snort怎么检测代理服务器
时间: 2023-10-09 12:09:45 浏览: 119
查找代理服务器
4星 · 用户满意度95%
Snort可以使用一些规则来检测代理服务器。其中一种方法是使用以下规则:
alert tcp any any -> any any (msg:"PROXY SERVER DETECTED"; content:"Proxy-Connection|3a 20|keep-alive"; classtype:trojan-activity; sid:1000001;)
这个规则会检测客户端和服务器之间的TCP流量,如果发现包含“Proxy-Connection: keep-alive”指令的报文,就会触发警报,提示代理服务器的存在。
另一种方法是使用快速模式(fast pattern),具体规则如下:
alert tcp any any -> any any (msg:"PROXY SERVER DETECTED"; flow:to_client; content:"|0d 0a|Proxy-Connection|3a 20|"; fast_pattern:only; classtype:trojan-activity; sid:1000002;)
这个规则会在TCP流量中使用快速模式查找“Proxy-Connection:”指令,如果发现就触发警报。
但是,需要注意的是,这些规则可能会误报,所以需要人工确认。
阅读全文