Snort+scapy(一)

环境为ubuntu16.04虚拟机
snort用于入侵检测，有时候我们需要自定义一些报文用于测试，scapy可以方便的构造报文

pip install scapy

运行scapy

构造一个最简单的数据包,显示一下

pkt=Ether()/IP()/TCP()/"content"
pkt

接下来可以考虑构造一个ping数据包，试试ping百度

pkt=IP(dst='220.181.38.148')/ICMP()
sr1(pkt)

发送成功，并且可以看到收到了两个响应包

考虑用snort检测数据包，首先编写一条规则，加入到snort.conf的规则集中
这里我们针对检测一下dst为220.181.38.148的icmp数据包
因此规则可以编写为
alert icmp any any -> 220.181.38.148 any (msg:"ping alert!!!";sid:10000;)
注意每条规则后要编一个sid

使用snort检测，首先开启snort环境，之后sr1(pkt)发送ping包

可以看到snort已经检测到了ping包和响应包
接下来看一下alert文件是否有记录

sudo vi /var/log/snort/alert

目的地址为220.181.38.148的数据包触发了警报，检测成功

接下来可以以相似的方法构造其它数据包测试了

Snort+scapy(一)相关推荐

scapy windows install
最近有点扫描网络的需求,都说scapy好,但是安装是个事(当然指的是windows安装) 有个scapy3k,支持python3,可惜需要powershell,也就是说windows xp是没有戏了. ...
python中的数据包处理模块scapy调研笔记
Scapy简介 Scapy的是一个强大的交互式数据包处理程序(使用python编写).它能够伪造或者解码大量的网络协议数据包,能够发送.捕捉.匹配请求和回复包等等.它可以很容易地处理一些典型操作,比如 ...
snort源码的详细分析
前段时间由于工作关系,对snort入侵检测系统进行了仔细的研究,起初基本都是通过网上找的资料,对于snort系统的应用,原理,架构,配置,源码机构网上都可以找到比较详细的资料,我自己用vs2010编译 ...
Python scapy库监听网卡，抓取HTTP包
今天查阅了诸多资料,最后找到了一个最好用的,如下: from scapy.all import *stars = lambda n: "*" * ndef GET_print(pa ...
python scapy 函数_【python|scapy】sprintf输出时raw_string转string
最近在有python的scapy模块分析TCP报文,一直有一个关于转义字符的问题困惑着我,查找的很多资料后仍然百思不得其解,请大神指教. 请看代码: from scapy.all import * d ...
python 使用scapy创建arping脚本
以下程序均来自<Python.UNIX和Linux系统管理指南> 据说scapy是一个很厉害的东西使用的scapy版本为2.1.0,注意导入包的方式与原书略有差别 scapy_arpin ...
kali python3安装scapy库_Kali-Python scapy模块-扫描
Kali Python3环境安装scapy模块pip3 install scapy 本地网卡网段arp_scan脚本import logging import subprocess logging.g ...
SCAPY pcap文件数据分析 python3
import scapy from scapy.all import * from scapy.utils import PcapReaderif __name__ == "__main__ ...
Scapy脚本执行出现警告WARNING解决办法
2019独角兽企业重金招聘Python工程师标准>>> (转自:Scapy脚本执行出现警告WARNING解决办法) 安装完scapy,简单写了个脚本执行总是会警告一下: WARNIN ...

Snort+scapy(一)

Snort+scapy(一)相关推荐

最新文章

热门文章