写点什么

网络攻防学习笔记 Day45

发布于: 2021 年 06 月 15 日
网络攻防学习笔记 Day45

Snort 规则包括两部分,一部分称为规则头(rule header)另一部分称为规则选项(rule options)。Snort 规则的规则头主要包括规则动作、协议、IP 地址、子网掩码、端口号和通信方向等信息。规则选项包含了需要检查的数据内容、标识字段、匹配时的告警消息等内容。


Snort 目前主要对 TCP、UDP、ICMP 和 IP 等 4 种协议进行分析,从中发现可疑行为。


Snort 规则的通信方向标识符紧跟在源端口字段之后。Snort 支持“->”和“<>”两种方向标识符,其中“->”为单向标识符,“<>”为双向标识符。


Snort 的规则选项可以大致划分为通用规则选项、负载检查(payload detection)规则选项、非负载(non-payload detection)检查规则选项、事后检查(post-detection)规则选项等 4 类。


通用规则选项中最具代表性的是 msg 关键字。负载检查规则选项主要分析数据包的负载内容,其中最重要的关键字是 content


入侵检测技术属于被动的安全技术,即在攻击发生以后才会进行告警或者以其他形式进行响应。入侵检测技术本身不具备主动发现漏洞、防患于未然的能力。


网络欺骗(Cyber Deception):采用引诱或欺骗战略,诱使入侵者相信网络与信息系统中存在有价值的、可利用的安全弱点,并具有一些可攻击窃取的资源(当然这些资源是伪造的或不重要的),进而将入侵者引向这些错误的资源,同时安全可靠地记录入侵者的所有行为,以便全面地了解攻击者的攻击过程和使用的攻击技术。


蜜罐是一种安全资源,其价值在于被探测、攻击或突破。这种安全资源是什么并不重要(路由器、运行仿真服务的脚本或真实的生产系统),重要的是这种安全资源的价值在于受到攻击


根据部署方式可以分为生产型蜜罐和研究型蜜罐。生产型蜜罐一般部署在组织的内网中,研究型蜜罐则一般部署在内网的出口处或公网上。


根据交互程度或逼真程度的高低可以分为低交互蜜罐、中交互蜜罐和高交互蜜罐。高交互蜜罐的实现方式要比低交互蜜罐复杂多了。主要有两种实现方式:一种是模拟,另一种是真实系统。


按照实现方式可将蜜罐分为物理蜜罐和虚拟蜜罐


商用或开源的蜜罐项目,如 Honeyd、The HoneynetProject、狩猎女神、Specter、Mantrap 等。


发布于: 2021 年 06 月 15 日阅读数: 7
用户头像

还未添加个人签名 2018.11.30 加入

还未添加个人简介

评论

发布
暂无评论
网络攻防学习笔记 Day45