0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

如何利用IPS实现阻断拦截的功能呢

哆啦安全 来源:每天一个入狱小技巧 2023-01-08 11:35 次阅读

0x01前言

接上片文“如何搭建属于自己内网全流量的IDS/IPS”上一篇文章介绍了如何利用suricata+arkime做内网全流量系统,目前只做到了记录suricata告警日志和arkime流量分析,只实现了ids入侵检测系统的功能,但是要作为IPS 入侵防御系统来用的话暂时还不能实现拦截的功能,这章介绍怎么作为IPS来使用实现阻断拦截的功能

0x02 部署位置

家庭网络中,一般只有一个路由器,剩下的就是电脑等设备,使用网线连接路由器和主机终端,IPS部署位置一般选择串联,这样不用改变原来的网络结构,如下图

4eae74c6-8e59-11ed-bfe3-dac502259ad0.png

大概就是这样串进去就行了,注:这里是选择的IPS模式,所以需要两个网卡,一进一出,Suricata将负责将数据包从一个接口复制到另一个接口。复制过程中过一遍内置规则集,发现命中则拦截阻断此流量

0x03 实验环境

4ecc4910-8e59-11ed-bfe3-dac502259ad0.png

注:surucata必须要有两网卡,一进一出,生产环境根据自己网络配置好,串进去就行,不然很容易网络风暴。。。。

4ee74238-8e59-11ed-bfe3-dac502259ad0.png

先将vmnet4的dhcp服务禁用,

4ef99b68-8e59-11ed-bfe3-dac502259ad0.png

攻击机和靶机的ip,可以看到攻击者和靶机并不是一个网段,但是当suricata启动之后,自身所带的两个网卡就会相互复制流量,这时候suricata的作用就会相当于一根网线,将靶机攻击机和靶机连接起来,攻击者就可以访问靶机了

关于suricataips的配置可参考官网

4f1d7ac4-8e59-11ed-bfe3-dac502259ad0.png

随便写条测试规则。因为现在是ips,所以动作要换成drop;alert 记录所有匹配的规则并记录与匹配规则相关的数据包; drop ips模式使用,如果匹配到之后则立即阻断数据包不会发送任何信息

4f37a8b8-8e59-11ed-bfe3-dac502259ad0.png

未启动suricata之前,攻击机不能访问靶机

启动suricata之后,靶机ip会发生变化,变成 和攻击者同网段的,随后攻击者可以访问靶机

4f5e3da2-8e59-11ed-bfe3-dac502259ad0.png

根目录放置两个文件

4f7b1670-8e59-11ed-bfe3-dac502259ad0.png

攻击者访问baidu.php文件被拦截,ips规则生效

4f8b9838-8e59-11ed-bfe3-dac502259ad0.png






审核编辑:刘清

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • IDS
    IDS
    +关注

    关注

    0

    文章

    27

    浏览量

    16152
  • 路由器
    +关注

    关注

    22

    文章

    3728

    浏览量

    113701
  • IPS
    IPS
    +关注

    关注

    1

    文章

    83

    浏览量

    35582

原文标题:如何搭建属于自己内网全流量的IDS/IPS

文章出处:【微信号:哆啦安全,微信公众号:哆啦安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    HarmonyOS实战开发-如何在Navigation中完成路由拦截

    Navigation路由拦截案例,即可直接进入主页,不需要重复登录。 点击主页的\"退出登录\"按钮,退出案例,此时点击Navigation路由拦截案例需重新登录。 实现思路 1、在路由模块增加
    发表于 05-08 14:21

    发送接收功能阻断

    我设置一些I2C通信(虽然,快速阅读的UART和SPI组件、数据表我认为类似的问题可能存在过),我通过API的困惑。似乎所有的发送/接收功能阻断。有没有启动传输功能,让硬件跟它在速度较慢的I2C
    发表于 04-12 14:00

    变频电源的反向阻断是什么

    中港扬盛变频电源的IGBT,提供反向阻断能力。此功能需要在各个应用,如在电流源逆变器,谐振电路,的双向switchesor矩阵转换。当集电极鼓施加一个反向电压时,就会受到反向偏压控制,耗尽层会关断向
    发表于 11-16 08:27

    怎样利用stm32的定时器来实现定时功能

    怎样利用stm32的定时器来实现定时功能?其相关代码该怎样实现
    发表于 11-24 07:47

    如何利用printf函数来实现STM32串口打印的功能

    STM32串口常规的打印方法有哪几种?如何利用printf函数来实现STM32串口打印的功能
    发表于 12-01 06:33

    如何利用软件模拟的方法去实现串口收发的功能

    如何利用软件模拟的方法去实现串口收发的功能?串口收发有哪几种通讯方式
    发表于 12-14 06:31

    如何利用PyAudio库来实现pzh-py-speech的音频播放和录制功能

    pzh-py-speech的主要功能是什么?如何利用PyAudio库来实现pzh-py-speech的音频播放和录制功能
    发表于 12-23 09:45

    如何利用DMA方式去实现串口的转发功能

    如何利用DMA方式去实现串口的转发功能利用DMA方式实现串口转发
    发表于 01-27 07:55

    如何利用shineblink core开发板去实现温湿度测量功能

    shineblink core开发板的库函数有何功能?如何利用shineblink core开发板去实现温湿度测量功能
    发表于 02-23 06:39

    IPS/EPD/FFS,IPS/EPD/FFS是什么意思

    IPS/EPD/FFS,IPS/EPD/FFS是什么意思     IPS(In Plane Switching平面控制模式)广视角技术的最大卖点就是它的两极都在同一个面上,
    发表于 03-27 10:53 6339次阅读

    利用API拦截技术实现串口通信数据拦截

    文中介绍了API 拦截技术的基本原理和应用框架,研究了实现拦截Windows API 函数的一种方法,最后详细说明了利用此法实现串口通信数据
    发表于 05-13 15:51 24次下载
    <b class='flag-5'>利用</b>API<b class='flag-5'>拦截</b>技术<b class='flag-5'>实现</b>串口通信数据<b class='flag-5'>拦截</b>

    美军使用萨德系统在14次测试中第14次成功实现拦截成功拦截,你们怎么看?

    美国国防部导弹防御局11号宣布,美军当天使用“萨德”反导系统拦截中程弹道导弹的测试获得成功。这是“萨德”反导系统在14次测试中第14次成功实现拦截,也是该系统首次测试拦截中程弹道导弹。
    发表于 07-13 10:43 1247次阅读

    基于射频的精确阻断技术分析

    对于入侵防御设备而言,有效的通讯阻断方式作为抑制攻击的有效方式,是不可或缺的。在有线网络中,阻断多数由串行接入网络的网关设备来完成,阻断的方法主要通过丢弃数据报文来实现。在具体
    发表于 11-14 09:52 0次下载
    基于射频的精确<b class='flag-5'>阻断</b>技术分析

    springmvc 自定义拦截实现未登录用户的拦截

    springmvc自定义拦截实现未登录用户的拦截
    发表于 11-25 14:44 2519次阅读
    springmvc 自定义<b class='flag-5'>拦截</b>器<b class='flag-5'>实现</b>未登录用户的<b class='flag-5'>拦截</b>

    使用go语言实现一个grpc拦截

    在开发grpc服务时,我们经常会遇到一些通用的需求,比如:日志、链路追踪、鉴权等。这些需求可以通过grpc拦截器来实现。本文使用go语言来实现一个 grpc一元模式(Unary)拦截
    的头像 发表于 12-18 10:13 656次阅读
    使用go语言<b class='flag-5'>实现</b>一个grpc<b class='flag-5'>拦截</b>器