前面两篇文章介绍了snort3相关知识和Ubuntu上的安装配置Ubuntu22.04上Snort3的安装与基本配置 -CSDN博客

和Snort规则定义并进行的简单的测试Snort规则定义与测试 -CSDN博客，接下来我将介绍如何编写一个简单的检测端口扫描的规则进行检测

一、实验环境

攻击机：kali2022               IP：192.168.127.124

靶  机：Ubuntu22.04         IP：192.168.127.122

软  件：snort 版本3.6.0、Nmap

二、实验步骤

步骤一  配置端口扫描检测规则

1. 创建一个用于检测向靶机所有的规则

Snort 使用规则文件来定义什么是恶意行为。因此需要编写或获取针对端口扫描攻击的现有规则。由于端口扫描工具可能使用的是TCP数据包与靶机进行通信，可以设置一条用于检测使用TCP进行端口扫描的规则。

alert tcp any any -> any 80:1000 (msg:"Port scan attempt"; sid:1000005; rev:1;)

这个规则会警报所有尝试扫描TCP端口80到1000的行为。

• 将规则添加至local.rules并测试规则是否成功：

# vim /usr/local/etc/rules/local.rules# snort -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/rules/local.rules

• 启动snort

# snort -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/rules/local.rules -i ens33 -A alert_fast -s 65535 -k none

• 步骤二  开启端口扫描工具

• 在靶机上使用nmap进行端口扫描

由于snort设置的是监测TCP的规则，因此可以使用TCP Connection扫描（TCP全扫描，该技术完成TCP三次握手）。

nmap -sT 192.168.127.122

• 扫描完成可以看到靶机开放了25号smtp端口

步骤三  观察Snort3警报并分析检测结果

• 结束snort监测，可以看到如下：

上图可以看到数据包统计（Packet Statistics）相关信息：

daq（数据获取模块）:

1. received: 接收到的数据包总数为2025个。
2. analyzed: 分析的数据包总数也为2025个，意味着所有接收到的数据包都被分析了。
3. allow: 允许通过的数据包总数为2025个，这里没有数据包被丢弃。
4. rx_bytes: 接收到的字节总数为131321字节。

codec（编码解码模块）:

1. total: 总数据包数为2025个。
2. arp: ARP（地址解析协议）数据包数为8个。
3. eth: 以太网数据包数为2025个，与总数相同，说明所有数据包都是以太网数据包。
4. ipv4: IPv4数据包数为2011个。
5. ipv6: IPv6数据包数为6个。
6. tcp: TCP数据包数为2002个，说明此时的TCP连接活跃。
7. udp: UDP数据包数为15个。

还有模块统计（Module Statistics）部分可以看到：Snort中不同模块的统计信息，包括地址转换、应用识别、端口扫描检测等模块。

• ac_bnfa 和 ac_full: 这两个模块都与模式匹配相关，用于检测网络流量中的特定模式。

上图可以得到如下信息：

1. appid: 应用识别模块，处理了2017个数据包，识别了1004个会话。
2. detection: 检测模块，一共分析了2025个数据包，产生了119个警报，并且这119个报警都被记录在日志中。。
3. dns: DNS相关数据包统计，一共两个数据包，一个是响应一个是请求，是进行端口扫描前进行的域名解析。
4. ips_actions: 与检测模块一致，一共警报了119次。这可能表明网络中存在一些安全事件或异常行为。

上图可以得到如下信息：

1. port_scan: 端口扫描检测模块，一共检测到2017个数据包，与应用识别模块appid一致。然而在2017个数据包中检测到了端口扫描活动，但只跟踪了9个扫描器。这可能表明有外部实体在尝试探测网络中的开放端口。
2. search_engine: 搜索引擎模块，用于事件搜索和统计，一共匹配到119次事件。
3. stream 和 stream_tcp/stream_udp: 流模块，用于TCP和UDP会话的跟踪和管理。一共追踪到1004个会话，与应用识别模块中识别了1004个会话一致，其中TCP有1000个，UDP有4个。TCP会话中，有1000个会话被创建和释放，表明网络中存在活跃的TCP通信。

上图可以得到如下信息：

1. wizard: UDP扫描检测模块检测到3次。
2. Appid统计（Appid Statistics）
3. 检测到的应用和服务，如DNS有一次，mDNS（多播DNS）有2次，但没有客户端或用户与这些服务交互的明显迹象。

总结统计（Summary Statistics）

1. process: Snort进程接收到的信号有2个。
2. timing: Snort的运行时间位49秒、处理的数据包速率为41。

根据snort的检测结果，对网络状态进行分析，可以初步推断：

• 流量类型:同时存在TCP和UDP数据包，但是TCP数据包占主导地位，说明这段时间内表明网络中存在活跃的TCP通信，TCP连接频繁。
• 警报数量：Snort触发了119次警报，这可能表明网络中存在潜在的安全威胁。
• 端口扫描：端口扫描检测模块检测到了多个会话和端口扫描活动，同时系统有效地处理了这些数据包并产生了相应的警报，因此可以判断此时网络中存在主机使用了TCP扫描靶机的端口。

• 此次结果记录在日志中，日志中记录了刚刚端口扫描相关的警报，查看日志如下：

下面是第114行日志记录的分析：

1. 时间戳: 12/16-00:37:07.032331：这表示事件发生在12月16日，凌晨0点37分07秒，精确到毫秒（032331毫秒）。
2. 日志级别/标识: [ ** ]：这里的星号或类似的符号用于突出显示重要信息或警告。
3. 日志ID: [1:1000005:1]：规则中设置的唯一标识符，用于追踪和引用日志条目。1表示日志来源或类型，1000005是事件的具体编号或类型，最后的1表示该事件的实例或序列号。
4. 事件描述: "Port scan attempt"：明确指出了日志记录的事件类型，即端口扫描尝试。
5. 优先级: [Priority: 0]：这里的0表示事件的优先级。0通常表示最低优先级或正常级别。这意味着这个端口扫描尝试可能被系统视为一个常规事件，而不是紧急或严重的事件。
6. 协议: {TCP}：表明端口扫描是通过TCP（传输控制协议）进行的。
7. 源和目标地址及端口: 192.168.127.124:60160 -> 192.168.127.122:425：源IP地址是192.168.127.124，源端口是60160；目标IP地址是192.168.127.122，目标端口是425。这里可以知道来自192.168.127.124的攻击机尝试扫描靶机192.168.127.122计算机上的425端口。

分析：

• 默认情况下，Nmap在进行目标主机TCP端口扫描时，扫描顺序是无序的，因此snort监测并记录下的日志记录端口顺序是没有顺序、随机的。
• 步骤一定义的规则仅适用于使用TCP进行端口扫描的检测。
• 如果端口扫描工具使用的是其他类型的探测数据包，比如UDP传输协议，那么需要再定义一个规则用于检测UDP数据包。
• 上面使用使用的是TCP Connection（TCP全连接），即建立了完整的TCP三次握手的过程。但是，如果Nmap使用的是TCP SYN扫描（TCP三次握手第三次不完成，“半连接”扫描）方式，使用上面的规则，snort也能检测到并记录在日志中。
• 步骤一设置的规则仅适用于该实验，在实际情况中使用该端口扫描检测规则可能会产生误报和漏报。误报是指将合法的网络活动误认为是端口扫描，而漏报则是指未能检测到实际的端口扫描活动。
• 端口扫描工具检测也可以通过修改snort的端口扫描检测的配置参数snort_defaults.lua文件的port_scan defaults内容来实现。如下图5-4所示，这些参数被用于Snort（或类似的入侵检测系统）中，以识别和响应针对网络的端口扫描活动。这些配置区分了不同类型的扫描（如低端口、中端口、高端口扫描），以及针对TCP、UDP、IP协议和ICMP的不同设置。
• 这些配置参数的值（如扫描次数、拒绝次数、网络数、端口数等）是根据经验或特定网络环境的需求而设定的。它们可能需要根据实际情况进行调整。