入侵检测工具

最新推荐文章于 2024-10-25 09:20:22 发布
原创 最新推荐文章于 2024-10-25 09:20:22 发布 · 1.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博客介绍了几款网络安全工具。包括snort,给出其官方文档、安装命令及使用模式、语法规则;chkrootkit,介绍安装方法和使用方式,可过滤感染信息;还提及aide和psad的安装命令。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

snort(https://www.snort.org/)

官方文档: http://manual-snort-org.s3-website-us-east-1.amazonaws.com/

  • 安装
    yum install libdnet libdnet-devel -y
    yum install https://www.snort.org/downloads/snort/daq-2.0.6-1.centos7.x86_64.rpm
    yum install https://www.snort.org/downloads/snort/snort-2.9.12-1.centos7.x86_64.rpm

     注意:
    报错: error while loading shared libraries: libdnet.1: cannot open shared object file: No such file or directory* 
 解决方法: 
 	    cd /usr/lib64
 	    ln -s libdnet.so.1.0.1 libdnet.1

  • 使用
    参数

     -v  打印详细内容
 -d  打印应用层信息
 -i	 网卡设备,多个设备用:分隔
 -e  打印第二层的(数据链路层)头信息
 -h  指定网段,例: 192.168.1.0/24 
 -b  以二进制的方式保存日志,tcpdump的格式
 -r  读取日志文件

    sniffer mode

     打印tcp/ip头部信息
 	snort -v
 打印IP和TCP/UDP/ICMP头部信息
 	snort -vd
 打印头部信息和数据
 	snort -vde

    packet logger mode

     将数据保存到硬盘,下面的./log必须是目录
   snort -vde -l ./log

 读取指定log的icmp协议包信息			
   snort -dvr packet.log icmp

    network intrusion detection system mode

     	执行snort -c /etc/snort/snort.conf
 		**报错**: ERROR: /etc/snort/snort.conf(253) Could not stat dynamic module path "/usr/local/lib/snort_dynamicrules": No such file or directory.
 	解决: mkdir /usr/local/lib/snort_dynamicrules

    语法规则

     变量类型
     var  			变量
     portvar		端口范围
     ipvar        	ip范围
 注意: 当变量为端口和ip时, 最好分别使用portvar和ipvar, 目前两者均可使用,但后续版本可能会不支持ip和port为var类型 

 例子:
 	var RULES_PATH rules/
 	portvar MY_PORTS [22,80,1024:1050]
 	ipvar MY_NET [1.1.1.1, 192.168.1.0/24, ![2.2.2.2,2.2.2.3]]
 	ipvar EXAMPLE any
 说明: any表示所有, !表示取反

chkrootkit(http://www.chkrootkit.org)

  1. 安装
    wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
    tar xf chkrootkit.tar.gz && make

  2. 使用
    ./chkrootkit
    如果机器被感染,则会出现“INFECTED”, 可以用grep过滤出来
    目录下还有其他检测脚本,自行探究

aide

  1. 安装
    yum install aide

psad(https://github.com/mrash/psad)

强烈推荐APP破解常用工具集合!
哆啦安全
07-29 3890
APP破解常用工具集合
Linux后门入侵检测工具,附bash漏洞解决方法
01-09
一、rootkit简介   rootkit是Linux平台下常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统。   rootkit主要有两种类型:文件级别和内核级别,下面分别进行简单介绍。   1、文件级别rootkit   文件级别的rootkit一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。
portSentry入侵检测工具
背着行囊去远方的博客
06-09 886
1、下载portSentry源码 网址:https://sourceforge.net/projects/sentrytools/files/latest/download 2、
常用的七个入侵检测工具推荐
2201_75362610的博客
04-12 3422
入侵检测(Intrusion Detection),是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。Snort是一款轻量级的网络入侵检测系统,能够在IP网络上进行实时的流量分析和数据包记录。它不仅能进行协议分析、内容检索、内容匹配,而且能用于侦测诸如缓冲溢出、隐秘端口扫描、CGI攻击、SMB探测、操作系统指纹识别等大量的攻击或非法探测。
Hacker(十)----常用入侵工具
weixin_33674976的博客
11-08 319
  黑客若想攻击目标计算机,仅靠DOS命令是无法完成的,还需要一些功能强大的入侵工具,如端口扫描工具、网络嗅探工具、木马制作工具及远程控制工具等。 一、端口扫描工具   端口扫描工具有扫描端口的功能,所谓端口扫描是指黑客通过发送一组端口扫描信息,了解目标计算机所开放的端口,这些端口对于黑客来说就是入侵通道,黑客一旦了解这些端口,就可以入侵目标计算机。   除了具有扫描计算机开放的端口功能外,...
黑客入侵工具
java_min的专栏
05-04 1356
 java_min 提示朋友们以下相关软件下载时请检测是否存在木马及病毒,本人并不能保正该软件的安全性,我只是推荐。对于本相关软件仅共学习和研究使用。对于你使用该软件做出有违法律法规的本联盟和本人不会承担任何责任。23款黑客常用工具 http://www.520hack.com/Soft/Soft2/200604/90.html找4899肉鸡工具 http://www.520hack.
最好用的五大开源入侵检测工具
2301_76161259的博客
04-12 2233
作为网络安全专业人士,我们一直在阻止攻击者访问我们的网络,但随着移动设备,分布式团队和物联网(IoT)的兴起,使得对网络的保护更加困难。网络安全工作者不得不引起重视的问题是,当攻击者成功攻陷你的网络时,你发现攻击的时间越长,数据泄露所造成的损失越大。通过采用强大的事件响应计划支持的可靠入侵检测系统(IDS),用户可以减少漏洞的潜在损害。IDS通常分为两组:基于特征码的IDS,它会通过扫描发现它们存在的已知的恶意流量并进行警报。此外还有基于异常的IDS,它会通过查看基线来暴露异常状况。
安利 | 最好用的五大开源入侵检测工具
cjffl3520的博客
12-13 1200
作为网络安全专业人士,我们一直在阻止攻击者访问我们的网络,但随着移动设备,分布式团队和物联网(IoT)的兴起,使得对网络的保护更加困难。网络安全工作者不得不引起重视的问题是,当攻击者成功攻陷你的网络时,你发现攻击的时间越长,...
系统入侵必备工具大收集
JIN RIZE's 研一 (1st)
10-26 1561
 内存定位器http://www.520hack.com/Soft/Soft2/200605/1128.htmlResource Hacker 3.4.0.79 绿色汉化版http://www.520hack.com/Soft/Soft2/200605/1157.html自定义端口和修改启动项的3389工具http://www.520hack.com/Soft/Soft2/200605
服务器入侵工具_受害者入侵黑客服务器,获取Muhstik解密密钥
weixin_39639286的博客
12-14 560
今年九月份以来Muhstik勒索病毒黑产团队通过入侵一些公开的QNAP NAS设备,使用Muhstik勒索病毒对设备上的文件进行加密,加密后的文件名后缀变为muhstik,如果要解密文件,需要受害者支付0.09BTC(约合700美)的赎金……此勒索病毒的勒索提示信息,如下所示:近日一名德国的Muhstik勒索病毒受害者在支付了670欧元的赎金之后,对Muhstik勒索病毒解密服务器进行分析,发现黑...
AIEngine 下一代可编程的开源网络入侵检测系统,
cy15625010944的博客
01-12 4218
概述 AIEngine是下一代交互式/可编程Python/Ruby/Java/Lua和Go网络入侵检测系统引擎,具有学习能力 无需任何人工干预、DNS 域分类、垃圾邮件检测、网络收集器、网络取证等等。 AIEngine 还帮助网络/安全专业人员识别流量并开发 用于在 NIDS、防火墙、流量分类器等上使用它们的签名。 主要功能: 支持在引擎运行时与用户交互/编程。 支持 PCRE JIT 进行正则表达式匹配。 支持正则表达式图(复杂的检测模式)。 支持六种类型的 NetworkStacks(lan、mobi
防火墙与入侵检测技术-Psad的签名匹配实验报告.docx
11-05
防火墙与入侵检测技术-Psad的签名匹配实验报告
入侵检测技术(pdf文件)
03-22
关于入侵检测技术的基本概念知识,是一个综合性的介绍
【2024最新】黑客入侵测试工具大全(超详细),收藏这一篇就够了!
最新发布
2401_85026529的博客
10-25 1189
所有工具仅能在取得足够合法授权的企业安全建设中使用,在使用所有工具过程中,您应确保自己所有行为符合当地的法律法规。如您在使用所有工具的过程中存在任何非法行为,您将自行承担所有后果,所有工具所有开发者和所有贡献者不承担任何法律及连带责任。除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要安装并使用以下所有工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。重点提醒:本项目工具来源于互联网,是否含带木马及后门请自行甄别!!
黑客最爱用的3大渗透工具,你用过几个?
shandongjiushen的博客
05-06 1888
黑客渗透三件套,轻松破解密码、无痕渗透
Suricata – 入侵检测、预防和安全工具
无痕的博客
10-08 5124
入侵检测、预防和安全工具Suricata的安装、使用、自定义规则,包括几个示例说明
五大免费企业网络入侵检测工具(IDS)
YiShiWenYan
03-06 8644
转自:http://security.ctocio.com.cn/315/12540315.shtml         Sourcefire提供有供应商支持和即时更新的功能齐全的商业版本Snort,同时仍然免费提供功能有限的免费版本Snort)持续不断的支持,Snort很可能会继续保持其领导地位。   虽然Snort“称霸”这个市场,但也有其他供应商提供类似的免费工具。很多这些入侵检测
黑客常用的十大工具(附工具安装包),你知道几款?
ZL_1618的博客
06-06 1124
注:本文总结白帽黑客常用的十大工具。文档仅供参考,不得用于非法用途,否则后果自负。nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全。正如大多数被用于网络安全的工具,nmap 也是不少黑客及骇客(又称脚本小子)爱用的工具
Burp Suite使用介绍
06-07 1746
http://drops.wooyun.org/tools/1548 Burp Suite使用介绍(一) Getting Started Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的
Snort 2.6.0:跨平台入侵检测工具详解
Snort-2.6.0作为一个成熟的入侵检测工具,具有跨平台、高性能、高可用性等优点,适用于各种规模的网络环境。它提供强大的规则库和灵活的配置选项,帮助网络管理员和安全专家保护网络不受威胁。尽管Snort-2.6.0已经...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值