1、Snort三层路由IPS模式
1.1 网络部署
1.配置网卡为固定模式
sudo vim /etc/netplan/00-installer-config.yaml
# This is the network config written by 'subiquity'
network:
ethernets:
ens32:
dhcp4: false
dhcp6: false
addresses: [192.168.207.128/24]
ens33:
dhcp4: false
dhcp6: false
addresses: [192.168.32.128/24]
ens35:
dhcp4: true
version: 2
2.开启端口转发功能
echo 1 >/proc/sys/net/ipv4/ip_forward
sysctl -w /etc/sysctl.conf
3.攻击机添加路由
route add -net 192.168.32.0/24 gw 192.168.207.128
4.服务器添加路由
sudo route add -net 192.168.207.0/24 gw 192.168.32.128
网络已经配置完毕,攻击机会经过snort进行流量转发
5.配置iptables
sudo iptables -I FORWARD -j NFQUEUE --queue-num=4
sudo iptables -I OUTPUT -j NFQUEUE --queue-num=5
或者
sudo iptables -I FORWARD -i ens32 -o ens33 -j NFQUEUE --queue-num=4
sudo iptables -I FORWARD -i ens33 -o ens32 -j NFQUEUE --queue-num=5
1.2 功能测试
1.创建本地规则
vim /usr/local/etc/rules/local.rules
alert icmp any any -> $HOME_NET any (msg:"ICMP test detected"; sid:10000001; rev:001; classtype:icmp-event;)
2.编辑snort.lua
vim /usr/local/etc/snort/snort.lua
设置HOME_NET地址为内网主机地址段
3.启动IPS内联
snort -c /usr/local/etc/snort/snort.lua -i ens32:ens33 -Q -R /usr/local/etc/rules/local.rules --daq-dir /usr/local/lib/daq --daq afpacket --daq-var fanout_type=hash -A alert_fast
1.3 规则防护测试
1.SSH流量检测
vim /usr/local/etc/rules/local.rules
alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"检测到SSH流量";
classtype:suspicious-login; sid:1000001; rev:1;)
2.使用Kali通过SSH访问
ssh [email protected]
发现检测到告警事件
3.丢弃Telnet流量
drop tcp $EXTERNAL_NET any -> $HOME_NET 23 (msg:"丢弃到Telnet流量";
classtype:suspicious-login; sid:1000002; rev:1;)
可以检测流量告警,但是不会执行丢弃
注:Snort3中配置IPS inline模式后可以检测攻击,但是不能转发流量。
2、漏洞检测规则
1、vsftpd_234_backdoor
1.简介
开发者在 2.3.4 的 vsftpd 中植入了一个后门,该后门的使用方式如下:
在 21 端口,使用随机用户名(末尾以 
笑脸结尾,使用随机密码在 TCP 流上进行 FTP 协议的认证,之后关闭连接。再新建一个 TCP 流,连接服务端的 6200 端口,此时服务端会将 /bin/sh 绑定到 6200 端口,即可进行命令执行。
2.利用方法
use exploit/unix/ftp/vsftpd_234_backdoor
set rhost 192.168.32.10
run
3.检测规则
alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"VSFTPD 后门利用攻击检测";
content:":)"; classtype:attempted-admin; sid: 1000003; rev:1;)
再次使用MSF进行攻击测试,检测告警事件如下
2、Nmap Xmas扫描
1. 简介
Xmas扫描探测目标时,同時送 FIN, PSH, URG 至目标主机
2.利用方法
nmap –sX -p80,8081 192.168.32.10
3.检测规则
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"Nmap Xmas扫描检测";
flags:FPU; classtype:network-scan; sid:1000004; rev:1;)
已成功检测到扫描
3、检测FTP爆破
1.简介
如果1分钟4次登录不成功即可认为爆破行为
2.测试方法
hydra -l user -w 10 -P /usr/share/wordlists/rockyou.txt -f 192.168.32.10 ftp
3.检测规则
alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"检测到FTP爆破";
content:"USER";detection_filter:track by_src, count 4, seconds 60;
classtype:unsuccessful-user; sid:1000005; rev:1;)
可以看到检测到FTP爆破攻击
原文始发于微信公众号(安全孺子牛):Snort配置入侵检测规则
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论