ICMP增强型snort规则

利用Snort规则检测和防御ICMP攻击与异常:从ping不可达到复杂网络探测
最新推荐文章于 2024-05-16 10:47:05 发布
原创 最新推荐文章于 2024-05-16 10:47:05 发布 · 2k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

本文介绍了ICMP协议的基础概念,重点讲解了如何使用Snort规则检测ping不可达事件,并展示了针对不同类型ICMP报文的高级检测规则,包括恶意扫描、网络探测和安全威胁。通过实例演示,读者将了解如何设置和应用这些规则以增强网络安全防护。

一 ICMP协议简介

ICMP(internet control message protocol)是面向无连接、不可靠的、基于网络层的消息控制协议,它可以传输数据报错信息、网络状况信息、主机状况信息等。

1.ICMP数据封装

 ICMP报文是使用IP数据报来封装和发送的,携带ICMP报文的IP数据报完全像其他类型数据的数据报那样在网络中被转发,没有额外的可靠性和优先级,由于IP数据报本身被放在底层物理数据帧中进行发送,因此,ICMP报文本身也可能丢失或者出现传输错误。

2.ICMP报文类型

  ICMP报文可以分为两大类:ICMP差错报告报文和ICMP查询报文。差错报告报文主要用来向IP数据报源主机返回一个差错报告信息,查询报文用于一台主机向另一台主机查询特定的信息,通常查询报文是成对出现的,即源主机发起一个查询报文,在目的主机收到该报文后,会按照查询报文约定的格式为源主机返回一个应答报文。

注意, ICMP差错报文并不能纠正差错,它只是简单地报告差错。

二 使用snort规则检测ping不可达事件

ping命令是使用ICMP协议,现在需要制定snort规则,对ping不可达事件进行告警,具体snort规则如下:

include classification.config
alert icmp any any -> any any (msg:"ICMP Destination Unreachable."; itype:3; icode:1; sid:48511; rev:4;)

 1.classification.config是在snort配置文件,具体如下所示:

2.itype是icmp类型,表明Destination unreachable

3.icode是icmp相关代码,表明Host unreachable

4.使用命令抓包:


                

        

    


  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
27了解网络安全防护工具 Snort 的基本用法,包括数据捕获、报警

				
			

			

				

					玩机科技社的博客
				

				

					05-29
					
					5617
					
				

			

		

		

			
				
编写自己的规则,可以编辑/etc/snort/rules/local.rules文件添加规则。此命令将在eth0接口上启动Snort使用/etc/snort/snort.conf配置文件和/var/log/snort/目录来存储日志文件。其中,-c 参数指定 Barnyard2 的配置文件,-d 参数指定 Snort 日志的存储路径,-f 参数指定 Snort 日志文件的名称。总之,Snort是一款非常强大的网络入侵检测系统,可以帮助网络管理员及时发现潜在的安全威胁,采取相应的措施进行防御。

			
		

	



                

            
              



	

		

			

				
					
snort输出插件解析

				
			

			

				

					wangzhicheng2013的专栏
				

				

					07-28
					
					924
					
				

			

		

		

			
				
snort输出插件

1

1.含义:

当snort检测到相关风险,会调用输出插件输出相关信息,例如,将告警信息发送到syslog服务器或者数据库进行存储等。

2.在配置文件中定义输出插件:

snort.conf可指定多个输出插件,具体格式是output 插件名:可选项信息,例如:


output alert_syslog:log_auth log_alert  #将告警信息发送到syslog服务器 log_auth为syslog的设施 log_alert为优先事项
output log_...

			
		

	



              


  
              

                


	

		

			

				
					
Ubuntu 18.04上使用snort3搭建NIDS(三)| ELK可视化篇

				
			

			

				

					CollinXia的博客
				

				

					04-11
					
					3111
					
				

			

		

		

			
				
为最近项目上要用到snort3,但是找了很多博客都是snort2.9.x的安装与配置,所以只能靠着官网文档和自己的反复摸索来学习snort3相关的内容。后面将会把snort3相关的发一个系列的博客,这是第三篇,实现了snort3与ELK数据展示分析组件联动进行告警可视化。后续内容敬请期待,等我理清了思路就来~

			
		

	





	

		

			

				
					
snort 笔记2 ----- 规则编写

					
热门推荐

				
			

			

				

					云里雾里的专栏
				

				

					04-20
					
					2万+
					
				

			

		

		

			
				
为了看懂rules,可以看下文,想要写好,就没那么简单了。^-^。******************************************************************************************************************************************I 总体结构分析:alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|"; msg: "moun

			
		

	



		

			
		



	

		

			

				
					
[转]如何编写snort的检测规则

				
			

			

				

					heiyeluren的blog(黑夜路人的开源世界)
				

				

					12-16
					
					5153
					
				

			

		

		

			
				
如何编写snort的检测规则from:  http://kunming.cyberpolice.cn/aqjs/200010.html              摘要snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时

			
		

	





	

		

			

				
					
最新Snort3和Snort2安装详细教程

				
			

			

				

					橙留香Park的博客
				

				

					01-17
					
					8394
					
				

			

		

		

			
				
转移发布平台通知:将不再在优快云博客发布新文章,敬请移步知识星球... ...

			
		

	





	

		

			

				
					
网络安全】Snort中文查询手册

				
			

			

				

					Walter的专栏
				

				

					01-14
					
					5037
					
				

			

		

		

			
				
Snort 中文手册

摘要
snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则根据检测结果采取一定的动作。(2003-12-11 16:39:12)



S

			
		

	





	

		

			

				
					
Snort 2.9.1 入侵检测系统安装与配置指南

				
			

			

				

					
				

			

		

		

			
				
Snort规则由多个部分组成,包括规则动作(如alert、log、pass、activate、dynamic等)、协议类型(如TCP、UDP、ICMP)、源地址和目的地址、端口号、方向操作符(->或)、规则选项(如消息、内容匹配、偏移量、正则...

			
		

	





	

		

			

				
					
Snort 2.9.5.3 网络安全工具发布

				
			

			

				

					
				

			

		

		

			
				
它能够对 TCP、UDP、ICMP 和其他协议的数据包进行深度解析,基于规则进行模式匹配。  3. **多种输出插件支持**:Snort 支持将检测结果输出到多种格式和系统中,包括日志文件、数据库(如 MySQL、PostgreSQL)、...

			
		

	





	

		

			

				
					
如何编写snort的检测规则

				
			

			

				

					08-07
				

			

		

		

			
				
snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。此外,snort具有很好的扩展性和可移植性。本文将讲述如何开发snort规则

			
		

	





	

		

			

				
					
Snort搭建以及规则编写

				
			

			

				

					xhscxj的博客
				

				

					11-21
					
					4901
					
				

			

		

		

			
				
它具有实时数据流量分析和记录IP网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索/匹配。此外,Snort是开源的入侵检测系统,具有很好的扩展性和可移植性。中,规则储存在 /etc/snort/rules中,编译规则储存在 /usr/local/lib/snort_dynamicrules 中,日志粗存在 /var/log/snort 中。我们使用官方给的免费的社区规则,如果有需要的话可以选择官方的其他套餐。

			
		

	





	

		

			

				
					
没人讲清楚!我来讲!---- Ubuntu 20.04中下载配置Snort3,参数讲解及实现协议警报

					
最新发布

				
			

			

				

					weixin_45266856的博客
				

				

					05-16
					
					3709
					
				

			

		

		

			
				
Snort是一个功能强大的开源网络入侵检测和预防系统(IDS/IPS),由于1998年创建,现由Cisco旗下的Sourcefire进行维护和开发。Snort通过监控网络流量,根据预定义的规则检测响应潜在的安全威胁。每次都去修改snort.lua文件太麻烦,如想要捕获别的类型数据包输出警报,可以创建自定义规则以如下命令来讲解自定义规则的匹配参数,表示当匹配的任意端口向的任意端口发送UDP的数据包时,snort发出警报rev:1;alert。

			
		

	





	

		

			

				
					
『网安产品开发实践』Linux-snort 的安装与配置、规则设计

				
			

			

				

					Ho1aAs‘s Blog
				

				

					11-25
					
					2803
					
				

			

		

		

			
				
文章目录编写要求安装如何编写规则变量设置规则行为支持协议源信息方向操作符示例实践:编写规则编写要求

snort的安装与配置
自己设计snort规则发现入侵企图:1、入侵http服务或者ftp服务的入侵企图;2、使用icmp协议的探测企图


安装
snort在Ubuntu 20.04能够直接安装
sudo apt-get install snort

安装的时候需要配置网卡为ens33、ip地址为ens33的网段,桥接一般是192.168.X.0/24
如何编写规则

变量设置
设置被监控的网络地址,

			
		

	





	

		

			

				
					
Snort 规则基本语法

				
			

			

				

					道长的博客
				

				

					02-25
					
					3993
					
				

			

		

		

			
				
直接上实例,首先只需要知道一点,下面这条规则代表探测到TTL位100的ICMP ping包的时候,就会产生警报。然后我们再一步步拆分解析这条规则。
alert icmp any any ->any any (msg:"Ping with TLL=100"; ttl: 100;)

一条snort规则分为规则头和规则体 ,规则体也叫规则选项, 规则选项在圆括号内
规则头(规则体)

规则头告诉snort在什么范围内去应用规则且做出什么动作。
alert icmp any any ->any a

			
		

	





	

		

			

				
					
Linux安全之安装Snort(轻量级入侵检测系统)与使用

				
			

			

				

					黄嚯嚯
				

				

					02-07
					
					8187
					
				

			

		

		

			
				
入侵检测系统(IDS)

1、原理
入侵检测系统(IntrusionDetectionSystem,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统监测攻击行为,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,分析这些信息。入侵检测被认为是防火墙之后...

			
		

	





	

		

			

				
					
Snort的使用二:入侵检测与规则编写

				
			

			

				

					野原新之助
				

				

					12-05
					
					1万+
					
				

			

		

		

			
				
Snort IDS(入侵检测系统)是一个强大的网络入侵检测系统

			
		

	





	

		

			

				
					
TCP/IP详解——ICMP协议,Ping程序,Traceroute程序,IP源站选路选项

				
			

			

				

					来日可期的博客
				

				

					12-14
					
					3105
					
				

			

		

		

			
				
Internet 控制消息协议 ICMP(Internet Control Message Protocol)是网络层的一个重要协议。ICMP协议用来在网络设备间传递各种差错和控制信息,对于收集各种网络信息、诊断和排除各种网络故障等方面起着至关重要的作用。ICMP通常被IP层或者更高层的协议(TCP/IP)使用。一些ICMP报文把差错报文返回给用户进程。(告诉应用程序网络上存在什么问题)

			
		

	





	

		

			

				
					
网络入侵检测--Snort软件运行模式及参数详解

				
			

			

				

					小人物的编程
				

				

					11-15
					
					4833
					
				

			

		

		

			
				
介绍了snort的三种运行模式,及相关参数的详细解释

			
		

	





	

		

			

				
					
Element自定义校验规则

				
			

			

				

					单飞吧的博客
				

				

					09-08
					
					2316
					
				

			

		

		

			
				
基础布局
<el-form-item label="电话" prop="phone">
	<el-input v-model="formData.phone"></el-input>
</el-form-item>

validator
// 验证手机号的规则
data() {
	var checkMobile = (rule, value, callback) => {
		// 验证手机号的正则表达式
		const regMobile = /^1[

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值