入侵检测——dmitry
目录
- 环境介绍
- 工具简介
- 数据包
- 1:(-p参数)端口扫描
- 2:(-i参数)whois查询ip
- 3:(-w参数)whois查询域名
- 规则汇总
环境介绍
NAT模式:
- kali攻击方
- win7受害者
工具简介
DMitry(Deepmagic Information Gathering Tools 深度信息收集工具)是一个linux下用C语言写的工具。它能够尽可能的获取指定主机目标的信息。基础功能是获取目标的子域名,Email地址,运行时间相关信息,tcp端口,whois信息等等。
用法:dmitry [-winsepfb] [-t 0-9] [-o %host.txt] host
-o 将输出保存到%host.txt或由-o文件指定的文件
-i 对主机的IP地址执行whois查找
-w 对主机的域名执行whois查找
-n 在Netcraft.com上检索主机信息
-s 搜索的子域
-e 搜索可能的电子邮件地址
-p 在主机上执行TCP端口扫描
* -f 在显示输出报告过滤端口的主机上执行TCP端口扫描
* -b 读取从扫描端口接收的横幅
* -t 0-9 设置扫描TCP端口时的TTL(默认值2)
* 以上3个选项需要传递-p选项
数据包
1:(-p参数)端口扫描
dmitry -p 192.168.239.130
注意到,此数据包与入侵检测——nc(扫描篇)介绍到的nc的TCP扫描数据包极为相似,只是options字段略有不同。同时,在扫描方式上,建立完整的三次握手之后,就发送Fin+Ack开始断开连接(同nc)
得出规则:
alert tcp any any -> any any (msg:"dmitry -p参数端口扫描"; flags:S; window:64240; tcp.option:"|02 04 05 b4 04 02 08 0a 40 ce|"; dsize:0; detection_filter:track by_src,count 100,seconds 5; metadata:service check-ports; sid:10; rev:1;)
特别注意:在这一个数据包的多条对话中,会发现tcp.option是存在部分变化的!
由于snort不识别tcp.option关键字,移除之后,snort可以正常告警
2:(-i参数)whois查询ip
dmitry -i 39.156.69.79
规则很简单,直接根据数据流的内容,选一段进行匹配即可
alert tcp any any -> any any (msg:"dmitry -i参数扫描"; flow:to_client; content:"The objects are in RPSL format"; metadata:service check-ports; sid:11; rev:1;)
3:(-w参数)whois查询域名
追踪流仅一条,对响应的内容选取一段进行匹配即可
得出规则:
alert tcp any any -> any any (msg:"dmitry -w参数扫描"; flow:to_client; content:"please visit https|3a 2f 2f|icann.org"; metadata:service check-ports; sid:12; rev:1;)
规则汇总
alert tcp any any -> any any (msg:"dmitry -p参数端口扫描"; flags:S; window:64240; tcp.option:"|02 04 05 b4 04 02 08 0a 40 ce 1d bc 00 00 00 00 01 03 03 07|"; dsize:0; detection_filter:track by_src,count 100,seconds 5; metadata:service check-ports; sid:10; rev:1;)
alert tcp any any -> any any (msg:"dmitry -i参数扫描"; flow:to_client; content:"The objects are in RPSL format"; metadata:service check-ports; sid:11; rev:1;)
alert tcp any any -> any any (msg:"dmitry -w参数扫描"; flow:to_client; content:"please visit https|3a 2f 2f|icann.org"; metadata:service check-ports; sid:12; rev:1;)
入侵检测——dmitry相关推荐
- 基于机器学习的入侵检测系统
导 语 在过去十年中,机器学习技术取得了快速进步,实现了以前从未想象过的自动化和预测能力.随着这一技术的发展促使研究人员和工程师为这些美妙的技术构思新的应用.不久,机器学习技术被用于加强网络安全系统. ...
- 网络入侵检测规避工具fragrouter
网络入侵检测规避工具fragrouter 网络入侵检测系统可以通过拦截数据包,获取内容进而判断是否为恶意数据包.对于传输较大的数据包,通常会采用分片的方式,将大数据包拆分为小数据包进行传输.如果入侵检 ...
- linux 入侵检测
最近遇到了很多服务器被入侵的例子,为了方便日后入侵检测以及排查取证,我查询了一些linux服务器入侵取证的相关资料,并在此总结分享,以便日后查询. 一般服务器被入侵的迹象,包括但不局限于:由内向外发送 ...
- 浅谈大型网络入侵检测建设
博文作者:xti9er[TSRC] 发布日期:2013-07-10 阅读次数:7063 博文内容: 一.前言 伊朗2010年被报出核工厂遭受"超级工厂"(Stuxnet)病毒攻击, ...
- [转载]基于数据挖掘技术入侵检测系统研究
[--- 资料是从免费网站上获取的,上载在这里,只为交流学习目的,文章原作者保留所有权力, 如本博客的内容侵犯了你的权益,请与以下地址联系,本人获知后,马上删除.同时本人深表歉意,并致以崇高的谢意! ...
- Libnids库-网络入侵检测的基础框架
1.Libnids介绍: Libnids(library network intrusion detection system)是网络入侵检测开发的专业编程接口,实现了网络入侵检测系统的基本框架,提 ...
- 专门入侵检测linux叫什么,入侵检测系统分析及其在Linux下的实现(上)
一.入侵检测系统分析 1.1 什么是入侵检测系统 所谓入侵,是指任何试图危及计算机资源的完整性.机密性或可用性的行为.而入侵检测,顾名思义,便是对入侵行为的发觉.它通过从计算机网络或系统中的若干关键点 ...
- SNORT入侵检测系统
0x00 一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:"Web Access"; sid:1) ale ...
- 检查数据报:防火墙和入侵检测系统
当攻击者知道我们的IP地址范围后,可以很方便地在此范围种发送IP数据报进行寻址.这些数据报能够做各种不正当地事情.例如用ping搜索和端口扫描形成我们的网络图:用恶意分装使易受攻击的主机崩溃:用纷至沓 ...
最新文章
- 索引存储和散列存储(哈希)的区别吧
- HTTP 代理如何正确处理 Cookie
- Struts2 表单和非表单标签
- 新浪微博、腾讯微博、QQ空间、人人网、豆瓣 一键分享API
- 从真实项目中抠出来的设计模式——第二篇:过滤器模式
- java dsp_GitHub - Onemeaning/JavaDsp: 数字信号处理(DSP)方面的Java封装,包含常用的一些处理方法,如滤波、信号变换等等。...
- 轴只显示5个刻度_告别大象腿,迎接魅力美腿,变身女王你只需5个方法
- KNIME二次开发的环境配置安装过程
- 东风畅行java_东风畅行载货车为何可以口碑很好吗?是配置高?或者另有原因?...
- 【elasticsearch】elasticsearch 搜索结果的含义
- 模板的实例化和具体化
- 【android】关于android10-11存储的一些知识
- 弱电工程综合布线施工过程控制
- 问答WAP版重新改版上线
- Excel中将汉字(名字)转换为拼音
- 应用概率统计(陈魁)第十一章(回归分析)部分课后答案
- axure怎么制作聊天页面
- 为什么计算机连不上无线网络,笔记本为什么连不上无线网|笔记本电脑无法连接WiFi的多种解决方法...
- #NI卸载修复工具,可以解决安装过程中出现“应用程序的安装程序可能已损坏”的问题。
- Unity Shader 实现简单的压扁效果