免责声明:本文内容仅用于安全研究与学习请在合法授权的环境中使用严禁用于任何非法用途。因使用不当造成的后果由使用者自行承担并应遵守相关法律法规。IDS-入侵检测系统基于主机的入侵检测系统HIDS基于网络的入侵检测系统NIDS)接下来简单讲解两款老牌的NIDS的使用和安装Snort一个开源的网络入侵检测系统IDS和入侵防御系统IPS它可以捕获通讯流量并对其做协议解析识别或防御通讯流量中可疑或恶意的行为。国内大部分厂商基于流量的IDS的数据包捕获、协议解析、检测引擎等关键模块都是在此基础上做修改和扩展优化。官网https://www.snort.org/安装参考https://mp.weixin.qq.com/s/haxqngjZBcrYs2QsQN7aqg以Ubuntu 22.04为例子更新系统sudoaptupdatesudoaptupgrade-y安装依赖Snort 3 依赖比较多这一步很关键sudoaptinstall-ybuild-essential cmakegitlibpcap-dev\libpcre3-dev libdumbnet-dev bison flex zlib1g-dev\liblzma-dev openssl libssl-dev pkg-config\libhwloc-dev luajit libluajit-5.1-dev\libunwind-dev libmnl-devethtool安装 DAQ数据采集库cd/usr/srcsudogitclone https://github.com/snort3/libdaq.gitcdlibdaqsudo./bootstrapsudo./configuresudomake-j$(nproc)sudomakeinstall更新库路径sudoldconfig安装 Snort 3cd/usr/srcsudogitclone https://github.com/snort3/snort3.gitcdsnort3sudo./configure_cmake.sh--prefix/usr/local/snortcdbuildsudomake-j$(nproc)sudomakeinstall可能会缺失依赖sudoaptinstall-ylibpcre2-dev配置环境变量echoexport PATH$PATH:/usr/local/snort/bin~/.bashrcsource~/.bashrc验证安装snort-V看到类似说明成功测试使用配置文件规则写法使用参数https://www.cnblogs.com/yuersan/p/15236326.htmlhttps://blog.csdn.net/hexf9632/article/details/94715434https://blog.csdn.net/qq_43968080/article/details/103378952https://blog.csdn.net/weixin_42376192/article/details/155629548自写规则snort3规则基本框架动作 协议 源地址 源端口 方向 目标地址 目标端口 (规则选项) 比如TCP: alert tcp any any - any 80 (msg:test; content:abc; sid:1000001; rev:1;) sid是唯一标识1、ICMP协议流量警告测试先修改/usr/local/snort/etc/snort/snort.lua的alert_fast取消注释改成alert_fast { file true }获取到的信息会存到执行命令的目录,名字是alert_fast.txt创建规则库文件夹rules将icmp规则/usr/local/snort/etc/rules# cat icmp_check.rule放入icmp_check.rulesnort -c /usr/local/snort/etc/snort/snort.lua -R /usr/local/snort/etc/rules/icmp_check.rule -i eth0 -c 加载配置文件 -R选择特定的规则文件 -i 选择监听网卡尝试使用另一台主机进行ping命令测试是否有用同级目录生成了文件:alert_fast.txt3.编写Snort规则Snort规则由两部分组成规则头Rule Header和规则选项Rule Options。规则头:定义流量匹配的基本信息如协议、源和目的地址、端口等。规则选项:包含更详细的检测条件和告警信息。规则头规则头的基本格式如下动作 协议 源地址 源端口 方向 目标地址 目标端口 (规则选项) action protocol/service src_ip src_port - dst_ip dst_port其中各字段含义如下●action规则动作如alert、log、pass等。●protocol/service协议或服务类型如tcp、udp、icmp、http、dns等。●src_ip源IP地址可为IP、CIDR或any。●src_port源端口可为具体端口或any。●dst_ip目的IP地址。●dst_port目的端口。示例规则头alert http any any - 192.168.1.0/24 any表示检测所有进入该网段的HTTP流量。规则选项规则选项位于规则头之后由键值对组成以分号分隔(key:value; ...)常见选项包括msg告警信息sid规则ID必须唯一rev规则版本content内容匹配depth匹配深度offset起始偏移nocase忽略大小写classtype分类类型因为在 Snort 3 里nocase、fast_pattern、depth、offset、distance、within这些都属于content modifier是跟在某个content后面的,用逗号分隔示例规则选项(msg:Potential SQL Injection; sid:1000001; rev:1; http_uri; content: or 11,nocase;)完整示例规则alert http any any - any any (msg:Potential SQL Injection; sid:1000001; rev:1; http_uri; content: or 11, nocase;)3. 规则编写技巧与方法编写Snort规则需要掌握一些基本技巧和方法以下是几个关键点使用适当的动作根据网络环境和安全需求选择合适的动作如●alert适用于需要生成告警事件的场景Snort 3主要使用该动作。●log用于记录流量事件较少单独使用通常由输出模块控制。●pass用于放行流量并跳过检测需谨慎使用避免绕过检测链。精确匹配协议和服务Snort 3支持基于服务的规则如http、dns等建议优先使用服务类型而非仅依赖端口。例如对于HTTP流量应优先使用http协议而不是简单写tcp 80。合理使用内容匹配Sticky Buffer机制内容匹配是Snort规则的重要部分在Snort 3中需要结合缓冲区使用例如http_uri; content:/admin;表示在HTTP URI中匹配内容。常见缓冲区包括● http_uri● http_header● http_method● http_client_body需要注意匹配应尽量精确避免模糊匹配以减少误报。定义唯一的规则ID每条规则必须有唯一的sid以便于规则管理和事件关联。推荐使用大于1000000的ID以避免与官方规则冲突。分类和优先级设置使用classtype和priority对规则进行分类和优先级标记有助于告警分析。例如classtype:attempted-recon; priority:2;输出由Lua配置控制Snort 3中不再主要依赖命令行参数控制输出而是在snort.lua中配置例如alert_fast{filetrue}表示启用fast格式告警并输出到文件。4. 完整示例Snort 3nc反弹shell的特定端口告警:注意有坑!网卡通常开启了checksum offload校验和卸载导致snort抓到数据包,但是不会匹配而丢弃,需要关闭ethtool-Keth0 rx off tx offethtool-Keth0 tso off gso off gro off lro off攻击机:受害机:检测规则:alert tcp any any - any 7799 (msg:检测到连接7799端口数据包; gid:1;sid:10000002;rev:1;)检测和查看命令:snort-c/usr/local/snort/etc/snort/snort.lua-R/usr/local/snort/etc/rules/tcp_check.rule-ieth0catalert_fast.txtSQL注入攻击警告alert http any any - any any (msg:Possible SQL Injection; http_uri; content: OR 11 --,nocase; sid:10000003; rev:1;)这个就简单起一个python的web页面,python -m http.server 9999本机使用hackbar发送特征数据包就行本机发包:主机有数据了:snort也是检测监听到sql注入永恒之蓝特征警告alert tcp any any - $HOME_NET any (msg:ET EXPLOIT Possible ETERNALBLUE MS17-010; flow:to_server,established; content:|00 00 00 31 ff|SMB,depth:16; fast_pattern; content:|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|, distance:0; classtype:trojan-activity; sid:2024220; rev:1;)说明Snort 3中对SMB支持依赖检测模块通常仍使用tcp规则匹配特征snort官方库:https://www.snort.org/规则库后续可以分析各种工具特征流量,编自己的snort规则库将以下工具特征进行规则编写与检测sqlmapSQL注入工具数据包头默认带有sqlmap字段 数据包带有sql语句冰蝎Behinder请求头常见:Accept: application/json, text/javascript, */*; q0.01 UA头设置了10种随机选择 冰蝎与webshell建立连接的同时javaw也与目的主机建立tcp连接每次连接使用本地端口在49700左右每连接一次每建立一次新的连接端口就依次增加。 连接密码:默认时所有冰蝎4.0 webshell都有“e45e329feb5d925b” 一串密钥。该密钥为连接密码32位md5值的前16位默认连接密码rebeyond哥斯拉GodzillaUA头固定几个 content_type固定有application/octet-stream 内容通常是AES\BASE64,哥斯拉会把一个32位的md5字符串按照一半拆分分别放在base64编码的数据的前后两部分。整个响应包的结构体征为md5前十六位base64md5后十六位。 参数会出现pass,password,pwdC2工具如CS BeaconFRP内网穿透工具重点关注HTTP特征URI / Header / BodyUser-Agent异常Base64 / 加密流量特征心跳流量模式BeaconSuricata一个开源的网络入侵检测系统IDS和入侵防御系统IPS它可以捕获通讯流量并对其做协议解析识别或防御通讯流量中可疑或恶意的行为。项目https://github.com/OISF/suricata参考https://suricata.readthedocs.io/安装https://docs.suricata.io/en/latest/install.htmlsudoapt-getinstallsoftware-properties-commonsudoadd-apt-repository ppa:oisf/suricata-stablesudoapt-getupdatesudoapt-getinstallsuricata配置https://docs.suricata.io/en/latest/quickstart.htmlipaddrsudovim/etc/suricata/suricata.yaml查看修改默认目录结构:/etc/suricata/ # 主配置目录 /etc/suricata/suricata.yaml # 主配置文件 /var/log/suricata/ # 日志目录 /usr/share/suricata/rules/ # 默认规则目录日志解析suricata.log包含 Suricata 运行时的日志信息如启动、关闭、规则加载等用于故障排除和监视。stats.log包含 Suricata 的统计信息如流量统计、规则匹配统计等用于性能调优和网络活动分析。fast.log就是告警输出日志了通常看这个就可以。eve.json详细的事件记录以 JSON 格式呈现包括有关规则匹配事件的详细信息包括协议解析、源和目标地址、端口、负载数据等用于深入分规则下载开源规则Suricata规则下载http://47.108.150.136:8080/IDShttps://github.com/al0ne/suricata-ruleshttps://github.com/ptresearch/AttackDetectionhttps://mp.weixin.qq.com/s/VjWPSVzP0whafH-oCmmvLA官方系统规则更新suricata-update自写规则自写规则,与snort类似,但是和snort3有些不同几乎可以通用:参考案例https://mp.weixin.qq.com/s/iaztHJYAtQSCDUS0_5fgtQ1、SQLMAP工具特征suricata -c /etc/suricata/suricata.yaml -i eth0 -s /etc/suricata/rules/sqlmap.rules 规则写法 alert http any any - any any (msg:SQLMAP攻击!; content:sqlmap; http_user_agent; nocase; sid:1000001; rev:1;)2、C2工具特征:sslblacklist.rules指纹能够识别 alert tls any any - any any (msg:SSLBL: Malicious SSL certificate detected (CobaltStrike CC); tls.fingerprint:6e:ce:5e:ce:41:92:68:3d:2d:84:e2:5b:0b:a7:e0:4f:9c:b7:eb:7c; reference:url, sslbl.abuse.ch/ssl-certificates/sha1/6ece5ece4192683d2d84e25b0ba7e04f9cb7eb7c/; sid:902202003; rev:1;)3.哥斯拉webshell管理工具特征gesila.rulealert http any any - any any (msg:哥斯拉攻击!;flow:to_server,established;content:Gecko;http_user_agent;nocase;content:Content-Type|3A| application/octet-stream;http_header;nocase;sid:20260409;rev:1;) 匹配头部两个特征flow:to_server,established;含义是只匹配已经建立连接并且从客户端发往服务器的流量