通过实例来分析如何进行入侵检测及防御(下)

高级应用举例

上面介绍了如何编写 Snort 规则,下面再给出几个实际应用中的例子(几个对当前主要的几种攻击手段的检测的例子)来说明如何灵活、高效地应用 Snort 规则。

检测尼姆达病毒

Nimda 是一个蠕虫病毒,在 2001 年的下半年曾经在互联网上肆虐。nimda 的检测规则主要是在扫描的时候、运行的时候和传播的时候。由于该病毒的机理比较复杂,具体的分析过程不在这里详细阐述,可以给出如下的检测规则:

preprocessor http_decode: 80 443
8080 preprocessor minfrag: 128 preprocessor portscan: 12.23.34.45/32 3 5 /var/log/snort_portscan.log preprocessor portscan-ignorehosts:
alert tcp any any -> any 80 (msg:"W32/Nimda@mm WORM SCAN!"; \ flags:PA; content:"/root.exe?/c+dir"; nocase;) alert tcp any any -> any 80 (msg:"W32/Nimda@mm WORM SCAN!"; \ flags:PA; content:"/system32/cmd.exe?/c+dir"; nocase;) alert tcp any any -> any 80 (msg:"W32/Nimda@mm WORM TRANSFER!!"; \ flags:PA; content:"/root.exe?/c+tftp%20-i"; nocase;) alert tcp any any -> any 80 (msg:"W32/Nimda@mm WORM TRANSFER!!"; \ flags:PA; content:"/system32/cmd.exe?/c+tftp%20-i"; nocase;) alert tcp any any -> any 80 (msg:"W32/Nimda@mm WORM RUN!!!"; \ flags:PA; content:"/scripts/Admin.dll"; nocase;) alert tcp any any -> any 80 (msg:"W32/Nimda@mm WORM RUN!!!"; \ flags:PA; content:"/MSADC/Admin.dll"; nocase;) alert tcp any any -> any 80 (msg:"W32/Nimda@mm WORM RUN!!!"; \ flags:PA; content:"/winnt/system32/Admin.dll"; nocase;) alert udp any 69 -> any any (msg:"W32/Nimda@mm WORM TRANSFER!!"; \ flags:PA; content:"|15 90 AC 17 36 F7 D8 1B C0 5E 40 5B 5F C9 C2 04 \ 00 55 8B EC 81 EC B0 00|";) alert tcp any 80 -> any any (msg:"W32/Nimda@mm WORM IN WEB SERVER!!"; \ flags:PA; content:">window.open("readme.eml"";) alert tcp any any -> any 25 (msg:"W32/Nimda@mm WORM MAILSEND!!"; \ flags:PA; content:"UgEAAI1F6Ild6FCNRfxQU2g/AA8AU1NT";) alert tcp any 110 -> any any (msg:"W32/Nimda@mm WORM MAILRECV!!"; \ flags:PA; content:"UgEAAI1F6Ild6FCNRfxQU2g/AA8AU1NT";)

检测 PHPUpload 溢出攻击

PHP 语言为用户提供了上传文件的功能,用户可以使用提供的类进行各类文件、档案的上传功能传送数据给服务器。然而,该类由于没有对上传文件的大小或者类型做严格的判断,在程序执行过程当中,有可能造成服务器端的缓冲区溢出,从而导致缓冲区溢出攻击。

下面给出防范该溢出攻击的 Snort 检测规则:

alert tcp $EXTERNAL_NET any -> $HOME_NET 80 \ (msg:"EXPERIMENTAL php content- disposition"; flags:A+; \ content:"Content-Disposition\:"; content:"form-data\;"; \ classtype:web-application-attack; reference:bugtraq,4183; sid:1425; rev:2;)

以上规则判断提交给服务器的 HTTP 请求中是否包含"Content-Disposition:"及"form-data;"字串,如果含有该字符串的话,对于某些没有打补丁的系统来说会造成缓冲区溢出攻击。通过添加上述规则,一旦发现客户端有此操作,则 Snort 将会报警。

时间: 2024-09-04 23:08:57

通过实例来分析如何进行入侵检测及防御(下)的相关文章

通过实例来分析如何进行入侵检测及防御(上)

本文将详细介绍在开源系统中如何合理.高效地构建主机-网络-分布式入侵检测这样一个纵深防御体系来保证安全,并通过实际的例子来分析如何进行入侵检测及防御. Intrusion Detection System(入侵检测系统)顾名思义,便是对入侵行为的发觉,其通过对http://www.aliyun.com/zixun/aggregation/11991.html">计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象.通常说来,

安全分析之交换机的无线和有线入侵检测的描述

此文章主要讲述的是安全分析,交换机的无线和有线入侵检测,交换机的无线与有线入侵检测.不一样的工具就需要不一样的系统.多 数人都同意:在一个理想化的世界里,使用 同一种方式,网络管理员就可以对有线局域网和无线局域网进行管理. 然后,在现实中,当每种网络的协议各不相同时,比如 Wi-Fi 和以太网的情况,实现上述目标将会变得富有挑战性.与之前文章中讲述的多点传输(multicast)和服务质量(QoS)功能类似,在企业以太网交换机的有线与无线端,入侵检测和预防系统的工作方式是不同的.无线入侵检测和预

Java Web中的入侵检测及简单实现

web 在Java Web应用程中,特别是网站开发中,我们有时候需要为应用程序增加一个入侵检测程序来防止恶意刷新的功能,防止非法用户不断的往Web应用中重复发送数据.当然,入侵检测可以用很多方法实现,包括软件.硬件防火墙,入侵检测的策略也很多.在这里我们主要介绍的是Java Web应用程序中通过软件的方式实现简单的入侵检测及防御. 该方法的实现原理很简单,就是用户访问Web系统时记录每个用户的信息,然后进行对照,并根据设定的策略(比如:1秒钟刷新页面10次)判断用户是否属于恶意刷新. 我们的入侵

在Java Web中的入侵检测及简单实现

一.简介 在Java Web应用程中,特别是网站开发中,我们有时候需要为应用程序增加一个入侵检测程序来防止恶意刷新的功能,防止非法用户不断的往Web应用中重复发送数据.当然,入侵检测可以用很多方法实现,包括软件.硬件防火墙,入侵检测的策略也很多.在这里我们主要介绍的是Java Web应用程序中通过软件的方式实现简单的入侵检测及防御. 该方法的实现原理很简单,就是用户访问Web系统时记录每个用户的信息,然后进行对照,并根据设定的策略(比如:1秒钟刷新页面10次)判断用户是否属于恶意刷新. 我们的入

《日志管理与分析权威指南》一1.5.2 入侵检测

1.5.2 入侵检测 主机日志(不同于NIDS日志)对入侵检测当然是非常有用的.例如: 这条日志消息展示了一次使用用户名"erin"的失败登录尝试."illegal user"(非法用户)一词的使用是因为系统上并没有这个账户.这条消息是一个攻击者使用ssh扫描器,试图用一组常见的用户名和密码通过ssh登录主机的结果.本例子是从很短时间内发动的数千次攻击中选出来的. 主机日志可能是比NIDS更好的入侵指示器.NIDS能够告诉你针对主机发生了一次攻击,但是不能告诉你攻击

入侵检测与网络审计产品的关系

入侵检测与网络审计产品是孪生兄弟吗? 入侵检测系统(IDS)是网络安全监控的重要工具,是网络"街道"上的巡警,时刻关注着网络的异常行为:网络审计是用户行为的记录,是网络"大楼"内的录像机,记录各种行为的过程,作为将来审核"你"的证据. 我们常见的楼宇监控,在保安值班室内有一个大电视墙,工作人员实时在看的,属于IDS类型,监控系统需要人的实时参与,发现异常,及时报警.处理.公共场合内银行的ATM机前有录像系统,属于审计类型的产品,当需要查看是谁在什

snort+base搭建IDS入侵检测系统

Snort是美国Sourcefire公司开发的发布在GPL v2下的IDS(Intrusion Detection System)软件 Snort有 三种工作模式:嗅探器.数据包记录器.网络入侵检测系统模式.嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上.数据包记录器模式把数 据包记录到硬盘上.网路入侵检测模式分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作.网络入侵检测系统模式是最复杂的,而且是可 配置的. Snort可以用来监测各种数据包如端口扫描等之外

无线入侵检测系统

现在随着黑客技术的提高,无线局域网 (WLANs)受到越来越多的威胁.配置无线基站(WAPs)的失误导致会话劫持以及拒绝服务攻击(Dos)都象瘟疫一般影响着无线局域网的安全.无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还有可能受到基于电气和电子工程师协会(IEEE)发行802.11标准本身的安全问题而受到威胁.为了更好的检测和防御这些潜在的威胁,无线局域网也使用了一种入侵检测系统(IDS)来解决这个问题.以至于没有配置入侵检测系统的组织机构也开始考虑配置IDS的解决方案.这篇文章

轻松修复IDS入侵检测系统故障

有人说网络就好比一片黑暗,到处都充满了极具危险的陷阱,不过冥冥中还好有一个出口可寻.而IDS入侵检测系统,恰好就是给你照明开道的手电筒,它可以帮你发现恶意人所留下的陷阱,从而让你远离被人暗算厄运. 但是世间总有意想不到的事发生, 例如笔者的IDS入侵检测系统出现了故障,无法对计算机进行检测,这样 就会给病毒木马侵入的机会.如果你跟笔者有着 同样的遭遇,不妨利用本文的方案,对其IDS入侵检测进行一下简单维修.小提示:IDS是Intrusion Detection System的缩写,即入侵检测系统