当前位置：首页 > article >正文

安全设备-NIDS入侵检测系统

article 2026/4/10 9:21:38

免责声明:本文内容仅用于安全研究与学习请在合法授权的环境中使用严禁用于任何非法用途。因使用不当造成的后果由使用者自行承担并应遵守相关法律法规。IDS-入侵检测系统基于主机的入侵检测系统HIDS基于网络的入侵检测系统NIDS)接下来简单讲解两款老牌的NIDS的使用和安装Snort一个开源的网络入侵检测系统IDS和入侵防御系统IPS它可以捕获通讯流量并对其做协议解析识别或防御通讯流量中可疑或恶意的行为。国内大部分厂商基于流量的IDS的数据包捕获、协议解析、检测引擎等关键模块都是在此基础上做修改和扩展优化。官网https://www.snort.org/安装参考https://mp.weixin.qq.com/s/haxqngjZBcrYs2QsQN7aqg以Ubuntu 22.04为例子更新系统sudoaptupdatesudoaptupgrade-y安装依赖Snort 3 依赖比较多这一步很关键sudoaptinstall-ybuild-essential cmakegitlibpcap-dev\libpcre3-dev libdumbnet-dev bison flex zlib1g-dev\liblzma-dev openssl libssl-dev pkg-config\libhwloc-dev luajit libluajit-5.1-dev\libunwind-dev libmnl-devethtool安装 DAQ数据采集库cd/usr/srcsudogitclone https://github.com/snort3/libdaq.gitcdlibdaqsudo./bootstrapsudo./configuresudomake-j$(nproc)sudomakeinstall更新库路径sudoldconfig安装 Snort 3cd/usr/srcsudogitclone https://github.com/snort3/snort3.gitcdsnort3sudo./configure_cmake.sh--prefix/usr/local/snortcdbuildsudomake-j$(nproc)sudomakeinstall可能会缺失依赖sudoaptinstall-ylibpcre2-dev配置环境变量echoexport PATH$PATH:/usr/local/snort/bin~/.bashrcsource~/.bashrc验证安装snort-V看到类似说明成功测试使用配置文件规则写法使用参数https://www.cnblogs.com/yuersan/p/15236326.htmlhttps://blog.csdn.net/hexf9632/article/details/94715434https://blog.csdn.net/qq_43968080/article/details/103378952https://blog.csdn.net/weixin_42376192/article/details/155629548自写规则snort3规则基本框架动作协议源地址源端口方向目标地址目标端口 (规则选项) 比如TCP: alert tcp any any - any 80 (msg:test; content:abc; sid:1000001; rev:1;) sid是唯一标识1、ICMP协议流量警告测试先修改/usr/local/snort/etc/snort/snort.lua的alert_fast取消注释改成alert_fast { file true }获取到的信息会存到执行命令的目录,名字是alert_fast.txt创建规则库文件夹rules将icmp规则/usr/local/snort/etc/rules# cat icmp_check.rule放入icmp_check.rulesnort -c /usr/local/snort/etc/snort/snort.lua -R /usr/local/snort/etc/rules/icmp_check.rule -i eth0 -c 加载配置文件 -R选择特定的规则文件 -i 选择监听网卡尝试使用另一台主机进行ping命令测试是否有用同级目录生成了文件:alert_fast.txt3.编写Snort规则Snort规则由两部分组成规则头Rule Header和规则选项Rule Options。规则头:定义流量匹配的基本信息如协议、源和目的地址、端口等。规则选项:包含更详细的检测条件和告警信息。规则头规则头的基本格式如下动作协议源地址源端口方向目标地址目标端口 (规则选项) action protocol/service src_ip src_port - dst_ip dst_port其中各字段含义如下●action规则动作如alert、log、pass等。●protocol/service协议或服务类型如tcp、udp、icmp、http、dns等。●src_ip源IP地址可为IP、CIDR或any。●src_port源端口可为具体端口或any。●dst_ip目的IP地址。●dst_port目的端口。示例规则头alert http any any - 192.168.1.0/24 any表示检测所有进入该网段的HTTP流量。规则选项规则选项位于规则头之后由键值对组成以分号分隔(key:value; ...)常见选项包括msg告警信息sid规则ID必须唯一rev规则版本content内容匹配depth匹配深度offset起始偏移nocase忽略大小写classtype分类类型因为在 Snort 3 里nocase、fast_pattern、depth、offset、distance、within这些都属于content modifier是跟在某个content后面的,用逗号分隔示例规则选项(msg:Potential SQL Injection; sid:1000001; rev:1; http_uri; content: or 11,nocase;)完整示例规则alert http any any - any any (msg:Potential SQL Injection; sid:1000001; rev:1; http_uri; content: or 11, nocase;)3. 规则编写技巧与方法编写Snort规则需要掌握一些基本技巧和方法以下是几个关键点使用适当的动作根据网络环境和安全需求选择合适的动作如●alert适用于需要生成告警事件的场景Snort 3主要使用该动作。●log用于记录流量事件较少单独使用通常由输出模块控制。●pass用于放行流量并跳过检测需谨慎使用避免绕过检测链。精确匹配协议和服务Snort 3支持基于服务的规则如http、dns等建议优先使用服务类型而非仅依赖端口。例如对于HTTP流量应优先使用http协议而不是简单写tcp 80。合理使用内容匹配Sticky Buffer机制内容匹配是Snort规则的重要部分在Snort 3中需要结合缓冲区使用例如http_uri; content:/admin;表示在HTTP URI中匹配内容。常见缓冲区包括● http_uri● http_header● http_method● http_client_body需要注意匹配应尽量精确避免模糊匹配以减少误报。定义唯一的规则ID每条规则必须有唯一的sid以便于规则管理和事件关联。推荐使用大于1000000的ID以避免与官方规则冲突。分类和优先级设置使用classtype和priority对规则进行分类和优先级标记有助于告警分析。例如classtype:attempted-recon; priority:2;输出由Lua配置控制Snort 3中不再主要依赖命令行参数控制输出而是在snort.lua中配置例如alert_fast{filetrue}表示启用fast格式告警并输出到文件。4. 完整示例Snort 3nc反弹shell的特定端口告警:注意有坑!网卡通常开启了checksum offload校验和卸载导致snort抓到数据包,但是不会匹配而丢弃,需要关闭ethtool-Keth0 rx off tx offethtool-Keth0 tso off gso off gro off lro off攻击机:受害机:检测规则:alert tcp any any - any 7799 (msg:检测到连接7799端口数据包; gid:1;sid:10000002;rev:1;)检测和查看命令:snort-c/usr/local/snort/etc/snort/snort.lua-R/usr/local/snort/etc/rules/tcp_check.rule-ieth0catalert_fast.txtSQL注入攻击警告alert http any any - any any (msg:Possible SQL Injection; http_uri; content: OR 11 --,nocase; sid:10000003; rev:1;)这个就简单起一个python的web页面,python -m http.server 9999本机使用hackbar发送特征数据包就行本机发包:主机有数据了:snort也是检测监听到sql注入永恒之蓝特征警告alert tcp any any - $HOME_NET any (msg:ET EXPLOIT Possible ETERNALBLUE MS17-010; flow:to_server,established; content:|00 00 00 31 ff|SMB,depth:16; fast_pattern; content:|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|, distance:0; classtype:trojan-activity; sid:2024220; rev:1;)说明Snort 3中对SMB支持依赖检测模块通常仍使用tcp规则匹配特征snort官方库:https://www.snort.org/规则库后续可以分析各种工具特征流量,编自己的snort规则库将以下工具特征进行规则编写与检测sqlmapSQL注入工具数据包头默认带有sqlmap字段数据包带有sql语句冰蝎Behinder请求头常见:Accept: application/json, text/javascript, */*; q0.01 UA头设置了10种随机选择冰蝎与webshell建立连接的同时javaw也与目的主机建立tcp连接每次连接使用本地端口在49700左右每连接一次每建立一次新的连接端口就依次增加。连接密码:默认时所有冰蝎4.0 webshell都有“e45e329feb5d925b” 一串密钥。该密钥为连接密码32位md5值的前16位默认连接密码rebeyond哥斯拉GodzillaUA头固定几个 content_type固定有application/octet-stream 内容通常是AES\BASE64,哥斯拉会把一个32位的md5字符串按照一半拆分分别放在base64编码的数据的前后两部分。整个响应包的结构体征为md5前十六位base64md5后十六位。参数会出现pass,password,pwdC2工具如CS BeaconFRP内网穿透工具重点关注HTTP特征URI / Header / BodyUser-Agent异常Base64 / 加密流量特征心跳流量模式BeaconSuricata一个开源的网络入侵检测系统IDS和入侵防御系统IPS它可以捕获通讯流量并对其做协议解析识别或防御通讯流量中可疑或恶意的行为。项目https://github.com/OISF/suricata参考https://suricata.readthedocs.io/安装https://docs.suricata.io/en/latest/install.htmlsudoapt-getinstallsoftware-properties-commonsudoadd-apt-repository ppa:oisf/suricata-stablesudoapt-getupdatesudoapt-getinstallsuricata配置https://docs.suricata.io/en/latest/quickstart.htmlipaddrsudovim/etc/suricata/suricata.yaml查看修改默认目录结构:/etc/suricata/ # 主配置目录 /etc/suricata/suricata.yaml # 主配置文件 /var/log/suricata/ # 日志目录 /usr/share/suricata/rules/ # 默认规则目录日志解析suricata.log包含 Suricata 运行时的日志信息如启动、关闭、规则加载等用于故障排除和监视。stats.log包含 Suricata 的统计信息如流量统计、规则匹配统计等用于性能调优和网络活动分析。fast.log就是告警输出日志了通常看这个就可以。eve.json详细的事件记录以 JSON 格式呈现包括有关规则匹配事件的详细信息包括协议解析、源和目标地址、端口、负载数据等用于深入分规则下载开源规则Suricata规则下载http://47.108.150.136:8080/IDShttps://github.com/al0ne/suricata-ruleshttps://github.com/ptresearch/AttackDetectionhttps://mp.weixin.qq.com/s/VjWPSVzP0whafH-oCmmvLA官方系统规则更新suricata-update自写规则自写规则,与snort类似,但是和snort3有些不同几乎可以通用:参考案例https://mp.weixin.qq.com/s/iaztHJYAtQSCDUS0_5fgtQ1、SQLMAP工具特征suricata -c /etc/suricata/suricata.yaml -i eth0 -s /etc/suricata/rules/sqlmap.rules 规则写法 alert http any any - any any (msg:SQLMAP攻击!; content:sqlmap; http_user_agent; nocase; sid:1000001; rev:1;)2、C2工具特征:sslblacklist.rules指纹能够识别 alert tls any any - any any (msg:SSLBL: Malicious SSL certificate detected (CobaltStrike CC); tls.fingerprint:6e:ce:5e:ce:41:92:68:3d:2d:84:e2:5b:0b:a7:e0:4f:9c:b7:eb:7c; reference:url, sslbl.abuse.ch/ssl-certificates/sha1/6ece5ece4192683d2d84e25b0ba7e04f9cb7eb7c/; sid:902202003; rev:1;)3.哥斯拉webshell管理工具特征gesila.rulealert http any any - any any (msg:哥斯拉攻击!;flow:to_server,established;content:Gecko;http_user_agent;nocase;content:Content-Type|3A| application/octet-stream;http_header;nocase;sid:20260409;rev:1;) 匹配头部两个特征flow:to_server,established;含义是只匹配已经建立连接并且从客户端发往服务器的流量

安全设备-NIDS入侵检测系统

相关文章：

安全设备-NIDS入侵检测系统

4款产品小心侵权！美国外观专利维权频发，亚马逊卖家侵权预警！

OBS-VirtualCam终极指南：3大核心功能实现专业虚拟摄像头方案

最短路径算法：如何使用数据导航和优化

AI全身全息感知快速体验：5步完成从部署到生成你的第一张骨骼图

Spyglass CDC实战：从约束到验证的完整流程解析

造相Z-Image模型v2提示词工程进阶：结构化Prompt构建方法

深度解析N_m3u8DL-CLI-SimpleG：图形化M3U8下载工具技术指南

QKeyMapper：3分钟学会Windows按键自定义，从此告别繁琐操作

如何高效使用网盘直链下载工具：告别限速的全能解决方案

终极免费文档下载工具：跨平台文档获取的完整解决方案

如何通过OBS Multi RTMP插件实现多平台同步直播

《QGIS快速入门与应用基础》270：需求：制作含行政边界、道路、POI的乡镇地图

5分钟快速上手：XXMI启动器统一游戏模组管理平台完全指南

STM32裸机开发框架设计与优化实践

编写程序实现智能厨房刀具消毒，完成后自动提示，保障饮食安全。

如何从 iCloud 还原照片？6 种方法成功解决

【Blazor 2026终极前瞻】：微软架构师内部流出的5大不可逆演进趋势，错过将掉队Web开发下一代标准

忍者像素绘卷Ubuntu系统部署全指南：从环境配置到服务上线

终极指南：3步快速修复Kindle电子书封面不显示问题

从零构建可插拔Agent：Spring Boot 4.0官方SPI机制深度解析（附自研Metrics Collector开源模板）

yz-女生-角色扮演-造相Z-Turbo与MySQL数据库交互实战教程

嵌入式LED亮度校准：轻量级Gamma查表引擎GAMMA库

5分钟快速上手：网易云音乐NCM加密文件解密转换终极指南

面向2026，AI Agent Harness 最小化设计指南与实践思考

3秒破解百度网盘提取码难题：你的资源获取效率提升300%的秘密武器

LFM2.5-1.2B-Thinking参数详解：temperature和top_k调优指南

【常见开发问题】SQL注入示例及防范措施介绍

ES 学习（三）ELK简介

完全免费的Windows离线语音转文字工具：TMSpeech终极指南