data.last_check.rebuild_flag == (eval_data->p->packet_flags & PKT_REBUILT_STREAM)))
                        {
                            rval = DETECTION_OPTION_NO_MATCH; break;
                        }
                    }
                    /* 调用BM算法匹配规则的模式串 */
                    rval = node->evaluate(&dup_content_option_data, eval_data->p);
                }
                break;
            case RULE_OPTION_TYPE_CONTENT_URI:
                if (node->evaluate)
                {
                    /* 调用BM算法匹配规则的模式串 */
                    rval = node->evaluate(&dup_content_option_data, eval_data->p);
                }
                break;
            ...
        }
    }
    return result;
}

本博客是涉及到模式匹配引擎的初始化和匹配过程,并未讨论其中的算法实现。 

 

 

 

你可能感兴趣的:(snort)

  • 【网络攻防实验】【北京航空航天大学】【实验一、入侵检测系统(Intrusion Detection System, IDS)实验】 不是AI 网络技术Linux网络
    实验一、入侵检测系统实验1、虚拟机准备本次实验使用1台KaliLinux虚拟机和1台WindowsXP虚拟机,虚拟化平台选择OracleVMVirtualBox,如下图所示。2、Snort环境搭建实验前,先确保KaliLinux虚拟机能够访问外网,将网络模式设置为“网络地址转换”:2.1安装数据采集模块(1)安装依赖项:命令:sudoaptupdate命令执行结果:命令:sudoaptinstal
  • arm 平台安装snort3 小明爱IT arm开发网络
    本文来自原创,转载请说明来源。谢谢配合。选择初衷最近在学习渗透相关课程,回想起曾经拥有自己的域名和服务器的经历。不幸的是,服务器被注入了木马文件,起初并没有察觉。直到我加入了定时任务,才发现了这个问题。当时我下定决心要打造一个安全的网站,以保护自己的网站免受渗透的威胁。我在抖音上了解到了雷池,然而我尝试运行雷池时发现它需要在支持ssse3指令集的CPU上运行,而我的aarch64系列CPU并不支持
  • Cisco FirePower FTD的一些操作命令 funnycoffee123 Ciscofirepowerciscofirepower
    CiscoFirepowerFTD的命令,其实和ASA几乎一样。FTD上跑了2个逻辑上的模块LInaSnortLina就是传统的ASA,执行4层检查,Snort就是IPS,带7层检测功能FTD上的show的命令和ASA几乎一样下面来几个查看接口showintipbrief查看nameifshownameif查看FailovershowFailover查看ACLshowrunaccess-lists
  • 【网络安全实验】snort实现高级IDS 轻闲一号机 网络安全实验web安全网络安全snort
    注:本实验分别使用kali和CentOS6.8进行测试,可惜的是使用kali进行实验过程中遇到了困难,未能完成完整实验,而使用CentOS6.8成功完成了完整实验。实验中用到的软件:https://download.csdn.net/download/weixin_52553215/88800055【实验目的】了解IDS基本原理;掌握snort实现高级IDS;【实验内容】1、实验环境:kali2、
  • CVE-2024-23897复现及IDS中snort防御规则制定 2077-hacker servletweb安全安全网络安全安全威胁分析网络攻击模型计算机网络
    CVE-2024-23897原理大致分析CVE-2024-23897是一个涉及Jenkins未授权文件读取的漏洞。它利用了Jenkins命令行接口(CLI)的特性,其中CLI使用args4j库解析命令行参数。args4j库具有一个特点,即当命令行参数以@字符开头时,该参数会被视为文件路径,并将该文件内容读取作为参数。利用这一特性,攻击者可以通过JenkinsCLI读取Jenkins服务器上的任意文
  • 【云计算学习教程】与云计算相关的开源软件有哪些? 小熊coder 云计算云计算服务器运维
    文章目录1)OpenSSH2)Netfilter/Iptables3)Snort4)Postfix5)Squid6)Zabbix7)Odoo商业化的云计算组件有哪些?ⅤMware1.虚拟化平台2.管理工具3.交付部分Citrix1)DeliveryController(交付控制器)2)StoreFront(存储前端)3)Director4)Studio1.虚拟化平台2.管理工具3.交付部分Micr
  • 快速安装可视化IDS系统Security Onion 「已注销」 数据库运维操作系统
    快速安装可视化IDS系统SecurityOnion背景:网上有不少关于snort+barnyard2+base搭建IDS的文章,可是当你花费数天时间,还是无法完全安装完成时,及时当你安装完成发现不是你想要的平台式,时间成本如何计算?为了节约时间,本节为大家介绍的软件叫安全洋葱SecurityOnion(本文中简称:SO),它和OSSIM一样,是基于DebianLinux的系统,内部集成了很多开源安
  • 2018.09.16 Mr_Oldman
    It'sSunday.Pamutteredtohimself:Tenderfeet!Everythingtheyown,andnodogtowatchit.Didn'tkeepwatchhimself.Andtiedhishorseswithropes.Pasnorted."Tenderfeet!"hesaidagain."Shouldn'tbeallowedloosewestoftheMissi
  • 安全 漏洞扫描 OSSIM wowocpp web_htmlcentos
    安全漏洞扫描OSSIMOSSIMBurpSuiteProfessional:一站式Web应用程序漏洞检测套件(4)硬件选择,可以采用品×××服务器,对于中小企业也可以根据自己需求,以OSSIM4.8系统为例,目前系统对多核性能支持的比较好,推荐采用至强E系列处理器,OSSIM在漏洞扫描、Ossec扫描、Snort事件分析时会消耗大量CPU,所以要尽量选择高性能CPU,尤其是在OSSIMUSM发展到
  • Snort入侵检测系统的体系结构、工作模式、及规则 成谜的李四 snort网络安全
    *Snort入侵检测系统的体系结构、工作模式、及规则*Snort的结构由4大软件模块组成,它们分别是:(1)数据包嗅探模块——负责监听网络数据包,对网络进行分;(2)预处理模块——该模块用相应的插件来检查原始数据包,从中发现原始数据的“行为”,如端口扫描,IP碎片等,数据包经过预处理后才传到检测引擎;(3)检测模块——该模块是Snort的核心模块。当数据包从预处理器送过来后,检测引擎依据预先设置的
  • 【Microsoft Azure 的1024种玩法】二十八. 基于Azure Cloud搭建IPS入侵防御系统实现安全流量实时分析 一只特立独行的兔先森 【MicrosoftAzure的1024种玩法】IPSAzureAzureVM
    【简介】Snort是一个开源入侵防御系统(IPS),SnortIPS使用一系列规则来帮助定义恶意网络活动,并利用这些规则来查找与之匹配的数据包,并为用户生成警报,Snort也可以在线部署来阻止这些数据包。Snort有三个主要用途。作为一个像tcpdump一样的数据包嗅探器,作为一个数据包记录器–这对网络流量调试很有用,或者它可以作为一个完整的网络入侵防御系统,本篇文章将带着大家完成通过AzureC
  • 国科大网络协议安全大作业——分析流量并使用Snort规则进行检测 起床学FPGA 国科大作业linuxcentos网络安全网络协议计算机网络
    一、实验准备1.1实验要求SHA256(SecureHashAlgorithm256-bit)是一种密码学哈希函数,用于计算数据的哈希值。每个文件使用一个哈希算法只会有一个确定的哈希值。1.2虚拟机配置被感染主机设置为ubuntu22.04,虚拟机IP地址为192.168.88.142二、打开.pcap文件的流程2.1用root账号登录虚拟机原因:避免wireshark奇怪报错2.2查看文件类型和
  • [读书笔记]网空态势感知理论与模型(六) xian_wwq 安全网空态势
    企业级网空态势感知1.态势感知系统的挑战从海量的日志、网络流量、安全告警及业务交易日志中找到所需的信息是一个巨大的挑战;其次,对于孤立系统生成的信息整合和理解也是一个挑战,没有现成的整合框架或模型可被用于工具、算法和技术的耦合;第三,相关技术很少考虑安全分析人员在其中的作用。(1)安全监测:记录网络流量的WireShark、Ntop、Tcpdump、Bro以及Snort扫描漏洞的Nessus、OV
  • 【转】snort的安装、配置和使用 xian_wwq snort安全
    一、Snort概述在1998年,MartyRoesch先生用C语言开发了开放源代码(OpenSource)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(NetworkIntrusionDetection/PreventionSystem)
  • 网络安全——基于Snort的入侵检测实验 李秋天 网络安全web安全安全
    一、实验目的要求:二、实验设备与环境:三、实验原理:四、实验步骤:五、实验现象、结果记录及整理:六、分析讨论与思考题解答:七、实验截图:一、实验目的要求:1、掌握Snort的安装配置方法。2、掌握Snort规则定义方法。3、掌握使用Snort分析网络状态的方法。4、具体内容:1)学习Snort工作原理。2)配置Snort规则文件。3)使用Snort检测网络入侵事件。二、实验设备与环境:三、实验原理
  • 2019中考国庆70周年英语作文(汉英对照) 天晟杨老师
    InEarth'snorthernside,Asia'seasternpart,PacificOcean'sWestbank,somebeautifulplace,hereisourhometown,hereisourhomeland,thisisourgreatmotherland-mother,isshe,withyaalreadythemilk,cultivatedthemyriadhero
  • 数据结构:串:第2关:基于KMP算法的网络入侵检测 Unen030 数据结构网络
    任务描述随着互联网的飞速发展,网络安全问题日益严重。入侵检测技术是一种积极主动防御的安全保障技术,而Snort是其中基于规则匹配的一种入侵检测技术。Snort自1998年被发明以来,历经数年的迭代更新,Snort已成为一个具有多平台(Multi-Platform)、实时(Real-Time)流量分析、网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(NetworkIntrus
  • Suricata/Snort规则参考 神域序列 Rust网络安全Snort网络安全IDSIPSSnortSuricata
    Suricata/Snort规则参考文章目录Suricata/Snort规则参考限制优势6.Suricata规则6.1.规则格式6.1.1.动作(Action)6.1.2.协议(Protocol)6.1.3.源和目的(Sourceanddestination)6.1.4.端口(Sourceanddestination)6.1.5.方向(Direction)6.1.6.规则选项(Ruleoption
  • 戏剧性的木星 AliceWanderAI
    图片发自AppDramaticatmosphericfeaturesinJupiter’snorthernhemispherearecapturedinthisviewfromNASA’sJunospacecraft.Thenewperspectiveshowsswirlingcloudsthatsurroundacircularfeaturewithinajetstreamregioncalle
  • 编写snort规则检测网络攻击 手可摘辰 网络安全网络tcp/iphttp
    编写snort规则检测网络攻击1.snort规则2.编写三个snort规则3.开启snort和barnyard21.snort规则Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以源和目标端口信息;规则选项部分包含报警消息内容和要检查的包的具体部分。Alert:使用选择的报警方法生成一个警报,然后记录(log)这个包。Alert动作用来在
  • Yara、Snort和Sigma规则 摔不死的笨鸟 网络
    基于规则的检测是处理已知安全威胁的最有效手段,它作为当前安全检测的核心与基石,其地位短期内还无法动摇。Yara规则是基于二进制文件的静态HEX数据内容实现的扫描规则。简单点说,就是基于原始文件的内容数据扫描规则。Snort规则是基于IDS入侵检测系统,主要针对流量中数据包内容编写的扫描规则。SIGMA是一种通用的开放签名格式,允许以简单的方式描述SIEM系统中的相关日志事件。Sigma规则更偏向于
  • suricata匹配从入门到精通(三)----开始编写简单的snort规则 leeezp suricataIDS网络安全网络安全web安全安全
    suricata兼容snort规则的大部分语法。今天我来教大家编写一条检测请求的规则。基于suricata6.0.x版本。0x00规则编写初体验以http的流量举例:例如,想匹配一个黑客工具建立三次握手后发起的恶意请求,使用下面的关键字:flow:established,to_server;想匹配请求方法,POST等,使用下面的关键字:http.method;content:"POST";如果想匹
  • snort--content中几个选项 sunshine-01 snortsnortcontent
    **Content**nocase定义content忽略大小写。用法:content:“wan”;nocase;offset在n个字节后匹配用法:offset:字节数;举例:content:“wan”;offset:2;从负载的第二个字节开始匹配wandepth在负载的第n个字节内匹配用法:depth:字节数;举例:content:“wan”;depth:2;在负载的第二个字节内匹配wandist
  • 安全 | 开源入侵防御系统 Snort 青Cheng序员石头 安全网络服务器系统安全运维
    theme:orange持续创作,加速成长!这是我参与「掘金日新计划·6月更文挑战」的第21天,点击查看活动详情个人主页:@青Cheng序员石头Snort概要是世界上最重要的开源入侵防御系统(IPS)。其由Sourcefire创始人、前首席技术官MartinRoesch创建,目前由Cisco开发和维护。Snort概要Snort概要是世界上最重要的开源入侵防御系统(IPS)。其由Sourcefire
  • 2019年阜阳中小学教师考编英语学科专业知识倒装主谓一致强调句法要点 阜阳师出教育
    第二部分句法考点十三主谓一致一、就近原则1.由并列结构或连词(either...or,neither...nor,not...but,notonly...butalso,or等)连接的并列主语,谓语动词与较近的那个名词或代词保持一致。NeitherhisparentsnorTomisathome.2.在倒装句和therebe句型中,谓语动词与后面的第一个主语保持一致。Thereisabookand
  • 杨柳絮?垂柳?催人泪下?Chinadaily学习笔记(6.24) 云吞悠扬
    杨柳絮willowandpoplarcatkinsAstheweekbegins,thecapital'sdowntownandsouthernpartswillseewillowandpoplarcatkinswaftingthroughtheair,andthecity'snortheasternareaswillstarttofacetheproblemabitlater,betweenWe
  • Linux网络安全技术与实现(弱点扫描、入侵检测、主动防御) SkTj
    漏洞扫描工具:OpenVAS入侵检测系统:snortossec入侵防御系统:snort+guardian
  • 岁暮归南山 译文 之彦
    岁暮归南山①孟浩然北阙②休上书,南山归敝庐。不才明主弃,多病故人疏。白发催年老,青阳③逼岁除。永怀愁不寐,松月夜窗虚。注:①写这首诗时,诗人正是四十岁,长安科考落第。②北阙:指帝宫。③青阳:指春天。ReturningtosouthernmountainasoldUpwordsnorthpalaceofEmporerpetitionsstopping,Tothehumblehutofsouthern
  • python+snort 入侵检测 沐阳zz python
    Snort是一款开源的入侵检测系统(IDS),其主要功能是监控网络流量,通过规则匹配来检测网络中的异常行为和攻击。而Python是一种流行的编程语言,它有着强大的数据处理和分析能力。结合两者,我们可以使用Python对Snort捕获的网络流量进行分析。首先,我们需要安装Snort和相应的Python模块,如PyCap、py-idstools等。安装方法可以参考官方文档或者第三方教程,不再赘述。接下
  • snort入侵检测技术 xuanxi
    #snort-v【开启snort的嗅探功能】在win10上ping192.168.67.130在Ubuntu上抓取到数据包ctrl+C退出:自动统计数据root@bt:~#cd/etc/snortroot@bt:/etc/snort#lsclassification.configreference.configsnort.confunicode.mapcommunity-sid-msg.mapru
  • java线程的无限循环和退出 3213213333332132 java
    最近想写一个游戏,然后碰到有关线程的问题,网上查了好多资料都没满足。 突然想起了前段时间看的有关线程的视频,于是信手拈来写了一个线程的代码片段。 希望帮助刚学java线程的童鞋 package thread; import java.text.SimpleDateFormat; import java.util.Calendar; import java.util.Date
  • tomcat 容器 BlueSkator tomcatWebservlet
    Tomcat的组成部分 1、server A Server element represents the entire Catalina servlet container. (Singleton) 2、service service包括多个connector以及一个engine,其职责为处理由connector获得的客户请求。   3、connector 一个connector
  • php递归,静态变量,匿名函数使用 dcj3sjt126com PHP递归函数匿名函数静态变量引用传参
      <!doctype html> <html lang="en"> <head> <meta charset="utf-8"> <title>Current To-Do List</title> </head> <body>
  • 属性颜色字体变化 周华华 JavaScript
    function changSize(className){ var diva=byId("fot") diva.className=className; } </script> <style type="text/css"> .max{ background: #900; color:#039;
  • 将properties内容放置到map中 g21121 properties
    代码比较简单: private static Map<Object, Object> map; private static Properties p; static { //读取properties文件 InputStream is = XXX.class.getClassLoader().getResourceAsStream("xxx.properti
  • [简单]拼接字符串 53873039oycg 字符串
             工作中遇到需要从Map里面取值拼接字符串的情况,自己写了个,不是很好,欢迎提出更优雅的写法,代码如下:           import java.util.HashMap; import java.uti
  • Struts2学习 云端月影
    最近开始关注struts2的新特性,从这个版本开始,Struts开始使用convention-plugin代替codebehind-plugin来实现struts的零配置。 配置文件精简了,的确是简便了开发过程,但是,我们熟悉的配置突然disappear了,真是一下很不适应。跟着潮流走吧,看看该怎样来搞定convention-plugin。 使用Convention插件,你需要将其JAR文件放
  • Java新手入门的30个基本概念二 aijuans java新手java 入门
    基本概念:  1.OOP中唯一关系的是对象的接口是什么,就像计算机的销售商她不管电源内部结构是怎样的,他只关系能否给你提供电就行了,也就是只要知道can or not而不是how and why.所有的程序是由一定的属性和行为对象组成的,不同的对象的访问通过函数调用来完成,对象间所有的交流都是通过方法调用,通过对封装对象数据,很大限度上提高复用率。  2.OOP中最重要的思想是类,类是模板是蓝图,
  • jedis 简单使用 antlove javarediscachecommandjedis
    jedis.RedisOperationCollection.java package jedis; import org.apache.log4j.Logger; import redis.clients.jedis.Jedis; import java.util.List; import java.util.Map; import java.util.Set; pub
  • PL/SQL的函数和包体的基础 百合不是茶 PL/SQL编程函数包体显示包的具体数据
    由于明天举要上课,所以刚刚将代码敲了一遍PL/SQL的函数和包体的实现(单例模式过几天好好的总结下再发出来);以便明天能更好的学习PL/SQL的循环,今天太累了,所以早点睡觉,明天继续PL/SQL总有一天我会将你永远的记载在心里,,,   函数; 函数:PL/SQL中的函数相当于java中的方法;函数有返回值 定义函数的 --输入姓名找到该姓名的年薪 create or re
  • Mockito(二)--实例篇 bijian1013 持续集成mockito单元测试
            学习了基本知识后,就可以实战了,Mockito的实际使用还是比较麻烦的。因为在实际使用中,最常遇到的就是需要模拟第三方类库的行为。         比如现在有一个类FTPFileTransfer,实现了向FTP传输文件的功能。这个类中使用了a
  • 精通Oracle10编程SQL(7)编写控制结构 bijian1013 oracle数据库plsql
    /* *编写控制结构 */ --条件分支语句 --简单条件判断 DECLARE v_sal NUMBER(6,2); BEGIN select sal into v_sal from emp where lower(ename)=lower('&name'); if v_sal<2000 then update emp set
  • 【Log4j二】Log4j属性文件配置详解 bit1129 log4j
    如下是一个log4j.properties的配置   log4j.rootCategory=INFO, stdout , R log4j.appender.stdout=org.apache.log4j.ConsoleAppender log4j.appender.stdout.layout=org.apache.log4j.PatternLayout log4j.appe
  • java集合排序笔记 白糖_ java
    public class CollectionDemo implements Serializable,Comparable<CollectionDemo>{ private static final long serialVersionUID = -2958090810811192128L; private int id; private String nam
  • java导致linux负载过高的定位方法 ronin47
    定位java进程ID 可以使用top或ps -ef |grep java ![图片描述][1] 根据进程ID找到最消耗资源的java pid 比如第一步找到的进程ID为5431 执行 top -p 5431 -H ![图片描述][2] 打印java栈信息 $ jstack -l 5431 > 5431.log 在栈信息中定位具体问题 将消耗资源的Java PID转
  • 给定能随机生成整数1到5的函数,写出能随机生成整数1到7的函数 bylijinnan 函数
    import java.util.ArrayList; import java.util.List; import java.util.Random; public class RandNFromRand5 { /** 题目:给定能随机生成整数1到5的函数,写出能随机生成整数1到7的函数。 解法1: f(k) = (x0-1)*5^0+(x1-
  • PL/SQL Developer保存布局 Kai_Ge
          近日由于项目需要,数据库从DB2迁移到ORCAL,因此数据库连接客户端选择了PL/SQL Developer。由于软件运用不熟悉,造成了很多麻烦,最主要的就是进入后,左边列表有很多选项,自己删除了一些选项卡,布局很满意了,下次进入后又恢复了以前的布局,很是苦恼。在众多PL/SQL Developer使用技巧中找到如下这段:   &n
  • [未来战士计划]超能查派[剧透,慎入] comsci 计划
           非常好看,超能查派,这部电影......为我们这些热爱人工智能的工程技术人员提供一些参考意见和思想........        虽然电影里面的人物形象不是非常的可爱....但是非常的贴近现实生活....    &nbs
  • Google Map API V2 dai_lm google map
    以后如果要开发包含google map的程序就更麻烦咯 http://www.cnblogs.com/mengdd/archive/2013/01/01/2841390.html 找到篇不错的文章,大家可以参考一下 http://blog.sina.com.cn/s/blog_c2839d410101jahv.html 1. 创建Android工程 由于v2的key需要G
  • java数据计算层的几种解决方法2 datamachine javasql集算器
    2、SQL     SQL/SP/JDBC在这里属于一类,这是老牌的数据计算层,性能和灵活性是它的优势。但随着新情况的不断出现,单纯用SQL已经难以满足需求,比如: JAVA开发规模的扩大,数据量的剧增,复杂计算问题的涌现。虽然SQL得高分的指标不多,但都是权重最高的。     成熟度:5星。最成熟的。   
  • Linux下Telnet的安装与运行 dcj3sjt126com linuxtelnet
    Linux下Telnet的安装与运行   linux默认是使用SSH服务的 而不安装telnet服务  如果要使用telnet 就必须先安装相应的软件包  即使安装了软件包 默认的设置telnet 服务也是不运行的 需要手工进行设置 如果是redhat9,则在第三张光盘中找到 telnet-server-0.17-25.i386.rpm
  • PHP中钩子函数的实现与认识 dcj3sjt126com PHP
    假如有这么一段程序: function fun(){ fun1(); fun2(); }   首先程序执行完fun1()之后执行fun2()然后fun()结束。   但是,假如我们想对函数做一些变化。比如说,fun是一个解析函数,我们希望后期可以提供丰富的解析函数,而究竟用哪个函数解析,我们希望在配置文件中配置。这个时候就可以发挥钩子的力量了。   我们可以在fu
  • EOS中的WorkSpace密码修改 蕃薯耀 修改WorkSpace密码
    EOS中BPS的WorkSpace密码修改 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 蕃薯耀 201
  • SpringMVC4零配置--SpringSecurity相关配置【SpringSecurityConfig】 hanqunfeng SpringSecurity
     SpringSecurity的配置相对来说有些复杂,如果是完整的bean配置,则需要配置大量的bean,所以xml配置时使用了命名空间来简化配置,同样,spring为我们提供了一个抽象类WebSecurityConfigurerAdapter和一个注解@EnableWebMvcSecurity,达到同样减少bean配置的目的,如下:   applicationContex
  • ie 9 kendo ui中ajax跨域的问题 jackyrong AJAX跨域
    这两天遇到个问题,kendo ui的datagrid,根据json去读取数据,然后前端通过kendo ui的datagrid去渲染,但很奇怪的是,在ie 10,ie 11,chrome,firefox等浏览器中,同样的程序, 浏览起来是没问题的,但把应用放到公网上的一台服务器, 却发现如下情况: 1) ie 9下,不能出现任何数据,但用IE 9浏览器浏览本机的应用,却没任何问题
  • 不要让别人笑你不能成为程序员 lampcy 编程程序员
    在经历六个月的编程集训之后,我刚刚完成了我的第一次一对一的编码评估。但是事情并没有如我所想的那般顺利。 说实话,我感觉我的脑细胞像被轰炸过一样。 手慢慢地离开键盘,心里很压抑。不禁默默祈祷:一切都会进展顺利的,对吧?至少有些地方我的回答应该是没有遗漏的,是不是? 难道我选择编程真的是一个巨大的错误吗——我真的永远也成不了程序员吗? 我需要一点点安慰。在自我怀疑,不安全感和脆弱等等像龙卷风一
  • 马皇后的贤德 nannan408
       马皇后不怕朱元璋的坏脾气,并敢理直气壮地吹耳边风。众所周知,朱元璋不喜欢女人干政,他认为“后妃虽母仪天下,然不可使干政事”,因为“宠之太过,则骄恣犯分,上下失序”,因此还特地命人纂述《女诫》,以示警诫。但马皇后是个例外。   有一次,马皇后问朱元璋道:“如今天下老百姓安居乐业了吗?”朱元璋不高兴地回答:“这不是你应该问的。”马皇后振振有词地回敬道:“陛下是天下之父,
  • 选择某个属性值最大的那条记录(不仅仅包含指定属性,而是想要什么属性都可以) Rainbow702 sqlgroup by最大值max最大的那条记录
    好久好久不写SQL了,技能退化严重啊!!!   直入主题: 比如我有一张表,file_info, 它有两个属性(但实际不只,我这里只是作说明用): file_code, file_version 同一个code可能对应多个version 现在,我想针对每一个code,取得它相关的记录中,version 值 最大的那条记录, SQL如下: select *
  • VBScript脚本语言 tntxia VBScript
      VBScript 是基于VB的脚本语言。主要用于Asp和Excel的编程。   VB家族语言简介   Visual Basic 6.0           源于BASIC语言。           由微软公司开发的包含协助开发环境的事
  • java中枚举类型的使用 xiao1zhao2 javaenum枚举1.5新特性
    枚举类型是j2se在1.5引入的新的类型,通过关键字enum来定义,常用来存储一些常量.   1.定义一个简单的枚举类型 public enum Sex { MAN, WOMAN }   枚举类型本质是类,编译此段代码会生成.class文件.通过Sex.MAN来访问Sex中的成员,其返回值是Sex类型.   2.常用方法 静态的values()方
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他