Suricata

02-Suricata

一 ICMP流量预警

一条ICMP报文有四个重要内容,可与相应的ICMP关键字相匹配。它们是:消息的类型、代码、ID和序列。

通过ICMP的type进行匹配

alert icmp any any <> any any (msg:"icmp流量预警";itype:8;threshold:type threshold,track by_src, count 5, seconds 30;sid:10021;)

二 TCP流量预警

1 全连接预警

alert tcp any any <> any any (msg:"TCP全连接流量预警";flow:to_server,established;threshold:type threshold,track by_src, count 5, seconds 30;sid:10022;)

利用wrk进行全连接攻击

wrk -c 300 -t 5 -d 600 http://192.168.209.131/dashboard/

-c 并发数

-t 线程数

-d 持续的时间

2 半连接预警

alert tcp any any <> any any (msg:"TCP半连接流量预警";flow:to_server,not_established;flags:S;threshold:type threshold,track by_dst, count 20, seconds 10;sid:10023;)

flags:S是一个规则选项,用于指定匹配TCP报文中SYN标志位为1的数据包

TCP协议在建立连接时需要进行三次握手,其中第一次握手就是客户端向服务器发送一个SYN报文,请求建立连接。此时,SYN标志位被设置为1。因此,flags:S选项允许Suricata规则专门匹配这种TCP连接建立初期的数据包。

track <by_src|by_dst|by_rule|by_both>by_src 源ip一样by_dst 目的ip一样

tcp半连接攻击,源ip随机

hping3 -c 1000 -d 120 -S -w 64 -p 80 --flood --rand-source 192.168.209.131

三 MySql流量预警

Sruicata没有提供对MySql应用层协议的支持,所以我们使用TCP协议

1 MySql爆破预警

预警mysql登录失败

alert tcp any any <> any any (msg:"MySql登录失败预警";content:"Access denied for user";sid:10024;)

预警mysql登录爆破-方式1

alert tcp any any <> any any (msg:"MySql登录爆破预警";content:"Access denied for user";threshold:type threshold,track by_src, count 5, seconds 30;sid:10025;)

预警mysql登录爆破-方式2

alert tcp any any <> any any (msg:"MySql登录失败预警";content:"|41 63 63 65 73 73 20 64 65 6e 69  65 64 20 66 6f 72 20 75 73 65 72|";sid:10026;)

使用流量载荷中ASCII对应的十六进制数据进行匹配

2 MySql木马文件写入预警

#查看mysql写入文件的权限  
show variables like "secure_file_priv";空:在任意路径写入文件路径:在固定的路径写入NULL:不能写入文件
​
#写入木马文件
select "<?php eval($_POST[0]);?>" into outfile "/opt/lampp/htdocs/mm22.php"
​
#预警规则
alert tcp any any <> any any (msg:"MySql写入木马文件预警";content:"into outfile";pcre:"/eval/i";sid:10027;)

四 SSH爆破预警

1、特征分析

SSH 协议交互主要分为三个阶段,传输层协议,用户认证协议,连接协议。在传输层协议中主要完成服务端和客户端之间的ssh版本协商,密钥和算法协商,在该阶段的最后客户端会发送New Keys数据包,表示双反构建了一个加密通道,从而开始用户认证。最后就是如果认证登录成功后,持续不断地进行数据通信,这个过程不再具备用户认证的数据和交换密钥的过程。

image-20241111161241806

根据New Keys数据包中总是0x15和10个字节的0x00结尾的特点,可以标记该类数据包,与之类似的,Key Exchange Init过程也存在以较多的 00 00 00 00 等特征可以使用。当完成认证后,后续的通信全是常规加密流量,并且也不再存在Key Exchange或者New Keys流量。所以,针对SSH爆破的情况,必须存在较多的Key Exchange和New Keys流量。

image-20241111162640934

alert ssh any any <> any any (msg:"ssh登录预警";content:"|15 00 00 00 00 00 00 00 00 00 00|";sid:10028;)alert ssh any any <> any any (msg:"ssh登录爆破预警";content:"|15 00 00 00 00 00 00 00 00 00 00|";threshold:type threshold,track by_src, count 5, seconds 30;sid:10029;)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/885749.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

分享一些Kafka集群优化的最佳实践?

以下是一些 Kafka 集群优化的最佳实践&#xff1a; 复制策略配置&#xff1a; 在 server.properties 文件中配置 default.replication.factor 来指定每个主题的默认副本因子&#xff0c;以及 min.insync.replicas 来配置每个分区中必须要保持同步的最小副本数。这可以提高 Kafk…

论分布式事务及其解决方案

一、引言 在分布式系统中&#xff0c;事务管理是实现数据一致性的关键。传统单机事务在分布式环境下面临诸多挑战&#xff0c;无法有效保证各节点之间的数据一致性和操作原子性。分布式事务通过跨服务和跨数据库的协调机制&#xff0c;实现数据一致性和事务完整性。本论文将结…

web前端动画按钮(附源代码)

效果图 源代码 HTML部分 <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"><title>Document</title> …

实操篇:容器服务如何启动系统?

容器服务如何启动系统&#xff1f;容器服务的启动主要依赖Docker和Kubernetes。Docker通过镜像创建和管理容器&#xff0c;支持多种重启策略以确保容器稳定运行。Kubernetes则负责自动化部署、扩展和管理容器化应用&#xff0c;其核心是Pod&#xff0c;包含一个或多个容器。用户…

conda与pip 安装软件包的 代理/换源 解决方案

方案0&#xff1a;终端set proxy set http_proxyhttp://127.0.0.1:7890 set https_proxyhttps://127.0.0.1:7890 export http_proxyhttp://127.0.0.1:7890 export https_proxyhttps://127.0.0.1:7890查看 set | grep proxy echo $https_proxy区别 使用set可以设置和查看变量…

glide性能优化实战

glide性能优化实战 前言 项目使用glide加载图片之前也只是会基本api,这次项目有非常多的图片需要展示&#xff0c;而且设备是一个android12的版本&#xff0c;但是性能不太理想&#xff0c;分给APP的资源不太多&#xff0c;所以需要优化现有图片加载逻辑&#xff0c;读者可以…

最全Web自动化测试面试题

1、Selenium 中 hidden 或者是 display none 的元素是否可以定位到&#xff1f; 不可以。可以写 JavaScript 将标签中的 hidden 先改为 0&#xff0c;再进行定位元素。 2、Selenium 中如何保证操作元素的成功率&#xff1f;也就是说如何保证我点击的元素一 定是可以点击的&a…

PHP爬虫快速获取京东商品详情(代码示例)

在当今互联网时代&#xff0c;数据的重要性不言而喻。对于电商领域来说&#xff0c;获取商品信息是数据分析、市场研究和价格监控的基础。本文将介绍如何使用PHP编写一个简单的爬虫&#xff0c;以快速获取京东商品的详情信息。 1. 概述 京东是中国领先的电商平台之一&#xff…

为什么在Ubuntu下使用VScode开发C++程序时需要手动配置链接库

为什么在Ubuntu下使用VScode开发C程序时需要手动配置链接库 在Ubuntu下使用VSCode开发C程序时需要手动配置链接库&#xff0c;这主要与VSCode的性质和Linux平台的编译环境有关。以下是几个关键点解释为什么这样做是必要的&#xff1a; 1. VSCode的编辑器性质 VSCode本质上是…

【Spring】Spring框架中有有哪些常见的设计模式

Spring 框架中广泛运用了多种设计模式&#xff0c;今天让我们来学习一下 1. 单例模式&#xff08;Singleton Pattern&#xff09; 用途&#xff1a;在Spring框架中&#xff0c;Bean默认是单例的&#xff0c;也就是说在容器中每种类型的Bean只有一个实例。这个设计可以节省资源…

一、HTML

一、基础概念 1、浏览器相关知识 这五个浏览器市场份额都非常大&#xff0c;且都有自己的内核。 什么是内核&#xff1a; 内核是浏览器的核心&#xff0c;用于处理浏览器所得到的各种资源。 例如&#xff0c;服务器发送图片、视频、音频的资源&#xff0c;浏览…

行业类别-金融科技-子类别区块链技术-细分类别智能合约-应用场景供应链金融课题

1.大纲分析 针对题目“行业类别-金融科技-子类别区块链技术-细分类别智能合约-应用场景供应链金融课题”的大纲分析,以下是一个详细的结构: 一、引言 简述金融科技的发展背景与重要性引出区块链技术在金融科技中的应用强调智能合约作为区块链技术的重要细分类别提出供应链金…

记录一次非常奇怪的MIME type of “text/html“报错

报错现象 访问指定地址&#xff0c;一直转圈打不开&#xff0c;打开游览器控制台发现有如下报错&#xff1a; Failed to load module script: Expected a JavaScript module script but the server responded with a MIME type of “text/html”. Strict MIME type checking i…

Windows10/11开启卓越性能模式 windows开启卓越性能电源模式 工作电脑开启卓越性能模式 电脑开启性能模式

Windows10/11开启卓越性能模式 windows开启卓越性能电源模式 工作电脑开启卓越性能模式 电脑开启性能模式 1、所要用到的激活工具2、开启电脑卓越性能模式Windows11Windows10在电源模式中选择卓越性能模式 3、将系统版本切换为 工作站版本 1、所要用到的激活工具 KMS激活工具(…

若依前后端分离版部署(超详细)

一、简介 有些特殊情况需要部署到子路径下,例如:https://www.jzjtest.cn/admin-hb,可以按照下面流程修改。 二、实现步骤 2.1 后端部署 自定义后端端口 # 开发环境配置 server:# 服务器的HTTP端口,默认为8080port: 10081通过maven:package一键打包成jar 将jar上传到服务器…

text-embedding-ada-002;BGE模型;M3E模型是Moka Massive Mixed Embedding;BERT

目录 text-embedding-ada-002 一、模型概述 二、模型功能 三、模型特点 四、模型应用 五、模型优势 BGE模型 一、模型背景与特点 二、模型性能与表现 三、模型迭代与发展 M3E模型是Moka Massive Mixed Embedding 一、基本信息 二、技术特点 三、应用场景 四、性能…

膜计算 MATLAB例程(仅例程,无背景)

膜计算的实现可以用 MATLAB 进行简单的模拟。以下是一个基础的膜计算模型的示例代码&#xff0c;模拟了膜内部对象的产生和转化过程。这个例子使用简单的对象和规则来演示膜计算的基本思想。 文章目录 主要概念应用领域优势与挑战代码MATLAB 膜计算示例代码代码说明运行代码总结…

docker compose 多个 Dockerfile

文章目录 文件结构app.pyDockerfiledocker-compose.yml查看结果文件结构 %tree . ├── Dockerfile ├── app.py ├── app1 │ ├── Dockerfile │ └── app.py ├── app2 │ ├── Dockerfile │ └── app.py └── docker-compose.yml3 directories,…

Request和Response

前言 这一节主要讲的是Request和Response还有一些实例 1. 介绍 就是这两个参数 WebServlet("/demo7") public class ServletDemo7 extends HttpServlet {Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletExcepti…

Vue全栈开发旅游网项目(10)-设计用户模型

1.设计用户模型 文件地址&#xff1a;accounts/models.py 1.1 用户详细信息 内容包括&#xff1a;性别 手机号 年龄 生日 真实姓名 创建常量&#xff1a;1-男&#xff0c;0-女&#xff1b;editableFalse不许循环 class Profile(models.Model):SEX_CHOICES{(1,男),(0,女)}u…