我完全是 Snort IDS 软件和 IDS 概念的新手,我需要知道是否可以使用 Snort 检测隐形恶意网络爬虫!换句话说,我可以定义 snort 规则来检测恶意网络爬虫吗?!!
问问题
1307 次
1 回答
0
这是一个非常模糊的问题,但总的来说答案可能是肯定的。您可以在数据包中看到的任何内容都可以通过 snort 发出警报/丢弃。因此,如果您看到某些东西并且知道它是恶意的,那么您很可能会为它编写一个 snort 规则。例如,如果您知道某个特定的用户代理是恶意的并且被用于网络爬虫,您可以通过在 http_header 中创建一个匹配该用户代理的规则来阻止该用户代理。这是社区规则集中的一个示例规则,它阻止已知的恶意用户代理“Brutus AET”:
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"BLACKLIST User-Agent known Malicious user agent Brutus AET"; flow:to_server,established; content:"Mozilla|2F|3.0 |28|Compatible|29 3B|Brutus|2F|AET"; fast_pattern:only; http_header; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop, ruleset community, service http; reference:url,sectools.org/tool/brutus; classtype:misc-activity; sid:26558; rev:3; )
还有来自社区规则集中的第二个示例规则,用于警告已知的恶意用户代理字符串 core-project:
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"BLACKLIST User-Agent known malicious user-agent string core-project"; flow:to_server, established; content:"User-Agent|3A 20|core-project"; fast_pattern:only; http_header; metadata:policy balanced-ips drop, policy security-ips drop, ruleset community, service http; classtype:misc-activity; sid:21475; rev:3; )
困难的部分是区分“正常”网络爬虫和恶意网络爬虫。但是一旦你发现一个你知道是恶意的,你很可能可以使用 snort 来阻止它,而且这可能不是很困难,你只需要在可以发出警报的流量中找到一个独特的模式。
如果您有任何试图用 snort 阻止的恶意网络爬虫的具体示例,请发布详细信息。
于 2014-10-10T02:47:06.443 回答