个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我正在尝试在 Python 中使用正则表达式从 snort 警报文件中解析出源、目标(IP 和端口)和时间戳。示例如下:
03/09-14:10:43.323717 [**] [1:2008015:9] ET MALWARE User-Agent (Win95) [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 172.16.116.194:28692 -> 205.181.112.65:80
我有 IP 的正则表达式,但由于 IP 中的端口,它无法正确触发。如何将端口与 IP 分开?
^\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}$
最佳答案
这应该从整行中提取必要的部分:
r'([0-9:./-]+)\s+.*?(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}):(\d{1,5})\s+->\s+(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}):(\d{1,5})'
看这个例子:
In [22]: line = '03/09-14:10:43.323717 [**] [1:2008015:9] ET MALWARE User-Agent (Win95) [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 172.16.116.194:28692 -> 205.181.112.65:80'
In [23]: m = re.match(r'([0-9:./-]+)\s+.*?(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}):(\d{1,5})\s+->\s+(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}):(\d{1,5})', line)
In [24]: m.group(1)
Out[24]: '03/09-14:10:43.323717'
In [25]: m.group(2)
Out[25]: '172.16.116.194'
In [26]: m.group(3)
Out[26]: '28692'
In [27]: m.group(4)
Out[27]: '205.181.112.65'
In [28]: m.group(5)
Out[28]: '80'
关于python - 使用正则表达式解析 Snort 警报文件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38170253/
25
4
0
我在 Centos 上作为 IDS 运行了 snort。我正在尝试测试 snort 是否可以检测到 syn flood 攻击。我从同一个 LAN 网络发送攻击。我在 local.rules alert
菜鸟警报!我已经在一台服务器“a”上安装了 snort。我在同一个网络上还有两台服务器 b 和 c。我创建了一个测试 icmp 规则 `alert icmp any any -> $HOME_NET
尝试编写一个阻止系统(使用其 IP)访问特定网站的 snort 规则,到目前为止一直在尝试。 alert tcp any any <> 'ipaddress' any (content: "web u
每当有人访问类似结构的 URL 时,我想在 snort 中生成一个事件 site/year2015.pdf site/year2014.pdf : : site/year2000.pdf 我考虑使用
已结束。此问题正在寻求书籍、工具、软件库等的推荐。它不满足Stack Overflow guidelines 。目前不接受答案。 我们不允许提出寻求书籍、工具、软件库等推荐的问题。您可以编辑问题,以便
我试图在 CentOS 6.4 上测试 snort 2.9.4,但在控制台上看不到任何警报。我使用以下命令运行它: snort -i eth2 -c/etc/snort/snort.conf eth2
我有一个带有 snort 设置的新实例。当我试图查看警报日志时,我注意到该目录没有/var/log/snort/alert 文件。我试图触摸这个文件并通过 chmod 为我的 snort 用户提供读写
我正在尝试在 Python 中使用正则表达式从 snort 警报文件中解析出源、目标(IP 和端口)和时间戳。示例如下: 03/09-14:10:43.323717 [**] [1:2008015:
我在创建 snort makefile 时收到此错误消息? /usr/bin/ld: /usr/local/lib/libpcre.a(pcre_compile.o): relocation R_X8
我必须部署基于 Snort 的入侵防御系统。 我在这方面完全是新手,所以任何形式的帮助,对于初学者的引用将不胜感激。 snort 文档还讨论了 Honeynet Snort Inline Toolki
我目前正在为一个项目测试 Snort IDS,我遵循了 Snort 2.9.5.3 安装指南。我在正确配置 http_inspect 以便它发出流量警报时遇到问题。 Snort 正在监控的(虚拟)网络
我知道如何使用编写的动态规则配置和运行 snort。 我知道一些处理阶段,如解码、预处理器、动态规则匹配、输出插件等。 我使用 snort 作为内联模式。我想知道从数据包到 snort 到数据包被传送
我目前正在尝试使用 Raspberry Pi。我正在运行 Snort,这是一种数据包检测软件。在 Snort 发出警报的情况下,我想执行一个 (Python) 脚本。 Snort 在树莓派上执行如下:
我不明白为什么以下规则没有检测到内容“unescape”: alert tcp any any -> any any (msg:"example 1";flow:to_client,establi
最近我用 OpenWRT 替换了我的路由器操作系统,并在上面安装了 snort(2.9): opkg install snort 我在 /etc/snort/rules/local.rules 中唯一
我为 snort 安装了 barnyard2,但是当我运行下面的命令时出现这个错误。 [root@localhost snort]# barnyard2 -c /etc/snort/barnyard2
我那里有问题。我已在 CentOS 7 服务器上安装了 Snort,并希望使用 PulledPork 作为规则源。非常基本的东西... 配置的 PulledPork 配置: # What path y
我正在使用“snort_inline”并且我转发了所有使用的数据包iptables 到 QUEUE 以便 snort_inline 可以接他们根据规则进行检查和丢弃/警报。但是“Snort”在内联模式
我需要 Regex 向导的帮助。我正在尝试编写一个简单的解析器,它可以标记 Snort 规则(Snort,IDS/IPS 软件)的选项列表。问题是,我似乎无法找到一个可行的公式来根据终止分号将各个规则
是否有任何 Java API 或类可以在 Java 代码中使用,从而无需使用 Snort 日志文件即可实时检测 Snort 警报?换句话说,Snort 是否可以发送可由服务器进程接收的警报,而不是将它
我是一名优秀的程序员,十分优秀!