开源验证引擎下载

Suricata 验证引擎

版本:7.0.8

仅支持规则验证、小流量分析、命令行操作


《验证工具使用说明.pdf》 在线阅读

大流量验证引擎下载

唐槐网络审计系统

支持规则验证、大流量深入分析、图形界面配置

报文回放工具下载

报文回放工具

支持PCAP文件回放、流量测试

包含ftp-sql注入和web-sql注入报文文件

规则示例

Apache Log4j RCE 检测规则

alert tcp any any -> any any (msg:"Apache Log4j RCE Attempt"; 
    content:"${jndi:"; nocase; 
    content:"ldap:"; distance:0; within:5; nocase; 
    content:"//"; distance:0; within:3; 
    reference:url,https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228; 
    sid:100001; rev:1;)
已复制

SQL 注入检测规则

alert tcp any any -> any 80 (msg:"SQL Injection Attempt"; 
    flow:established,to_server; 
    content:"union select"; nocase; 
    content:"insert into"; nocase; distance:0; within:100; 
    content:"delete from"; nocase; distance:0; within:100; 
    http_uri; 
    sid:100002; rev:1;)
已复制

规则关键字参考

更多
关键字 分类 描述 示例
content
 负载匹配

在数据包中搜索指定的字符串
content:"password=";
nocase
 负载匹配

使content匹配不区分大小写
content:"admin"; nocase;
distance
 负载匹配

指定两个content之间的距离
distance:0;
http_uri
 头部匹配

在HTTP请求的URI部分进行匹配
http_uri;
http_method
 头部匹配

匹配HTTP请求方法
http_method; content:"POST";
flow
 选项设置

设置流状态和方向
flow:established,to_server;
sid
 选项设置

规则唯一标识符
sid:100001;
alert
 动作设置

生成警报
alert tcp any any -> any any;
drop
 动作设置

丢弃数据包
drop tcp any any -> any any;
msg
 元数据

规则描述信息
msg:"SQL Injection Attempt";
reference
 元数据

引用外部参考信息
reference:url,https://cve.mitre.org/;
within
 负载匹配

指定内容必须在指定的字节范围内
within:10;
北京唐槐科技有限公司 提供技术支持和维护 | 邮箱:service@tangsec.com | 电话:010-69733080 | 备案号:京ICP备2024088861号-3