如何搭建属于自己内网全流量的IDS/IPS---第二篇
2022-11-18 00:6:36 Author: 每天一个入狱小技巧(查看原文) 阅读量:11 收藏

0x01 前言

接上片文“如何搭建属于自己内网全流量的IDS/IPS”上一篇文章介绍了如何利用suricata+arkime做内网全流量系统,目前只做到了记录suricata告警日志和arkime流量分析,只实现了ids入侵检测系统的功能,但是要作为IPS 入侵防御系统来用的话暂时还不能实现拦截的功能,这章介绍怎么作为IPS来使用实现阻断拦截的功能
0x02 部署位置
      家庭网络中,一般只有一个路由器,剩下的就是电脑等设备,使用网线连接路由器和主机终端,IPS部署位置一般选择串联,这样不用改变原来的网络结构,如下图

    大概就是这样串进去就行了,注:这里是选择的IPS模式,所以需要两个网卡,一进一出,Suricata将负责将数据包从一个接口复制到另一个接口。复制过程中过一遍内置规则集,发现命中则拦截阻断此流量

0x03 实验环境

注:surucata必须要有两网卡,一进一出,生产环境根据自己网络配置好,串进去就行,不然很容易网络风暴。。。。

     先将vmnet4的dhcp服务禁用,

攻击机和靶机的ip,可以看到攻击者和靶机并不是一个网段,但是当suricata启动之后,自身所带的两个网卡就会相互复制流量,这时候suricata的作用就会相当于一根网线,将靶机攻击机和靶机连接起来,攻击者就可以访问靶机了

     关于suricataips的配置可参考官网

    随便写条测试规则。因为现在是ips,所以动作要换成drop; alert 记录所有匹配的规则并记录与匹配规则相关的数据包;  drop ips模式使用,如果匹配到之后则立即阻断数据包不会发送任何信息

未启动suricata之前,攻击机不能访问靶机

启动suricata之后,靶机ip会发生变化,变成 和攻击者同网段的,随后攻击者可以访问靶机

根目录放置两个文件

攻击者访问baidu.php文件被拦截,ips规则生效

    本公众号发布的靶场、文章项目中涉及的任何脚本工具,仅用于测试和学习研究,禁止用于商业用途不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断;

     本文章、项目内场所有资源文件,杜绝任何靶本公众号、自媒体进行形式的擅自转载、发布

    本公众号对任何脚本及工具问题概不负责,包括不限于由任何脚本错误导致的任何损失或损害及任何法律责任;

    直接使用本或公众发布的技术、靶场、文章项目中涉及的脚本工具,但在某些行为不符合任何国家/地区或相关地区的情况下进行传播时,引发的隐私或其他任何法律问题的后果概不负责;

    如果任何单位或个人认为项目或文章的内容可能侵犯其权利,则应及时通知并证明其身份,证明我们将在收到证明文件后删除相关内容;

    以任何方式查看或使用此项目的人或直接或间接使用项目的任何脚本的使用者都应仔细阅读此声明;

     本公众号保留更改或补充,免责随时声明的权利;

    一旦您访问或使用访问本公众号任何项目,则视为您已接受此免责声明。

     您在本声明未发出之时,使用或者访问了本公众号任何项目 ,则视为已接受此声明,请仔细阅读。

                                                                                         此致

    由于、利用的信息而造成的任何或直接的此文传播后果,均由用户本人负责,作者不承担任何直接责任。

一切法律后果均由攻击者承担!!!

日站不规范,亲人两行泪!!!

日站不规范,亲人两行泪!!!

日站不规范,亲人两行泪!!!

专注于信息安全方面分享,非营利性组织,不接任何商业广告

关注不迷,点赞!关注!转向!评论!!

要投稿的请留言或者加微信,会第一时间回复,谢谢


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2MzYzNjEyMg==&mid=2247487013&idx=1&sn=9d22b8bc7bfe0b6de878a5936ed5c63d&chksm=ce74d1d0f90358c6e05e2367eada1f33df7b69d1ca4ad3d02f2984c2af11e7033a12ce67435f#rd
如有侵权请联系:admin#unsafe.sh