我正在尝试创建一个Suricata规则,当且仅当找到所有内容且按特定顺序时,该规则才会与包匹配。
我当前规则的问题是,即使数据包内容是test2 test1,它也会匹配。
浏览 14提问于2017-07-18得票数 1
回答已采纳
192.168.37.184 -j NFQUEUE我想要做的是将所有Mysql流量数据转发到NFQ,我希望在Suricata中检测这些数据,但是这些不可修改的规则不像预期的那样工作,NFQ中只有一部分数据进入Suricata(或者只有一部分数据进入NFQ)。当我设置以下iptable时:sudo iptables -I OUTPUT -j NFQUEUE
这很好,所有的包都进入N
浏览 0提问于2014-04-23得票数 1
2回答
IDS签名-了解内容
、、、
因此,在研究签名时;在签名中,我遇到了“内容”部分,基于该部分,签名触发警报。现在,当我在内容中看到一些东西(下面的例子);如何破译相同的东西?
浏览 4提问于2018-11-19得票数 0
我目前在Suricata中设置了以下DNS查询警报规则(用于测试目的):当它捕获包含"google“一词的DNS事件时,会触发该事件,例如在此数据包中:
{"timestamp":"2017-06-08T15rrtype":"A","ttl":300,&q
浏览 14提问于2017-06-09得票数 1
回答已采纳
我使用此规则跳过已知SSL证书上的suricata处理:
pass tls any any <> any any (msg:"known good mydomain cert"; tls.fingerprintJan 29 19:59:38 ip-10-11-12-13 suricata[17331]: {"timestamp":"2016-01-29T19:59:38.285296+0000","flow_id(trimmed for serverfault).:8b&quo
浏览 0提问于2016-01-29得票数 0
回答已采纳
在最近更新了这一规则之后,我发现在Suricata发生了太多的事件:这很奇怪,因为它将所有数据包与IPIP协议(ip_proto:4)相匹配!为什么Suri
浏览 0提问于2020-07-08得票数 0
我目前正在学习IPS,并想知道一个适用于IPS工作方式的查询。我知道CSRF和XSS的攻击,但是我不确定入侵预防系统是否能够防止这些攻击,因为它的目的是阻止入侵,并且是在线/带内执行的。如果有人能给我进一步的澄清,那就太好了,谢谢
浏览 0提问于2021-05-04得票数 1
回答已采纳
我目前在Suricata中设置了以下DNS查询警报规则(用于测试目的):当它捕获包含单词"google“的DNS事件时触发,例如在此数据包中:
{"timestamp":"2017-06-08T15:5853553,"rcode":"NOERROR","r
浏览 0提问于2017-06-08得票数 0
回答已采纳
对于数据包规则测试,遗留的基于5元组的技术采用基于决策树、分解或硬件(通常是TCAM)的方法。pfSense防火墙使用什么特定技术来以最小的硬件需求根据规则测试数据包。由于规则通常由IPv4的5个元组定义,防火墙必须将每个传入的数据包和传输头字段与存储的规则集匹配。防火墙如何决定哪个规则与传入数据包匹配,或者阻止或保持线路速率?
浏览 0提问于2020-06-03得票数 0
回答已采纳
1回答
我试图替换索引的数组部分,以便将特定单元格中的任何内容匹配到任何列中。与图片中一样,我可以手动告诉索引/匹配,以检查G列,以查看要拉出的数字。实际的数据是几百列,没有特定的顺序,所以我想替换数组选择部分,而不是查看父字母(A或B或C),然后选择标题所在的列。
浏览 4提问于2020-08-07得票数 1
回答已采纳
3回答
有这么多具有互联网连接性的设备,我真的很想在任何应用程序或设备不安全地通信时都能发出警报。我将如何使用诸如OSSIM或Snort之类的东西来确定是否正在传递凭据。编辑:这是我的家庭网络设备的一个非常基本的模型。我的目标是想出一种方法,让安全洋葱虚拟机运行在我的个人电脑上,能够监控整个网络的所有流量。我不确定我是否需要/如何在网络上配置一个点击。我需要托管开关而不是非托管开关吗?下面是模型:https://www.lucidchart.com/documents/view/abc0cc81-dc4c-450
浏览 0提问于2014-10-04得票数 1
最新的Suricata增加了对base64_decode和base64_data ()的支持。另一方面,无法将规则仅应用于HTTP客户端体。
浏览 4提问于2019-09-10得票数 0
现在,让我们以一个防火墙应用程序为例,该应用程序具有一个规则配置文件和一个评估引擎,用于以特定的顺序评估这些规则,用于特定的输入;网络数据包的详细信息,如IP、子网、端口、域等。在不编写单元测试的情况下,我会考虑先编写一个解析器,将规则配置文件解析成类,然后编写一个规则引擎,将给定的网络数据包与这些类中的规则进行比较,按照解析的顺序逐步执行规则,直到找到匹配的规则。因此,在防火墙项目的情况下,您会从编写测试开始,通过
浏览 0提问于2013-08-28得票数 0
2回答
我需要确保数据包到达,并确保它们以正确的顺序到达。当你第一次连接到某件东西时,握手基本上是吗?(直到删除连接为止)假设我有连接的初始3包:SYN -> SYN-ACK -> ACK
假设一切进展顺利,砰,我们连在一起。我到底在这个消息包/数据报上附加了什么,以确保它的到达和到达顺序?
浏览 10提问于2021-01-08得票数 1
4回答
今天早些时候,我与一位开发人员进行了一次讨论,以确定在具有相同有效负载的特定接口上传出的TCP数据包。他告诉我,由于TCP数据包在系统级的构造方式,找到具有相同有效负载的TCP数据包的概率非常低(即使相同的数据发送了几次)。是否有任何特定的协议可以更容易地识别匹配的有效负载?
浏览 0提问于2008-09-17得票数 0
回答已采纳
列数据是特定的,顺序是正确的,但是行数据包含大量数据,并且与列的顺序不匹配。Columns: A, B, C
Rows: D=1, C=2, A=2, B=1, F=3 etc.
浏览 0提问于2014-01-14得票数 0
回答已采纳
2回答
我定义了以下规则:-A POSTROUTING -j SNAT -d 192.168.0.0/24 --to-source 192.168.0.6
基本上,我只想让专用网通过192.168.0.6。然而,只有一个网络工作。使用此配置,只有公共网络才能工作。有办法实现我想要的吗?
浏览 0提问于2015-02-03得票数 1
回答已采纳
在OpenFlow协议中,我们有一个流表(或多个流表)。switich中的每个流表包含一组流条目。每个流条目包含报头字段、计数器和一组要应用的指令或动作。指令类似于"add this action to action set“(write-actions指令)或"clear action set”(clear-actions指令),而动作类似于"output to port X“(output操作)或"drop this packet”(drop操作)。但是如何工作呢?流条目中到底是什么,是操作还是指令?或者两者都是?动作集到底是什么?有人能给我举个用这些术语的
浏览 2提问于2016-10-15得票数 3
6回答
使用TCP/IP协议时,如果客户端和服务器之间建立了连接,客户端发送到服务器的数据包是否始终按照发送的顺序接收?例如,如果客户端发送3个数据包A、B和C,服务器是否总是先接收A,然后接收B和C,或者服务器是否可以先接收C,然后接收A和B?
浏览 0提问于2012-01-09得票数 3
回答已采纳
云服务器
ICP备案
实时音视频
对象存储
云直播
腾讯云开发者
