入侵检测：User-Agent

前言

在入侵检测中，有一类防御类型是针对黑客攻工具的，不少工具只有“User-Agent”是其唯一可识别项，因此整理了一些可以基于“User-Agent”作为识别特征的工具。

规则的开发很简单，这里暂且举两个例子，一个是纯content的，一个是content搭配正则的，如下：

alert tcp any any -> any any (msg:"Hydra爆破攻击"; flow:to_server; content:"User-Agent"; content:"Hydra"; nocase; distance:0; within:50; fast_pattern; metadata:service http; metadata:service http; sid:1; rev:1;)
alert tcp any any -> any any (msg:"WPScan扫描攻击"; flow:to_server; content:"User-Agent|3a| WPScan"; nocase; http_header; pcre:"/User-Agent:[^\x0a\x0d]*?(wpscan\.org|WPScan)/iH"; metadata:service http; sid:2; rev:1;)

Hydra

alert tcp any any -> any any (msg:"Hydra爆破攻击"; flow:to_server; content:"User-Agent"; content:"Hydra"; nocase; distance:0; within:50; fast_pattern; metadata:service http; metadata:service http; sid:1; rev:1;)

WPScan

WPScan是一个扫描WordPress漏洞的黑盒子扫描器，可以扫描出wordpress的版本，主题，插件，后台用户以及爆破后台用户密码等。
WordPress是一种使用PHP语言和MySQL数据库开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统（CMS）来使用。WordPress有许多第三方开发的免费模板，安装方式简单易用。

alert tcp any any -> any any (msg:"WPScan扫描攻击"; flow:to_server; content:"User-Agent|3a| WPScan"; nocase; http_header; pcre:"/User-Agent:[^\x0a\x0d]*?(wpscan\.org|WPScan)/iH"; metadata:service http; sid:1; rev:1;)

Wordpresscan

一个简单的Wordpress扫描器写在python的基础上WPScan(Ruby版本)，一些功能是受WPSeku的启发。

WebRoot

WebRoot是一款Web安全扫描工具使用它可以对网站进行SQL注入、后台文件扫描、文件上传等攻击。

SharinGan

Rsas

Skipfish

Skipfish是一款主动的Web应用程序安全侦察工具。它通过执行递归爬取和基于字典的探测来为目标站点准备交互式站点地图。最终的地图然后用来自许多活动（但希望是不中断的）安全检查的输出来注释。该工具生成的最终报告旨在作为专业Web应用程序安全评估的基础。

ua特征如下：

BruteXSS

特征可识别度不高

BruteXSS是一款快速的跨站脚本Brutforcer，可以强制参数。此工具允许您将单词列表中的多个有效内容注入指定的参数，并测试站点是否存在XSS漏洞。根据开发人员的说法，BruteXSS在完成任务时非常准确，因为扫描功能非常强大，所以几乎不存在误报的可能性。

XSStest

nmap

W3af

zgrab

httrack

HTTrack 是一个免费并易于使用的线下浏览器工具，全称是 HTTrack Website Copier for Windows，它能够让你从互联网上下载指定的网站进行线下浏览 (离线浏览)，也可以用来收集信息 (甚至有网站使用隐藏的密码文件)，一些仿真度极高的伪网站（为了骗取用户密码），也是使用类似工具做的。

iFinD

iFinD金融数据终端是同花顺公司旗下一款面向机构客户提供研究、投资决策服务的软件系统。运用文本、图像、语音语义的识别技术，获取网络数据信息。

sqlmap

whatweb

nikto

DirBuster

DirBuster是一个多线程的基于Java的应用程序设计暴力破解Web /应用服务器上的目录和文件名 。

Indy Library

Indy Library爬虫是开源项目Indy的一部分。此爬虫不遵守robots协议，会抓取网站敏感信息。常被开发成恶意程序，用来暴力破解、攻击站点。