suricata规则编写-检测SYN-Flood攻击

最新推荐文章于 2025-05-26 16:10:15 发布
原创 最新推荐文章于 2025-05-26 16:10:15 发布 · 3.7k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何使用Kali工具hping3发起SYN泛洪攻击,并利用Suricata兼容Snort规则检测此类攻击。通过编写规则跟踪目标IP在30秒内超过15次的SYN标志位为1的TCP包,实现快速准确地识别SYN攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

步骤
  1. Kali虚拟机使用hping3发起SYN泛洪攻击,伪造随机地址。
  2. 利用flags标志和threshold关键字编写规则
  3. 测试
hping3发起SYN泛洪攻击

利用Kali工具hping3 发起SYN半连接泛洪攻击
SYN泛洪攻击

编写规则

suricata兼容snort规则,使用flags标志配合threshold编写规则,flags:S表示匹配SYN标志位为1的tcp包,根据dst进行跟踪,在30s内出现15个以上连接就发出告警。
在这里插入图片描述

测试

经过测试,可以快速检测出SYN攻击。
规则测试结果
ps:由于一开始使用伪造ip地址进行攻击,并在规则中track by_src,导致一直无法触发规则,因此编写规则的每一个字段都要经过考虑再写。。
另外,如果不使用flags:S标志,使用下列规则却无法匹配,原因未明:
匹配SYN标志位
(每个SYN握手包的第48个字节都是0x02,表示SYN=1,其他标志位为0,不管精准匹配还是扩大搜索范围匹配,都无法触发规则。。)

Suricata规则编写——常用关键字
Traxer的学习之路
03-31 1万+
1.简介现在的NIDS领域snort一枝独秀,而suricata是完全兼容snort规则的多线程IDS,无论在效率还是性能上都超过原有的snort,这个系列主要针对suricata规则中的一些关键字进行了解和学习,参考链接为:https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules2.基本关键字所
suricata规则编写-检测ssh爆破攻击
whime
05-22 4040
步骤: 1. 使用hydra攻击ssh服务器,利用tcpdump 抓包。 2. 编写suricata规则 3. 重放pcap包测试效果。 利用hydra和 tcpdump获取攻击流量包 在
Suricata规则编写
weixin_39003567的博客
03-05 3181
规则格式 Suricata规则包括以下三部分: action,action决定当signature匹配的时候会发生什么 header, 定义了协议,IP地址,端口和规则的位置 rule options, 定义规则细节 droptcp $HOME_NET any -> $EXTERNAL_NET any(msg:”ET TROJAN Likely Bot Nick in IRC (...
Suricata规则解析
最新发布
qq_36319965的博客
05-26 573
Suricata签名中的括号(…)内的参数包含各种选项和关键字修改器,你可以用它们来匹配数据包的特定部分,对规则进行分类,或记录自定义信息。规则的header参数是针对IP、端口和协议级别的数据包标题,而OPTIONS则是针对数据包中的数据进行匹配。Suricata是一款开源的网络威胁检测引擎,支持IDS(入侵检测系统)、IPS(入侵防御系统)和NSM(网络安全监控)功能。表示从任意IP、任意端口到192.168.1.10的80端口或192.168.1.10的80端口进行的任何流量会进行匹配。
suricata 检测规则编写
xuwaiwai的博客
09-11 5426
目录 规则规则行为,根据优先级排列: 协议: 源ip,目标ip: 源端口/目标端口: 流量方向: 规则体 msg: flow流匹配: flowbits : sameip源ip、目标ip检测: content内容匹配: 不区分大小写 nocase: 偏移位置 offset: 结束位置 depth: 在xx范围外 distance : 在xx范围内 within: 有效载荷大小 dsize: pcre正则 pcre: http修饰符: fast_pattern...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新Suricata规则,并将其保存在管理良好的数据库中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分: 文件README.md包含3个部分: 漏洞概述 概念验证(PoC)或换句话说,是恶意有效载荷的样本 参考 文件.rules拥有Suricata规则本身。 笔记 许多服务都在HTTPS上运行,但是Suricata无法分析加密的数据。 如果要使用Suricata检测HTTPS有效负载中的攻击者,则应为nginx等HTTPS设置反向代理,然后将HTTP转发到应用程序服务器,并在此HTTP流量上运行Suricata。 如果您不确
Suricata的官方规则库emerging-all.rules包含哪些方面的攻击规则
05-25
- 基于网络的攻击规则:这些规则旨在检测网络层、传输层和应用层协议中的各种攻击,如DDoS攻击SYN Flood攻击、DNS欺骗攻击等。 - 恶意软件攻击规则:这些规则旨在检测各种类型的恶意软件,如病毒、木马、间谍软件...
【Linux网络安全】Linux DDoS攻击原理剖析与防御策略:从流量型到资源耗尽型攻击的全面解析Linux DDoS
05-04
②掌握基于系统指标和专业工具的DDoS攻击检测方法;③学习并实施有效的Linux DDoS攻击防御策略,如配置防火墙、启用SYN Cookie等。 其他说明:随着科技的进步,未来的网络安全将面临更多挑战,但人工智能和机器学习...
网络入侵检测系统之Suricata(八)--Option实现详解
诗酒趁年华
03-08 451
【代码】网络入侵检测系统之Suricata(八)--Option实现详解。
网络安全必修课:专家教你如何全方位防御SYN flood攻击
![SYN flood C源代码]...进一步,本文还探讨了高级防御策略,包括自适应防御和分布式防御架构,以及基于AI的防御技术在攻击检测和异常流量识别中的应用。最后,通过端到端防御
网络安全-攻击流程-网络层
WhiteNebula的博客
02-13 797
网络层攻击危害极大,可能瘫痪整个网络基础设施。防御需结合协议加固、流量过滤和实时监控,同时遵循最小化暴露面的原则。企业应定期进行渗透测试和应急演练,提升对抗能力。
suricata规则Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
02-06
suricata规则Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
Suricata 新建规则
sinat_41915699的博客
04-20 1470
suiricata本身就支持很多规则,但是我们也可以自定义规则。根据官方文档,主要分为以下几个步骤。 1 新建local.rules规则文件 位置可以与suricata.yaml一致,也可以放到其他地方。最简单的规则如下 alert tcp any any -> any any (msg: "mytest"; sid:20210420;) 如果要建复杂规则,那么需要根据文档自己编写,支持协议的头内容分析,也支持协议携带的数据进行分析(content关键字)。 注意:每个规则的sid都是不一样的。 2
Suricata】03-Suricata 7.0.x 规则管理
Simo2024的博客
05-13 1941
本文介绍了Suricata开源规则库的更新、查看、启用、关闭、删除。具体规则的启用、禁用、修改、删除;以及如何在不重启suricata引擎的情况下,如何重新加载规则,给规则设置白名单等操作。
suricata
ice_rib的博客
03-26 1233
action决定当规则匹配的时候的行为。
suricata 开源工具学习-规则了解
qq_41167620的博客
01-24 1813
匹配信用卡号码: pcre:"/([0-6]\d\d|7[0-256]\d|73[0-3]|77[0-2])-\d{2} - \d{4} /";1. TTL:匹配指定的TTL指,可使用关系运算符(< , =, >),可以用来识别操作系统类型。针对检测http流量的规则Suricata提供了http流重组能力,同时提供了用于编写HTTP流量相关的更高效的规则修饰器。2. dsize:匹配一个指定payload大小的数据包,可使用关系运算符(< , =, >)
TCP SYN-Flood攻击解决办法分析
FeelTouch Labs
09-29 4158
What's SYN Flood? SYN Flood是一种非常危险而常见的Dos攻击方式。到目前为止,能够有效防范SYN Flood攻击的手段并不多, SYN Cookie就是其中最著名的一种。 SYN Flood攻击是一种典型的拒绝服务(Denial of Service)攻击。所谓的拒绝服务攻击就是通过进行攻击,使受害主机或 网络不能提供良好的服务,从而间接达到攻击的目的。 ...
suricata 开源工具学习-规则 关键字开发应用
qq_41167620的博客
01-22 1333
查看默认规则位置,打开suricata.yaml文件,找到rules部分,追加test.rules。这个规则的含义,数据包中存在连续ascll值http内容,且tcp首尾值10进制为104,110。suricata提供了组件式的开发方式,在SigTableSetup注册所有规则关键字。从上得出结论,每个检测关键字提供了三个检测功能,分别为数据包匹配,协议流匹配,和文件匹配。这个匹配接口实现,数据包负载部分首尾值匹配,匹配条件取决于规则中给出的首尾10进制内容。版本中使用,因为他是裁剪的所以我还是用主干。
Suricata之源代码(二)
qianligaoshan的专栏
04-11 1939
在前面我
suricata规则-开发自己的协议&规则suricata规则-开发自己的协议&规则关键字并生效_suricata规则编写关键字并生效_suricata规则编写
11-21
Suricata是一款强大的网络入侵检测系统(NIDS),允许用户自定义协议和规则检测特定的安全威胁。在Suricata规则篇中,开发者可以创建"新协议"和"规则集"来匹配定制的网络流量模式。 **开发自己的协议**: - 首先,你需要了解Suricata使用的结构化数据格式,如YARA或Snort的规则语法。 - 创建一个新的模块,这通常涉及到编写描述新协议头文件和解析函数。 - 使用`--define-module`命令行选项告诉Suricata加载这个新的模块。 **编写关键字并生效**: -规则中,你可以利用 Suricata 提供的条件表达式(比如 `tcp[tcpflags] & TCP_SYN == TCP_SYN`)来检测特定的数据包特征。 - 定义一个自定义的关键字或字符串模式,并通过 `alert` 或 `drop` 等动词使其生效,触发响应动作。 **规则编写示例**: ```yaml rule my_custom_rule: priority: 2 condition: alert when (ip.src == "my_server_ip" && tcp.dst_port == 8080) and (data contains "MY_CUSTOM_KEYWORD") ``` 在这里,如果从某个IP(`my_server_ip`)发往8080端口的数据包含你定义的关键词 `MY_CUSTOM_KEYWORD`,则会发出警告。 **相关问题--:** 1. 如何测试新编写Suricata规则是否有效? 2. 如何将自定义规则集成到Suricata的日志或警报系统中? 3. 如果有多个自定义协议,如何避免规则冲突?
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值