网络攻防学习笔记 Day45

Snort 规则包括两部分，一部分称为规则头（rule header），另一部分称为规则选项（rule options）。Snort 规则的规则头主要包括规则动作、协议、IP 地址、子网掩码、端口号和通信方向等信息。规则选项包含了需要检查的数据内容、标识字段、匹配时的告警消息等内容。

Snort 目前主要对 TCP、UDP、ICMP 和 IP 等 4 种协议进行分析，从中发现可疑行为。

Snort 规则的通信方向标识符紧跟在源端口字段之后。Snort 支持“->”和“<>”两种方向标识符，其中“->”为单向标识符，“<>”为双向标识符。

Snort 的规则选项可以大致划分为通用规则选项、负载检查（payload detection）规则选项、非负载（non-payload detection）检查规则选项、事后检查（post-detection）规则选项等 4 类。

通用规则选项中最具代表性的是 msg 关键字。负载检查规则选项主要分析数据包的负载内容，其中最重要的关键字是 content。

入侵检测技术属于被动的安全技术，即在攻击发生以后才会进行告警或者以其他形式进行响应。入侵检测技术本身不具备主动发现漏洞、防患于未然的能力。

网络欺骗（Cyber Deception）：采用引诱或欺骗战略，诱使入侵者相信网络与信息系统中存在有价值的、可利用的安全弱点，并具有一些可攻击窃取的资源（当然这些资源是伪造的或不重要的），进而将入侵者引向这些错误的资源，同时安全可靠地记录入侵者的所有行为，以便全面地了解攻击者的攻击过程和使用的攻击技术。

蜜罐是一种安全资源，其价值在于被探测、攻击或突破。这种安全资源是什么并不重要（路由器、运行仿真服务的脚本或真实的生产系统），重要的是这种安全资源的价值在于受到攻击。

根据部署方式可以分为生产型蜜罐和研究型蜜罐。生产型蜜罐一般部署在组织的内网中，研究型蜜罐则一般部署在内网的出口处或公网上。

根据交互程度或逼真程度的高低可以分为低交互蜜罐、中交互蜜罐和高交互蜜罐。高交互蜜罐的实现方式要比低交互蜜罐复杂多了。主要有两种实现方式：一种是模拟，另一种是真实系统。

按照实现方式可将蜜罐分为物理蜜罐和虚拟蜜罐。

商用或开源的蜜罐项目，如 Honeyd、The HoneynetProject、狩猎女神、Specter、Mantrap 等。