将Snort IDS与Webcrawler结合使用
将Snort IDS与Webcrawler结合使用
提问于 2014-09-13 18:26:21
我完全是Snort IDS软件和IDS概念的新手,我需要知道是否可以使用Snort来检测隐形-恶意-网络爬虫!换句话说,我可以定义snort规则来检测恶意网络爬虫吗?!!
回答 1
Stack Overflow用户
发布于 2014-10-10 10:47:06
这是一个相当模糊的问题,但总的来说,答案可能是肯定的。您在数据包中看到的任何内容都可以通过snort发出警报/丢弃。因此,如果您看到一些东西,并且知道它是恶意的,那么很可能会为它编写一个snort规则。例如,如果您知道某个特定的用户代理是恶意的,并且正在web crawler中使用,则可以通过在http_header中创建与该用户代理匹配的规则来阻止该用户代理。以下是来自社区规则集的一个示例规则,它阻止已知的恶意用户代理"Brutus AET":
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"BLACKLIST User-Agent known Malicious user agent Brutus AET"; flow:to_server,established; content:"Mozilla|2F|3.0 |28|Compatible|29 3B|Brutus|2F|AET"; fast_pattern:only; http_header; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop, ruleset community, service http; reference:url,sectools.org/tool/brutus; classtype:misc-activity; sid:26558; rev:3; )以及来自社区规则集的第二个示例规则,用于警告已知的恶意用户代理字符串core-project:
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"BLACKLIST User-Agent known malicious user-agent string core-project"; flow:to_server, established; content:"User-Agent|3A 20|core-project"; fast_pattern:only; http_header; metadata:policy balanced-ips drop, policy security-ips drop, ruleset community, service http; classtype:misc-activity; sid:21475; rev:3; )困难的部分是区分“正常”网络爬虫和恶意网络爬虫。但是,一旦你发现一个你知道是恶意的,你很可能可以使用snort来阻止它,这可能不是很困难,你只需要在流量中找到一个可以提醒的独特模式。
如果您有任何尝试使用snort拦截的恶意web爬虫的特定示例,请发布详细信息。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/25822267
复制相关文章
相似问题
腾讯云开发者
