1、前言 最近工作需要对网站的关键字进行检测,找出敏感词。这个过程需要对报文进行收集、解码、检测和记录日志。当前只是简单实现功能,根据关键字进行简单的匹配,而没有进行关键字的语义分析。导致的结果就是JAVA可以匹配AV这个敏感关键字。报文检测这方面,开源项目已经做得非常好了,我所了解的有snort、 ...
分类:
其他好文 时间:
2016-10-23 15:05:35
阅读次数:
270
0x01 看一条规则alert tcp any any -> any any (content:"union";http_uri;nocase;content:"select":nocase;http_uri;)下面这两条会触发哪一条?http://foo.com?id=union select h ...
分类:
其他好文 时间:
2016-09-26 17:40:38
阅读次数:
115
#1 Nessus:最好的UNIX漏洞扫描工具#2 Wireshark:网络嗅探工具#3 Snort:一款广受欢迎的开源IDS(Intrusion Detection System)(入侵检测系统)工具 #4 Netcat:网络瑞士军刀#5 Metasploit Framework:黑掉整个星球#6 ...
分类:
其他好文 时间:
2016-09-01 02:04:03
阅读次数:
275
Snort的三种工作模式 Sniffer mode, 嗅探模式, 将嗅探的数据输出到控制台(屏幕) Packet Logger mode, 日志模式, 将嗅探的数据输出到文件 Network Intrusion Detection System (NIDS) mode, 网络入侵检测(NIDS) 模 ...
分类:
其他好文 时间:
2016-08-18 11:16:19
阅读次数:
142
# ./configure 遇到ERROR: checking for pfring_open in -lpcap... no ERROR! Libpcap library/headers (libpcap.a (or .so)/pcap.h) not found, go get it from h
分类:
其他好文 时间:
2016-03-10 12:29:19
阅读次数:
687
Centos下安装snort注:最近因需要安装入侵检测系统,上网找了下文档,大致相同,甚至不全,个人整理了下,有不足之处敬请谅解。保存仅为留个备份。一.安装所需软件包1.安装libpcap与libpcap-develyum-yinstalllibpcap*2.安装libpcreyum-yinstallpcre*3.安装libdnetwgethttp://..
分类:
其他好文 时间:
2016-03-07 19:22:10
阅读次数:
260
Snort是目前公认的Linux上的最好的IDS.使用SELinuxSELinux是用来对Linux进行安全加固的,有了它,用户和管理员们就可以对访问控制进行更多控制。SELinux为访问控制添加了更细的颗粒度控制。与仅可以指定谁可以读、写或执行一个文件的权限不同的是,SELinux可以让你指定谁可以删..
分类:
系统相关 时间:
2016-03-06 17:43:23
阅读次数:
260
来自Sagan官网:https://quadrantsec.com/services_technology/product_technology/ Sagan是一个多线程的,实时的安全信息事件管理分析软件,它跟Snort很像,并且它能够使用Snort的规则,包含7500多个攻击特征,用来检测攻击。....
分类:
其他好文 时间:
2016-01-22 17:32:19
阅读次数:
161
转载来自:【IPS分析】Snort语法规则说明及实例讲解方向操作符:方向操作符"->"表示规则所施加的流的方向。方向操作符左边的ip地址和端口号被认为是流来自的源主机,方向操作符右边的ip地址和端口信 息是目标主机,还有一个双向操作符""。它告诉snort把地址/端口号对既作为源,又作为目标来考虑。...
分类:
其他好文 时间:
2015-11-09 15:15:39
阅读次数:
497
转载自《Snort 命令参数详解》用法: snort -[options] 选项:-A 设置报警模式,alert = full/fast/none/unsock,详解上一篇snort简介。-b 用二进制文件保存网络数据包,以应付高吞吐量的网络。-B 将IP地址信息抹掉,去隐私化...
分类:
其他好文 时间:
2015-11-09 12:42:40
阅读次数:
323
