Nebula é um gerador de assinaturas de intrusão totalmente automatizado. Ele pode ajudar a proteger uma rede calculando automaticamente as regras de filtragem de vestígios de ataque. Em uma nebulosa configuração comum é executado como um daemon e recebe ataques de honeypots. As assinaturas são actualmente publicados em formato bufo.
O código foi escrito para ser rápido. A assinatura não é de muito valor, se o processo de geração leva horas ou dias. Com nebulosa, você deve obter uma primeira revisão dentro de alguns segundos. À medida que mais ataques do tipo foram submetidos, assinaturas ficar melhor e nebulosa vai publicar revisões atualizadas.
A assinatura abaixo foi gerado pelo nebulosa para downloads de FTP durante ataques em várias fases.
tcp alerta any any -> $ HOME_NET 8555 (msg: ". regra nebulosa 2.000.001 rev 1";
content: "cmd /"; offset: 0; profundidade: 5;
content: "echo aberto"; distância: 1; dentro de: 17;
content: ">> ii & eco do usuário 1 1 >> ii & eco obter"; distância: 13; dentro de: 70;
content: ">> ii & echo >> bye ii & ftp -n -v -s: ii & del ii &"; distância: 2; dentro: 107;
sid: 2000001; rev: 1;)
Nebulosa gerado com êxito assinaturas para a entrada de Honeytrap e Argos. Alimentando-o com a entrada de outras fontes não deve ser muito difícil, no entanto. O arquivo contém código de um cliente de linha de comando que envia dados a partir de arquivos para um servidor nebulosa. Seu código também pode ser tomado como uma implementação de referência para a parte do lado do cliente de protocolo de apresentação da nebulosa.
Compilando nebulosa
Instalando nebulosa é fácil. Basta seguir as instruções nesta página. Primeiro baixe a última versão do SourceForge:
wget http://downloads.sourceforge.net/nebula/nebula-0.2.2.tar.bz2
Agora descompactar o arquivo e mude para o diretório extraído:
tar xjf nebulosa-0.2.2.tar.bz2 && cd nebulosa-0.2.2
Execute o script de configuração para criar uma configuração para sua plataforma. Se você deseja instalar nebulosa em um local específico, use a opção --prefix como no exemplo abaixo:
./configure --prefix = / opt / nebulosa
Para finalmente construir e instalar tipo nebulosa:
sudo make && make install
Isso instala a nebulosa comandos e nebulaclient in / opt / nebulosa / bin / (ou o local que você escolheu ao chamar configure). Agora, verifique a sua configuração, executando nebulosa:
$ / Opt / nebulosa / bin / nebulosa
Nebulosa 0.2.2 Copyright (C) 2007-2008 Tillmann Werner
Aviso - Nenhum segredo apresentação dada.
[*] Pronto.
Se você ver a saída acima, a instalação foi bem sucedida. Para eliminar o aviso, use o switch de linha de comando -s para definir um segredo utilizado para apresentações. Nebula pode ser interrompida a qualquer momento pressionando Ctrl + C
O que é novo nesta versão:.
- Um limiar de entropia bug foi corrigido.
- controle da linha de sinal em tempo real está habilitado somente se ele estiver disponível.
- BSD mudanças de compatibilidade foram feitas.
- A máquina padrão e porta em nebulaclient foi corrigido.
Comentários não encontrado