我完全是Snort IDS软件和IDS概念的新手,我需要知道是否可以使用Snort来检测隐形恶意网络爬虫。换句话说,我可以定义snort规则来检测恶意网页抓取工具吗?!!
答案 0 :(得分:0)
这是一个相当含糊的问题,但总的来说答案可能是肯定的。您可以使用snort警告/删除在数据包中可以看到的任何内容。因此,如果您看到某些内容并且您知道它是恶意的,那么您很可能会为它编写一个snort规则。例如,如果您知道特定用户代理是恶意的并且正在Web爬网程序中使用,则可以通过创建规则来阻止该用户代理,以匹配http_header中的该用户代理。以下是社区规则集中阻止已知恶意用户代理“Brutus AET”的示例规则:
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"BLACKLIST User-Agent known Malicious user agent Brutus AET"; flow:to_server,established; content:"Mozilla|2F|3.0 |28|Compatible|29 3B|Brutus|2F|AET"; fast_pattern:only; http_header; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop, ruleset community, service http; reference:url,sectools.org/tool/brutus; classtype:misc-activity; sid:26558; rev:3; )
来自社区规则集的第二个示例规则,用于警告已知的恶意用户代理字符串核心项目:
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"BLACKLIST User-Agent known malicious user-agent string core-project"; flow:to_server, established; content:"User-Agent|3A 20|core-project"; fast_pattern:only; http_header; metadata:policy balanced-ips drop, policy security-ips drop, ruleset community, service http; classtype:misc-activity; sid:21475; rev:3; )
困难的部分是区分“普通”网络抓取工具和恶意工具。但是一旦你发现一个你知道的是恶意的,你很可能会使用snort阻止它,它可能不会很困难,你只需要在流量中找到一个可以被警告的独特模式。
如果您有任何特定的恶意网络爬虫示例,您尝试使用snort阻止发布详细信息。