Snort

0x00 网络测绘角度下的C&C威胁分析 ​ 在日渐激烈的网络对抗中，伴随***手段的更新换代，远控为了满足需求随之发展，种类繁多，常见的远控有：Cobalt Strike、Metasploit Framework、Empire、PoshC2、Pupy等。 ​ 在常见的远控中，Cobalt Strike是熟知的***测试利器，功能十分强大，可扩展性强，从前期载荷生成、诱饵捆绑、钓鱼***到载荷植入目标成功后的持续控制、后***阶段都可以很好支持，几乎覆盖***链的各个阶段。并且支持多种上线方式，以及多种丰富的配置可以达到非常好的隐蔽效果。CS teamserver团队服务器又可以使众多CS客户端连上它，以进行团队协作。Metasploit Framework能够提供众多漏洞利用，这两款远控功能强大且容易上手，因此也是广大redteamer的必备武器。 ​ C&C作为全球范围红队的基础设施，长期部署在世界各个角落，如何通过探测C&C服务器成为了一个问题。传统的流量规则只能对小范围的C2设施进行识别，有一定的局限性。对于全网的资产识别，通过网络测绘来进行扫描识别C2会不会更全面呢？ 0x01 网络空间测绘 ​ 互联网在高速发展的今天，传统的网络安全大多面向局部安全未曾考虑整体全网环境下的网络安全，这样也造成了近年来***者频繁面向全网展开***

ELSA(全称：Enterprise Log Search and Archive)是一款基于syslog-ng（新一代日志收集器，但目前多数Linux发现版都不带此工具）、MySQL的开源级企业日志归档查询工具，由于它和Sphinx的完美搭配，支持全文索引可以像搜索Web一样轻松地搜索上亿个日志中的任意字符串（前提是你的服务器配置足够高）。单节点ELSA日志采集系统的工作原理图如下所示： 上面这张架构图可以看出ELSA从架构上分为三层： 日志接收器，由syslog-ng完成负责接收来自本地、网络以及导入的日志文件 日志存储索引，存储由MySQL数据库完成，索引由sphinx完成。 Web前端 。 ELSA利用syslog-ng的pattern-db解析器进行有效的日志规范化，并利用Sphinx全文索引进行日志搜索。系统内部API将查询结果汇总后，发送给客户端，整个系统是异步执行，可以跑多个查询。接收器syslog-ng在接收日志时并没有进行归一化处理（类比OSSIM-Agent插件），所以对日志的正则表达式计算量不大，可以在syslog-ng中保持高效的日志接收率，系统大部分有Perl脚本组成，MySQL每秒可插入100K行数据。Sphinx在索引中为新插入的行建立索引，每个2小时会重新建立一次永久索引。整个系统最大效率发挥时每秒钟可以处理100K条日志。

服务器安全问题，一直是大多数站长很关心却完全不知道该如何解决的。要不就是完全不设防的状态存着侥幸心理在“裸奔”，要不就是花钱让别人帮忙维护，还要确保找的人足够可靠。其实系统本身带有大量的安全工具和安全机制，只要合理的设置并利用他们，就可以防御大部分基础的攻击。比如selinux、snort和honeynet。 统一集中化管理工具 大多数互联网公司来说，服务器的数量相对较大，很多单机的工具就不太合适。这时候可以使用统一集中化的管理工具，有效的简化多台服务器的系统管理工作。Windows下可以用域，linux下可以用ldap，或者像Puppet、Func之类的工具。类似于木马一样，每一台服务器都装一个agent。 最小权限访问控制策略 比如网络访问控制，Windows可以使用IPSec、linux可以使用IPTABLES。针对游戏服务器，那么除了游戏端口，什么都不要让普通用户访问。而web应用就只开放80/443。文件权限控制，不要什么都777，对应在WIndows平台下，不要什么都是Everyone完全控制。 补丁与反病毒 这是大家都比较信赖的方案，但补丁防不住0day漏洞，杀毒软件也可以用免杀绕过（虽然在HIPS的围剿中正越来越难）。补丁和反病毒软件是一个基础必备却并不能依赖的方案。Windows下可以用WSUS进行补丁的部署，Linux下需要通过统一集中化管理工具来推送。

https://www.freebuf.com/articles/network/169632.html 0×01 概要 现在各个公司都有自己的SOC安全日志中心，有的是自己搭建的，有的是买厂商的，更多的情况是，各种复合类的的组织结构。这些日志来自不同的服务器，不同的部门五花八门。如果是买的设备，设备可能是一整套的方案，有自己的流理量监听与安全日志中心，但因为成本的原因，不能所有地方都都部署商业产品，必然会有自己的SOC系统，商业系统也不可能去监听分析，太边界的日志，处理起来也力不从心，首先本地化的数据不通用，商用产品也没法构建安全策略。开源和自己构建的系统可以高度的定制化，但与商业产品不能有机的结合，就没办法发挥最大效用。 0×02 需求分析 抛出问题，我们首先要收集各种日志，监听流量，让设备去发现流量中的威胁，我们来汇总报告数据，结合我们收集来的所有数据，去溯源，去发现更多的历史痕迹。内网安全和外网不一样的地方是，内网有各种日志和设备，采用什么方式取，什么方式存，用什么工具，可能都不统一。但总来说，我们主要的手段监听危险行为：1.分析流量；2.分析日志。 像tenable这种工具，就是提供了全栈系列的解决方案。 她会把流量中各种协议解析出来配合自己的策略报警，还提供了与外部系统交互的方式，syslog和rest api都是典型变互手段，paloato的IDS也一样

关于Snort snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。 安装配置Snort 下载安装包及规则：www.snort.org(下面我使用的安装包版本为2.9.16 x86，x64会有抓不到包的问题，规则包为snortrules-snapshot-29160) 提前安装Winpcap，因为snort需要基于Winpcap抓包的 安装Snort，默认选项一直单击下一步直至安装完成 在snort\bin目录下执行命令，查看snort信息，snort安装完成 snort -V 实现Snort的IDS功能 配置snort 下载规则库后解压 将preproc_rules，rules，so_rules替换到snort目录下，如下： 修改配置文件snort\etc\snort.conf var RULE_PATH ../rules var SO_RULE_PATH ../so_rules var PREPROC_RULE_PATH ../preproc_rules 修改为你的安装目录： # path to dynamic

可视化Snort报警 Snort默认输出报警内容存储在专门的报警文件里，由于没有专门的可视化界面，即使是专业的分析人员在查阅这些报警文件时非常不方便。大约在2000年，出现了ACID(Analysis Console for Intrusion Databases)这款工具,这也是最早的一款有关Snort报警可视化工具，再次之后还出现过Snorby开源可视化工具，由于他安装比较复杂又不是ACID分支，故在本文不做详细介绍。 第一代：ACID可视化效果** ACID出现年代比较久远当时的可视化效果非常弱，只有简单的柱状图显示。 图1 首次出现的ACID主界面 图2 改良之后的ACID主界面 第二代：BASE可视化效果 2003年ACID停止开发，进而演化出它的更新版本BASE，它提供了更强大的图形化分析和检索功能。不过BASE的生命终结于2011年，之后，BASE继续发展集成到OSSIM系统控制台中。 下面为大家介绍的BASE开源工具中就提供了将Snort报警数据通过图表(可以生成柱状图、折线图以及饼图)的方式展现给用户的功能。操作步骤如下： 步骤1：在BASE首页选择“Graph Alert Data”按钮 第三代：BASE升级版 BASE在2010年停止开发之后，将他升级版融入到OSSIM的仪表盘以及SIEM事件分析控制台当中，下面我们看看2011年出现的OSSIM 2

本课程介绍了IDS基础，重点讲解了Ubuntu、CentOS环境下的Snort安装配置包括数据存储数据展现的完整过程，而且从OSSIM安装故障讲起逐步涉及到OSSIM远程连接、添加插件并捕获事件、再到分布式环境部署。 URL: https://edu.51cto.com/topic/1987.html 来源： oschina 链接： https://my.oschina.net/u/4257044/blog/4326086

文章目录 7.8. 入侵检测 7.8.1. IDS与IPS 7.8.2. 常见入侵点 7.8.3. 监控实现 7.8.3.1. 客户端监控 7.8.3.2. 网络检测 7.8.3.3. 日志分析 7.8.4. 参考链接 7.8. 入侵检测 7.8.1. IDS与IPS IDS与IPS是常见的防护设备，IPS相对IDS的不同点在于，IPS通常具有阻断能力。 7.8.2. 常见入侵点 Web入侵 高危服务入侵 7.8.3. 监控实现 7.8.3.1. 客户端监控 监控敏感配置文件 常用命令ELF文件完整性监控 ps lsof … rootkit监控 资源使用报警 内存使用率 CPU使用率 IO使用率 网络使用率 新出现进程监控 基于inotify的文件监控 7.8.3.2. 网络检测 基于网络层面的攻击向量做检测，如Snort等。 7.8.3.3. 日志分析 将主机系统安全日志/操作日志、网络设备流量日志、Web应用访问日志、SQL应用访问日志等日志集中到一个统一的后台，在后台中对各类日志进行综合的分析。 7.8.4. 参考链接 企业安全建设之HIDS 大型互联网企业入侵检测实战总结 同程入侵检测系统 Web日志安全分析系统实践 Web日志安全分析浅谈 网络层绕过IDS/IPS的一些探索 上一篇： 下一篇： 来源： oschina 链接： https://my.oschina.net