suricata规则编写-检测ssh爆破攻击

最新推荐文章于 2025-02-22 10:08:54 发布
最新推荐文章于 2025-02-22 10:08:54 发布
阅读量3.9k 收藏 11
点赞数 4
分类专栏: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/whimewcm/article/details/105751126
版权
本文介绍了如何通过Suricata检测SSH爆破攻击。首先利用hydra和tcpdump获取攻击流量包,然后根据SSH协议中新Keys数据包的特征编写Suricata规则。通过flowint关键字设置阈值在KeyCount大于5时触发警告,再通过tcpreplay测试规则有效性。接着讨论了使用threshold关键字跟踪源地址并控制报警次数,以应对多线程攻击。最终,调整规则确保在30秒内超过10次匹配即触发告警。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

步骤:
1. 使用hydra攻击ssh服务器,利用tcpdump 抓包。
2. 编写suricata规则
3. 重放pcap包测试效果。
利用hydra和 tcpdump获取攻击流量包

使用KALI中自带的hydra发起ssh爆破攻击
hydra发起ssh爆破攻击
同时利用tcpdump抓包保存攻击流量
tcpdump抓包

编写suricata规则

ssh 协议交互主要分为三个阶段,传输层协议,用户认证协议,连接协议。在传输层协议中主要完成服务端和客户端之间的ssh版本协商,密钥和算法协商,在该阶段的最后客户端会发送New Keys数据包,表示双反构建了一个加密通道。下图所示为ssh第一阶段的流量交互:
在这里插入图片描述
因此,根据New Keys数据包中总是以0x15和10个字节的0x00结尾的特点,可以标记该类数据包。

最低0.47元/天 解锁文章
suricata 检测规则编写
xuwaiwai的博客
09-11 5256
目录 规则规则行为,根据优先级排列: 协议: 源ip,目标ip: 源端口/目标端口: 流量方向: 规则体 msg: flow流匹配: flowbits : sameip源ip、目标ip检测: content内容匹配: 不区分大小写 nocase: 偏移位置 offset: 结束位置 depth: 在xx范围外 distance : 在xx范围内 within: 有效载荷大小 dsize: pcre正则 pcre: http修饰符: fast_pattern...
Suricata规则编写——常用关键字
Traxer的学习之路
03-31 1万+
1.简介现在的NIDS领域snort一枝独秀,而suricata是完全兼容snort规则的多线程IDS,无论在效率还是性能上都超过原有的snort,这个系列主要针对suricata规则中的一些关键字进行了解和学习,参考链接为:https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules2.基本关键字所
溯源取证 - 流量分析 中等难度,从零基础到精通,收藏这篇就够了!
最新发布
yy1715713348的博客
02-22 837
使用工具:使用工具:BrimWiresharkStringsida pro知识点:通过本篇文章,学习ssh协议特点、学习流量导出文件、学习简单的逆向分析、学习hashcat的简单使用、学习查壳工具等公众号回复即可获取birm/networkminer工具以及此次案例使用的流量包!这里可以使用wireshark来看流量包,也可以使用Brim工具。
Suricata规则编写
weixin_39003567的博客
03-05 3081
规则格式 Suricata规则包括以下三部分: action,action决定当signature匹配的时候会发生什么 header, 定义了协议,IP地址,端口和规则的位置 rule options, 定义规则细节 droptcp $HOME_NET any -> $EXTERNAL_NET any(msg:”ET TROJAN Likely Bot Nick in IRC (...
suricata规则编写-检测SYN-Flood攻击
whime
05-22 3670
步骤 Kali虚拟机使用hping3发起SYN泛洪攻击,伪造随机地址。 利用flags标志和threshold关键字编写规则 测试 hping3发起SYN泛洪攻击 利用Kali工具hping3 发起SYN半连接泛洪攻击 编写规则 suricata兼容snort规则 ,使用flags标志配合threshold编写规则,flags:S表示匹配SYN标志位为1的tcp包,根据dst进行跟踪,在30...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新Suricata规则,并将其保存在管理良好的数据库中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分: 文件README.md包含3个部分: 漏洞概述 概念验证(PoC)或换句话说,是恶意有效载荷的样本 参考 文件.rules拥有Suricata规则本身。 笔记 许多服务都在HTTPS上运行,但是Suricata无法分析加密的数据。 如果要使用Suricata检测HTTPS有效负载中的攻击者,则应为nginx等HTTPS设置反向代理,然后将HTTP转发到应用程序服务器,并在此HTTP流量上运行Suricata。 如果您不确
suricata 开源工具学习-规则 关键字开发应用
qq_41167620的博客
01-22 1257
查看默认规则位置,打开suricata.yaml文件,找到rules部分,追加test.rules。这个规则的含义,数据包中存在连续ascll值http内容,且tcp首尾值10进制为104,110。suricata提供了组件式的开发方式,在SigTableSetup注册所有规则关键字。从上得出结论,每个检测关键字提供了三个检测功能,分别为数据包匹配,协议流匹配,和文件匹配。这个匹配接口实现,数据包负载部分首尾值匹配,匹配条件取决于规则中给出的首尾10进制内容。版本中使用,因为他是裁剪的所以我还是用主干。
SSH解的应急响应实战案例
weixin_39096432的博客
12-17 1683
SSH解的应急响应实战案例 事件的起因: 在管理员的某次巡查时发现,22端口存在异常连接的IP。使用命令查看22端口的连接情况: netsatat -anpl | grep 22 跟踪排查思路: 一、排除系统账户情况 1、除了root之外是否还有其它具有特权的的用户(uid为0): awk -F: ‘$3==0{print $1}’ /etc/passwd 2、可以远程登录的账户 awk ‘/$1|$6/{print $1}’ /etc/shadow 普通用户是没有权限的 二、确认攻击情况 1、
219-6-3Google浏览器书签备份
qq_43046057的博客
06-03 3800
WAF 创建时间 2019-03-11 12:45:27 最后修改 2019-04-03 14:02:50>> 书签名称 链接 添加时间 WEB漏洞测试(二)——HTML注入 & XSS攻击 - 优快云博客 http://www.secsky.cn/216.html 2018-05-15 10:45:24 ModSecurity介绍 - 优快云博客...
Suricata 新建规则
sinat_41915699的博客
04-20 1342
suiricata本身就支持很多规则,但是我们也可以自定义规则。根据官方文档,主要分为以下几个步骤。 1 新建local.rules规则文件 位置可以与suricata.yaml一致,也可以放到其他地方。最简单的规则如下 alert tcp any any -> any any (msg: "mytest"; sid:20210420;) 如果要建复杂规则,那么需要根据文档自己编写,支持协议的头内容分析,也支持协议携带的数据进行分析(content关键字)。 注意:每个规则的sid都是不一样的。 2
suricata规则Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
02-06
suricata规则Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF.
Suricata】03-Suricata 7.0.x 规则管理
Simo2024的博客
05-13 1666
本文介绍了Suricata开源规则库的更新、查看、启用、关闭、删除。具体规则的启用、禁用、修改、删除;以及如何在不重启suricata引擎的情况下,如何重新加载规则,给规则设置白名单等操作。
suricata
ice_rib的博客
03-26 1133
action决定当规则匹配的时候的行为。
suricata 开源工具学习-规则了解
qq_41167620的博客
01-24 1646
匹配信用卡号码: pcre:"/([0-6]\d\d|7[0-256]\d|73[0-3]|77[0-2])-\d{2} - \d{4} /";1. TTL:匹配指定的TTL指,可使用关系运算符(< , =, >),可以用来识别操作系统类型。针对检测http流量的规则Suricata提供了http流重组能力,同时提供了用于编写HTTP流量相关的更高效的规则修饰器。2. dsize:匹配一个指定payload大小的数据包,可使用关系运算符(< , =, >)
suricata匹配从入门到精通(三)----开始编写简单的snort规则
热门推荐
leeezp的博客
08-31 32万+
suricata 兼容 snort规则的大部分语法。今天我来教大家编写一条检测请求的规则。基于suricata 6.0.x 版本。 欢迎关注专栏,会持续更新...
【IDS场景模拟】suricata检测HTTPS流量
three_1996的博客
03-25 3079
IDS:使用suricata对https流量进行监测。
Suricata之源代码(二)
qianligaoshan的专栏
04-11 1914
在前面我
入侵检测系统suricata模拟攻防实验
qq_45307564的博客
06-26 1079
本文将分享如何在一台服务器上配置入侵检测系统suricata,并对该服务器进行模拟攻击实验,由配置的suricata规则查看生成的警告文件。
suricata规则-开发自己的协议&规则suricata规则-开发自己的协议&规则关键字并生效_suricata规则编写关键字并生效_suricata规则编写
11-21
Suricata是一款强大的网络入侵检测系统(NIDS),允许用户自定义协议和规则检测特定的安全威胁。在Suricata规则篇中,开发者可以创建"新协议"和"规则集"来匹配定制的网络流量模式。 **开发自己的协议**: - 首先,你...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值