win7 搭建iss网站,好的网站设计,建专业外贸网站,网站名称及域名02-Suricata
一 ICMP流量预警
一条ICMP报文有四个重要内容#xff0c;可与相应的ICMP关键字相匹配。它们是#xff1a;消息的类型、代码、ID和序列。 通过ICMP的type进行匹配 alert icmp any any any any (msg:icmp流量预警;itype:8;threshold:type t…02-Suricata
一 ICMP流量预警
一条ICMP报文有四个重要内容可与相应的ICMP关键字相匹配。它们是消息的类型、代码、ID和序列。 通过ICMP的type进行匹配 alert icmp any any any any (msg:icmp流量预警;itype:8;threshold:type threshold,track by_src, count 5, seconds 30;sid:10021;)
二 TCP流量预警
1 全连接预警
alert tcp any any any any (msg:TCP全连接流量预警;flow:to_server,established;threshold:type threshold,track by_src, count 5, seconds 30;sid:10022;) 利用wrk进行全连接攻击 wrk -c 300 -t 5 -d 600 http://192.168.209.131/dashboard/ -c 并发数 -t 线程数 -d 持续的时间 2 半连接预警
alert tcp any any any any (msg:TCP半连接流量预警;flow:to_server,not_established;flags:S;threshold:type threshold,track by_dst, count 20, seconds 10;sid:10023;) flags:S是一个规则选项用于指定匹配TCP报文中SYN标志位为1的数据包 TCP协议在建立连接时需要进行三次握手其中第一次握手就是客户端向服务器发送一个SYN报文请求建立连接。此时SYN标志位被设置为1。因此flags:S选项允许Suricata规则专门匹配这种TCP连接建立初期的数据包。 track by_src|by_dst|by_rule|by_bothby_src 源ip一样by_dst 目的ip一样 tcp半连接攻击,源ip随机 hping3 -c 1000 -d 120 -S -w 64 -p 80 --flood --rand-source 192.168.209.131 三 MySql流量预警
Sruicata没有提供对MySql应用层协议的支持所以我们使用TCP协议
1 MySql爆破预警
预警mysql登录失败
alert tcp any any any any (msg:MySql登录失败预警;content:Access denied for user;sid:10024;)
预警mysql登录爆破-方式1
alert tcp any any any any (msg:MySql登录爆破预警;content:Access denied for user;threshold:type threshold,track by_src, count 5, seconds 30;sid:10025;)
预警mysql登录爆破-方式2
alert tcp any any any any (msg:MySql登录失败预警;content:|41 63 63 65 73 73 20 64 65 6e 69 65 64 20 66 6f 72 20 75 73 65 72|;sid:10026;) 使用流量载荷中ASCII对应的十六进制数据进行匹配 2 MySql木马文件写入预警
#查看mysql写入文件的权限
show variables like secure_file_priv;空在任意路径写入文件路径在固定的路径写入NULL不能写入文件
#写入木马文件
select ?php eval($_POST[0]);? into outfile /opt/lampp/htdocs/mm22.php
#预警规则
alert tcp any any any any (msg:MySql写入木马文件预警;content:into outfile;pcre:/eval/i;sid:10027;)
四 SSH爆破预警
1、特征分析
SSH 协议交互主要分为三个阶段传输层协议用户认证协议连接协议。在传输层协议中主要完成服务端和客户端之间的ssh版本协商密钥和算法协商在该阶段的最后客户端会发送New Keys数据包表示双反构建了一个加密通道从而开始用户认证。最后就是如果认证登录成功后持续不断地进行数据通信这个过程不再具备用户认证的数据和交换密钥的过程。 根据New Keys数据包中总是0x15和10个字节的0x00结尾的特点可以标记该类数据包与之类似的Key Exchange Init过程也存在以较多的 00 00 00 00 等特征可以使用。当完成认证后后续的通信全是常规加密流量并且也不再存在Key Exchange或者New Keys流量。所以针对SSH爆破的情况必须存在较多的Key Exchange和New Keys流量。 alert ssh any any any any (msg:ssh登录预警;content:|15 00 00 00 00 00 00 00 00 00 00|;sid:10028;)alert ssh any any any any (msg:ssh登录爆破预警;content:|15 00 00 00 00 00 00 00 00 00 00|;threshold:type threshold,track by_src, count 5, seconds 30;sid:10029;)
