流量特徵處理
實戰snort是乙個翻譯,
他自己不會說英文(抓包),只會把聽到的英文(從libpcap抓到的包)翻譯成中國話說出來(分析後,展示給我們)。
snort2.9以上的版本能把更多語言翻譯成中國話(支援更多抓包的框架)。
能翻譯了,比如 one對應一,handsome boy對應大瑞大(優美的中國話 ),就要按照一定的規則把中國話說出來。
snort就按照一定的規則,把解析後的包展示出來。
一些規則如下
名字內容
msg展示的資訊
reference
該條規則的參考**
sid該條規則編號(是keyword)
rev規則版本
content
內容offset
content起始偏移
depth
content終止偏移
distance
下乙個content的起始偏移
nocase
大小寫不敏感
raw_bytes
對資料報未解析好的資料,進一步解析
isdataat
在某個偏移是否有資料(有的話應該就是payload)
flow
資料流會幹什麼(會幹tcp之類的)
豎線0a豎線
代表0a的轉義字元
不再詳細列舉啦,具體的規則內容可以參考官方文件
學習規則處理,我們就可以編寫了,寫乙個規則康康:
alert udp any any -> any any (msg:
"lvguang_trojan1"
; content:
"retkey"
; sid:
1000001
)
報警:是個udp包,包的內容包含retkey,是因為遇到了綠光木馬。
就是這個泛著綠光的木馬。
那麼,我們知道了snort的流量檢測,該如何消除這些特徵:
1、對資料報做編碼(加密),在web木馬裡面先解碼資料報(解密),再執行。
2、web木馬先訪問正常**,獲取正常資料,正常資料被解釋為遠端執行命令。(也是加密)
3、等等等…筆者能力有限,歡迎補充。
擷取流量儲存為pcap包,再用snort檢測pcap包是否會報警。
Web安全 基於上傳漏洞的MIME檢測繞過
實驗宣告 本實驗教程僅供研究學習使用,請勿用於非法用途,違者一律自行承擔所有風險!通過本實驗理解上傳檔案過程中mime檢測的方法,掌握利用burpsuit 抓包後修改相關資料報資訊繞過mime檢測的方法,熟悉mime上傳漏洞檢測的防護策略。滲透平台 kali 使用者名稱 college 密碼 360...
基於網路流量進行異常檢測
傳統入侵檢測的不足 隨著internet的不斷發展,網路安全已經逐漸成為人們越來越關心的問題,而入侵檢測系統是繼防火牆之後逐漸興起的防護手段之一,也越來越受廣大學者和工程人員的重視。傳統的入侵檢測方法分為兩種 基於誤用檢測 misused based 方法和基於異常 檢測 anomaly based...
基於網路流量進行異常檢測
傳統入侵檢測的不足 隨著internet的不斷發展,網路安全已經逐漸成為人們越來越關心的問題,而入侵檢測系統是繼防火牆之後逐漸興起的防護手段之一,也越來越受廣大學者和工程人員的重視。傳統的入侵檢測方法分為兩種 基於誤用檢測 misused based 方法和基於異常 檢測 anomaly based...