DEV Community
·
TryHackMe:Snort挑战 - 实时攻击
💡
原文英文,约800词,阅读约需3分钟。
📝
内容提要
文章介绍了使用Snort检测和阻止暴力破解及反向Shell攻击的过程。通过嗅探流量识别攻击源,编写IPS规则进行阻止,成功后会在桌面生成标志文件。针对SSH暴力破解和Metasploit反向Shell攻击,分别创建了警报和丢弃规则。
🎯
关键要点
- 使用Snort检测和阻止暴力破解及反向Shell攻击的过程。
- 在嗅探模式下启动Snort以识别攻击源、服务和端口。
- 编写IPS规则并在IPS模式下运行Snort以阻止暴力破解攻击。
- 成功阻止攻击后,桌面上会生成标志文件。
- 针对SSH暴力破解创建警报和丢弃规则。
- 捕获流量并检查生成的日志文件以确认攻击。
- SSH服务使用TCP协议,端口为22。
- 对于反向Shell攻击,识别到端口4444的连接,表明可能使用Metasploit。
- 分析数据包内容,发现包含Base64编码的数据和恶意命令。
- 创建警报和丢弃规则以应对反向Shell攻击。
- 不专门阻止端口4444,以减少攻击面,允许任何端口进行监控。
❓
延伸问答
如何使用Snort检测暴力破解攻击?
首先在嗅探模式下启动Snort,识别攻击源、服务和端口,然后编写IPS规则并在IPS模式下运行Snort以阻止攻击。
Snort如何生成攻击成功阻止的标志文件?
成功阻止攻击后,Snort会在桌面生成一个标志文件,通常需要阻止流量至少一分钟。
针对SSH暴力破解攻击,Snort需要创建什么规则?
需要创建一个警报规则和一个丢弃规则,以检测和阻止来自可疑IP的SSH连接尝试。
如何识别反向Shell攻击的流量?
通过嗅探模式捕获流量,识别到端口4444的连接,并分析数据包内容,发现Base64编码的数据和恶意命令。
Snort在处理反向Shell攻击时的策略是什么?
Snort会创建警报和丢弃规则,但不专门阻止端口4444,以减少攻击面,允许监控任何端口。
在使用Snort时,如何确认攻击是否发生?
可以通过检查生成的日志文件,查看是否有大量可疑连接尝试来确认攻击是否发生。
➡️
