一、實(shí)驗(yàn)準(zhǔn)備

1.1 實(shí)驗(yàn)要求

SHA256（Secure Hash Algorithm 256-bit）是一種密碼學(xué)哈希函數(shù)，用于計(jì)算數(shù)據(jù)的哈希值。每個(gè)文件使用一個(gè)哈希算法只會(huì)有一個(gè)確定的哈希值。

1.2?虛擬機(jī)配置

被感染主機(jī)設(shè)置為ubuntu22.04，虛擬機(jī)IP地址為192.168.88.142

二、打開.pcap文件的流程

2.1 用root賬號(hào)登錄虛擬機(jī)

原因：避免wireshark奇怪報(bào)錯(cuò)

2.2 查看文件類型和使用命令行計(jì)算SHA256哈希值

?2.2.1在終端執(zhí)行 file命令查看文件類型

file malware.pcap 

2.2.2計(jì)算該文件的SHA256

shasum -a 256 malware.pcap 

得到哈希值為68bdbde81313644728076c1f1dd4c3106d08a3bb428269d3866ee29520f2fb62

額外知識(shí)：在windows里使用SHA256計(jì)算哈希值

 CertUtil -hashfile "I:\virtual_machine_linux\virtual_machine\ubuntu_polyos\Ubantu_polyos-disk1.vmdk" SHA256

把文件拖到"" 內(nèi)會(huì)自動(dòng)出現(xiàn)路徑

2.3?用wireshark打開.pcap文件

2.3.1 什么是.pcap文件

全稱叫做packet capture，即抓到的包，被導(dǎo)出來，形成文件，文件就是.pcap格式，哈哈哈不是那種導(dǎo)出來。

2.3.2 在linux中打開.pcap文件

直接進(jìn)入文件夾，找到目標(biāo)文件，然后選擇用wireshark打開

2.2

在導(dǎo)出http報(bào)文之前，先停止抓包

三、 安裝snort

使用以下代碼安裝snort

sudo apt-get update
sudo apt-get install -y snort

出現(xiàn)這個(gè)界面，是選擇監(jiān)聽的網(wǎng)絡(luò)塊，保持默認(rèn)，使用方向鍵，然后點(diǎn)擊OK

使用以下代碼查看snort是否安裝成功

snort -V

可以看到snort安裝成功

四、 重點(diǎn)關(guān)注malware.pcap中的HTTP流量

參考以下鏈接學(xué)習(xí)如何導(dǎo)出可疑流量，然后放入檢查網(wǎng)站檢測(cè)是否是病毒

Wireshark Tutorial: Exporting Objects from a Pcap

4.1 篩選出http的請(qǐng)求流量

4.2 導(dǎo)出http的請(qǐng)求流量

4.3 選擇全部導(dǎo)出

4.4 選擇保存位置

4.5 通過VirusTotal鑒別文件是否是病毒

網(wǎng)站：VirusTotal

可以看到眾多病毒檢測(cè)網(wǎng)站都認(rèn)為這個(gè)文件是一個(gè)病毒文件

4.6 回過頭來再分析

這個(gè)時(shí)候我們看到，看似他是一個(gè).pdf，實(shí)則是一個(gè)可執(zhí)行文件

它的SHA256值：f25a780095730701efac67e9d5b84bc289afea56d96d8aff8a44af69ae606404

五、使用Snort來篩選病毒

5.1 將規(guī)則保存為一個(gè)文本文件，例如example.rules，并放在snort的規(guī)則目錄中，例如/etc/snort/rules/

5.2 在snort的配置文件中，例如/etc/snort/snort.conf，添加一行來引用規(guī)則文件，例如include $RULE_PATH/example.rules

5.3 重啟snort服務(wù)或重新加載snort配置，以使規(guī)則生效。

sudo systemctl restart snort
sudo snort -c /etc/snort/snort.conf -A console # 重新加載snort配置并在控制臺(tái)顯示警報(bào)

5.4 設(shè)置配置文件和監(jiān)聽網(wǎng)卡

sudo /usr/sbin/snort -d -l /var/log/snort/ -c /etc/snort/snort.conf -i ens33

上面的代碼多了一個(gè)?-d?參數(shù)。這個(gè)參數(shù)的作用是讓 Snort 以?數(shù)據(jù)包轉(zhuǎn)儲(chǔ)?模式運(yùn)行

使用ens33是因?yàn)槲业哪J(rèn)網(wǎng)卡是ens33

運(yùn)行后監(jiān)聽網(wǎng)卡ens33

可以通過ctrl+c來停止監(jiān)聽

5.5 讀取malware.pcap

參考視頻https://www.youtube.com/watch?v=RUmYojxy3Xw

在執(zhí)行第二條指令之前，先打開一個(gè)終端，用以下命令跟蹤alert文件日志的最后幾行，然后再打開一個(gè)終端，執(zhí)行第二條指令，這樣就可以很清晰的看到變化。

tail -f -n 5 /var/log/snort/snort.alert.fast

sudo /usr/sbin/snort -d -l /var/log/snort/ -c /etc/snort/snort.conf -r /home/itheima/snort/malware.pcap 

操作界面如圖所示

輸出的結(jié)果如圖所示，snort會(huì)幫忙掃描.pcap包中的協(xié)議類型，然后根據(jù)rules，給出相應(yīng)的alert

可以見到上圖中的virus detected ,是咱們?cè)?.1 部分設(shè)置的規(guī)則，檢測(cè)到由HOME_NET之外的網(wǎng)絡(luò)發(fā)入HOME_NET之內(nèi)的TCP請(qǐng)求，其content包含"pdf"即在日志中生成alert msg "virus detected"。文章來源地址http://www.zghlxwxcb.cn/news/detail-764227.html

六、 選做部分

到了這里，關(guān)于國科大網(wǎng)絡(luò)協(xié)議安全大作業(yè)——分析流量并使用Snort規(guī)則進(jìn)行檢測(cè)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！