国科大网络协议安全大作业——分析流量并使用Snort规则进行检测

这篇具有很好参考价值的文章主要介绍了国科大网络协议安全大作业——分析流量并使用Snort规则进行检测。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、实验准备

1.1 实验要求

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

SHA256(Secure Hash Algorithm 256-bit)是一种密码学哈希函数,用于计算数据的哈希值。每个文件使用一个哈希算法只会有一个确定的哈希值。

1.2 虚拟机配置

被感染主机设置为ubuntu22.04,虚拟机IP地址为192.168.88.142

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

二、打开.pcap文件的流程

2.1 用root账号登录虚拟机

原因:避免wireshark奇怪报错

2.2 查看文件类型和使用命令行计算SHA256哈希值

 2.2.1在终端执行 file命令查看文件类型

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

file malware.pcap 

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

2.2.2计算该文件的SHA256

shasum -a 256 malware.pcap 

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

得到哈希值为68bdbde81313644728076c1f1dd4c3106d08a3bb428269d3866ee29520f2fb62

额外知识:在windows里使用SHA256计算哈希值

 CertUtil -hashfile "I:\virtual_machine_linux\virtual_machine\ubuntu_polyos\Ubantu_polyos-disk1.vmdk" SHA256

把文件拖到"" 内会自动出现路径

2.3 用wireshark打开.pcap文件

2.3.1 什么是.pcap文件

全称叫做packet capture,即抓到的包,被导出来,形成文件,文件就是.pcap格式,哈哈哈不是那种导出来。

2.3.2 在linux中打开.pcap文件

直接进入文件夹,找到目标文件,然后选择用wireshark打开

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

2.2

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

在导出http报文之前,先停止抓包

三、 安装snort

使用以下代码安装snort

sudo apt-get update
sudo apt-get install -y snort

出现这个界面,是选择监听的网络块,保持默认,使用方向键,然后点击OKsnort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

使用以下代码查看snort是否安装成功

snort -V

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

可以看到snort安装成功

四、 重点关注malware.pcap中的HTTP流量

参考以下链接学习如何导出可疑流量,然后放入检查网站检测是否是病毒

Wireshark Tutorial: Exporting Objects from a Pcap

4.1 筛选出http的请求流量

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

4.2 导出http的请求流量

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

4.3 选择全部导出

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

4.4 选择保存位置

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

4.5 通过VirusTotal鉴别文件是否是病毒

网站:VirusTotal

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

可以看到众多病毒检测网站都认为这个文件是一个病毒文件

4.6 回过头来再分析

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

这个时候我们看到,看似他是一个.pdf,实则是一个可执行文件

它的SHA256值:f25a780095730701efac67e9d5b84bc289afea56d96d8aff8a44af69ae606404

五、使用Snort来筛选病毒

5.1 将规则保存为一个文本文件,例如example.rules,并放在snort的规则目录中,例如/etc/snort/rules/

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

5.2 在snort的配置文件中,例如/etc/snort/snort.conf,添加一行来引用规则文件,例如include $RULE_PATH/example.rules

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

5.3 重启snort服务或重新加载snort配置,以使规则生效。

sudo systemctl restart snort
sudo snort -c /etc/snort/snort.conf -A console # 重新加载snort配置并在控制台显示警报

5.4 设置配置文件和监听网卡

sudo /usr/sbin/snort -d -l /var/log/snort/ -c /etc/snort/snort.conf -i ens33

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

上面的代码多了一个 -d 参数。这个参数的作用是让 Snort 以 数据包转储 模式运行

使用ens33是因为我的默认网卡是ens33

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

运行后监听网卡ens33

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

可以通过ctrl+c来停止监听

5.5 读取malware.pcap

参考视频https://www.youtube.com/watch?v=RUmYojxy3Xw

在执行第二条指令之前,先打开一个终端,用以下命令跟踪alert文件日志的最后几行,然后再打开一个终端,执行第二条指令,这样就可以很清晰的看到变化。

tail -f -n 5 /var/log/snort/snort.alert.fast
sudo /usr/sbin/snort -d -l /var/log/snort/ -c /etc/snort/snort.conf -r /home/itheima/snort/malware.pcap 

操作界面如图所示

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

输出的结果如图所示,snort会帮忙扫描.pcap包中的协议类型,然后根据rules,给出相应的alert

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

可以见到上图中的virus detected ,是咱们在5.1 部分设置的规则,检测到由HOME_NET之外的网络发入HOME_NET之内的TCP请求,其content包含"pdf"即在日志中生成alert msg "virus detected"。文章来源地址https://www.toymoban.com/news/detail-764227.html

六、 选做部分

分析这个恶意文件是什么类型的恶意文件,有什么恶意行为。
https://s.threatbook.com/ 打开微步在线云沙箱网站,传入病毒文件
可以看到文件类型是Windows动态链接库文件
snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络
文件检测是恶意病毒
snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络
恶意行为有以下
snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络
snort检测pcap中的恶意流量,国科大作业,linux,centos,网络,安全,网络协议,计算机网络

到了这里,关于国科大网络协议安全大作业——分析流量并使用Snort规则进行检测的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络流量分析详解(包含OSI七层模型、TCP协议及Wireshark工具用法)

    这个系列讲的是整个网络流量分析流程,其中包含TCP协议、HTTP协议详解和Wireshark、Tcpdump的详细用法,现在只完成了其中一部分内容,每周更新,感兴趣的可以持续关注一下~ 内容比较杂,直接用 Ctrl+F 找自己需要的就可以 ​ 网络流量分析(NTA)可以描述为检查网络流量以表征所

    2023年04月12日
    浏览(90)
  • Kali Linux --《网络安全》-- 使用 WireShark 对常用协议抓包并分析原理

    作为一款高效免费的抓包工具,wireshark可以捕获并描述网络数据包,其最大的优势就是免费、开源以及多平台支持,在GNU通用公共许可证的保障范围下,用户可以免费获取软件和代码,并拥有对其源码修改和定制的权利,如今其已是全球最广泛的网络数据包分析软件之一。接

    2023年04月08日
    浏览(47)
  • 如何使用Wireshark进行网络流量分析?

    如何使用Wireshark进行网络流量分析。Wireshark是一款强大的网络协议分析工具,可以帮助我们深入了解网络通信和数据流动。 1. 什么是Wireshark? Wireshark是一个开源的网络协议分析工具,它可以捕获并分析网络数据包,帮助用户深入了解网络通信过程,识别潜在的问题和安全威

    2024年02月11日
    浏览(39)
  • CTFHUB-流量分析-协议流量分析-ICMP

    我们打开然后放入wireshark中 搜索icmp 然后搜索ctfhub 发现没有 然后就看{ 我们从最底下开始往上翻 1.   A  C   MMMMM  2. A  C   MMMMM 3. A   T  MMMMMMM    4. A   T  MMMMMM  5.A F  MMMMMM 从这里我们就发现了规律了   已经出现了ctf了 所以我们就只要将这个位置上组合起来就是flag

    2024年02月06日
    浏览(41)
  • 网络安全:WireShark 抓包及常用协议分析

    打开kali终端进入wireshark 进入到wireshark点击选项 勾选选项混杂模式开始抓包 进入终端打开火狐,打开百度进行抓包 这时我们抓到了很多类型的数据包 上方的过滤器可以指定类型数据宝或者指定源地址目标地址等等,例如现在抓取arp协议的数据包 我们ping一个地址 我们可以用

    2023年04月08日
    浏览(51)
  • 密码协议形式化分析与可证明安全实验1——使用proverif来分析密码协议

    实验环境: Windows 11 X64 根据ProVerif用户手册1.4.3节,Windows用户可以使用二进制发行版安装ProVerif。首先现在你想要的文件路径中新建一个 proverif 文件夹。 graphviz graphviz是一种以图形方式显示ProVerif可能发现攻击的组件,可以通过官网链接进行下载。 我的操作系统是64位系统,

    2024年02月02日
    浏览(40)
  • Linux C/C++下抓包分析mysql流量(协议解析)

    MySQL通信协议是一个有状态的协议,主要用于MySQL客户端与服务器之间的通信。这个协议在MySQL客户端连接器(如Connector/C、Connector/J等)、MySQL Proxy以及主从复制中都有实现。 该协议的特性包括:支持SSL、压缩和认证等功能。 MySQL客户端和服务端的交互过程主要分为两个阶段:

    2024年02月05日
    浏览(47)
  • 计算机网络——Wireshark软件使用与协议分析(ARP协议、IP与ICMP分析)

            一、实验目的   学习 Wireshark 的基本操作,抓取和分析有线局域网的数据包;掌握以太网 MAC帧的基本结构,掌握 ARP 协议的特点及工作过程。  二、实验内容 使用 Wireshark 抓取局域网的数据包并进行分析: 1. 学习 Wireshark 基本操作:重点掌握捕获过滤器和显示过滤器

    2024年02月05日
    浏览(43)
  • 【网络工程】网络流量分析工具 Wireshark

    Wireshark (前身 Ethereal):它是一个强大的网络封包分析软件工具 ! 此工具使用WinPCAP作为接口,直接与网卡进行数据报文交换。主要用来捕获截取网络数据包的,并自动解析数据包为用户显示数据包详细信息,供用户对数据包进行分析。 下载及安装: 点击这里 1.打开网址,进入

    2024年02月13日
    浏览(39)
  • Elasticsearch的网络流量分析案例

    Elasticsearch是一个分布式、实时的搜索和分析引擎,它可以处理大量数据并提供快速、准确的搜索结果。在现实生活中,Elasticsearch广泛应用于日志分析、实时监控、搜索引擎等领域。本文将介绍Elasticsearch的网络流量分析案例,涉及到的核心概念、算法原理、最佳实践以及实际

    2024年02月21日
    浏览(50)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包