suricata備忘錄

原創 PKICA 2023-12-07 14:00

spm: single pattern match

mpm: multi pattern matcher

bm: boyer moore

hs: hyperscan

ppt: packet processing thread

cidr: classless inter-domain routing, such as a.b.c.d/x

tsap: transport service access point

scada: supervisory control and data acquisition

 

協議:

opc: ole for process control/Microsoft opcua/tcp/started bytes/ opcda/dcerpc/started bytes/modbus: /port 502/Schneider rtu: remote terminal unit ascii tcps7comm: /port 102/*(base + 7) == 0x32/Siemens tpkt: cotp: connection-oriented transport protocol ed: 0x1, expedited data ea: 0x2, expedited data acknowledgement ud: 0x4, user data rj: 0x5, reject dr: 0x8, disconnect request dc: 0xC, disconnect confirm cc: 0xD, connect confirm cr: 0xE, connect request dt: 0xF, data rosctr: remote operating service controlbacnet/ip: building automation and control networks/udp/port 47808/ISO standards bvlc: bacnet virtual link control npdu: bacnet network layer apdu: bacnet application layer bbmd: bacnet/ip broadcast management deviceethernet-ip: /ODVA cip: common industrial protocol/tcp/port 44818 cip i/o: /udp/port 2222iec: International Electrotechnical Commission iec60870-5: 101: basic telecontrol tasks 104: network access for iec60870-5-101 iec104: /tcp/port 2404/*base == 0x68/ apdu: application protocol data unit apci: application protocol control information cf1: first control field i-format: information transfer format/cf1 == 0/variable length s-format: numbered supervisory functions/cf1 == 01/fixed length u-format: unnumbered control functions/cf1 == 11/fixed length asdu: application service data unit sq: structure qualifier cot: cause of transmission oa: originator address ioa: information object address siq: single point of information diq: double point information sco: single command dco: double command rco: regulating step command vti: value with transient state indication sva: scaled value coa: common address of asdu 102/電量 103/保護 iec61850: smv: iec61850-9-2 goose: 通用變電站事件 sntp: 時間同步 acsi: abstract service communication interface mms: manufacturing message specification/port 102/ tpkt cotp vmd: virtual manufacturing device gsse: 通用變站狀態事件dnp3: distributed network protocol/port 20000/resembles iec60870-5 FT3 rtu: remote terminal unit ied: intelligent electronic device iccp: inter-control center communications protocol data link layer prm: primary fcb: frame count bit fcv: frame count valid bit dfc: data flow control bit application layer apci: application protocol control information fir: first fragment fin: final fragment con: expect a confirmationfins: /tcp/port 9600/

 

 

分析pcap文件

#--runmode singlesuricata -c /path/to/suricata.yaml -r /path/to/sample.pcap --runmode autofp

plc protocol in https://github.com/wireshark/wireshark/tree/master

Siemens S7 /epan/dissectors/packet-s7comm.c 西門子PLC支持的通訊協議 MMS(IEC61850) /asn1/mms 輸配電通訊協議 GOOSE(IEC61850) /asn1/goose 輸配電通訊協議 SV(IEC61850) /asn1/sv 輸配電通訊協議 Modbus /epan/dissectors/packet-mbtcp.c 工控標準協議 OPC DA /epan/dissectors/packet-dcom.c 工控標準協議 FF HSE /epan/dissectors/packet-ff.c 基金會現場總線以太網通信協定 IEC 104 /epan/dissectors/packet-iec104.c 輸配電通訊協議 Ethernet POWERLINK /epan/dissectors/packet-epl.c 開放式實時以太網通信 OPC UA /plugins/opcua/opcua.c OPC新一代標準 HART-IP /epan/dissectors/packet-hartip.c 高速可尋址遠程傳感器協議 CoAP /epan/dissectors/packet-coap.c 輕量應用層協議 Omron FINS /epan/dissectors/packet-omron-fins.c 歐姆龍PLC支持的通訊協定 openSAFETY /epan/dissectors/packet-opensafety.c 開源安全應用協議 EGD(Ethernet Global Data) /epan/dissectors/packet-egd.c GE Fanuc爲PLC開發的通訊協定 DNP3 /epan/dissectors/packet-dnp.c 分佈式網絡協議,主要用於電力行業 Sinec H1 /epan/dissectors/packet-h1.c 西門子PLC支持的通訊協議 Profinet /plugins/profinet/ 開放式的工業以太網通訊協定 EtherCAT /plugins/ethercat/ 德國Beckhoff公司推動的開放式實時以太網通訊協定 SERCOS III /epan/dissectors/packet-sercosiii.c 實時以太網通訊協定 RTPS /epan/dissectors/packet-rtps.c 實時流傳輸協議 TTEthernet /epan/dissectors/packet-tte.c 實時以太網通訊協定 CDT /dissectors/packet-cdt.c 遠動規約 EtherNet/IP /epan/dissectors/packet-etherip.c 工業通訊協定(Industrial Protocol),是一種CIP的實現方式,由羅克韋爾自動化公司所設計 CIP /epan/dissectors/packet-cip.c 通用工業協定 CIP Safety /epan/dissectors/packet-cipsafety.c 安全通用工業協定 DeviceNet /epan/dissectors/ packet-devicenet.c 一種CIP的實現方式,由Allen-Bradley公司所設計 BACnet /epan/dissectors/packet-bacnet.c 樓宇自動控制網絡數據通訊協議 KNXnet/IP /epan/dissectors/packet-knxnetip.c 住宅和樓宇控制標準 Lontalk /epan/dissectors/packet-lon.c 埃施朗公司的LonWorks技術所使用的通訊協議 CANopen /epan/dissectors/packet-canopen.c 控制局域網通訊協定 SAE J1939 /epan/dissectors/packet-j1939.c 一種CAN的變種,適用在農業車輛及商用車輛 USITT DMX512-A /epan/dissectors/packet-dmx.c 燈光控制數據傳輸協議 BSSAP/BSAP /epan/dissectors/packet-bssap.c 由Bristol Babcock Inc發展的通訊協定 Gryphon /plugins/gryphon 車用通訊協定 ZigBee /epan/dissectors/packet-zbee.h 開放式的無線通訊協定

 

摘自:http://euhat.com/wp/2021/08/05/suricata%E5%A4%87%E5%BF%98%E5%BD%95/

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

10分鐘搞定Mysql主從部署配置

流程 Master數據庫安裝 Slave數據庫安裝 配置Master數據庫 配置Slave數據庫 網絡信息 Master數據庫IP:192.168.198.133 Slave數據庫IP:192.168.198.132 配置Maste

zer0black 2024-05-17 14:31:12

無法AC,關於使用fgets碰到的問題——末尾多一個換行符

題目是輸入一串字符串,包含空格,裏面有多個單詞,將每個單詞翻轉輸出,並且單詞之間的空格要與原文一致。 寫的時候沒有使用string的輸入,而是選擇了char數組的輸入。 樣例測試hello world->olleh dlrow是沒有問題的,

Danlis 2024-05-17 14:30:52

lightdb秒級增加列和刪除列(not null帶默認值)

  對數據量過億的大表而言,dba最頭疼的是隨着業務變化增加帶默認值的字段,以及修改字段的數據類型,在實現不好的數據庫中,動不動執行半天,中途失敗的話,還會卡半天。這在lightdb中是不會發生的。如下所示: lightdb@oradb=

zhjh256 2024-05-17 14:28:42

lightdb mysql 8.0兼容之不可見主鍵

  數據庫設計通常需要滿足一定的範式要求,其中主鍵更是最基本的要求。不過,數據庫管理系統卻允許我們創建沒有主鍵的表。這樣的表在數據庫中會帶來查詢性能低下、複製延遲甚至無法實現高可用配置等問題。   爲此,lightdb在22.1版本引入了一

zhjh256 2024-05-17 14:28:42

lightdb數據庫超時相關控制參數

  在業務開發中,通常因爲代碼不規範、中間件缺陷、DBA誤提交批量SQL等原因,會導致服務端連接一直存在、但是實際上並未在執行的情況,從而導致數據庫連接泄露。爲了防止這種異常情況積壓,lightdb中包含了多個參數用於控制超時相關的行爲:

zhjh256 2024-05-17 14:28:42

如何使用 JS 判斷用戶是否處於活躍狀態

有時候,我們需要在網頁判斷用戶是否處與非活躍狀態,如果用戶長時間沒有在頁面上進行任何操作,我們則判定該用戶是非活躍的。 在 javascript 中我們可以通過監聽某些鼠標或鍵盤相關的事件來判定用戶是否在活躍中。 案例演示 在線演示 - 使

劉漢貴 2024-05-17 14:26:51

使用 JS 實現在瀏覽器控制檯打印圖片 console.image()

在前端開發過程中,調試的時候,我門會使用 console.log 等方式查看數據。但對於圖片來說,僅靠展示的數據與結構,是無法想象出圖片最終呈現的樣子的。 雖然我們可以把圖片數據通過 img 標籤展示到頁面上,或將圖片下載下來進行預覽。但這

劉漢貴 2024-05-17 14:26:51

基於Ubuntu-22.04安裝K8s-v1.28.2實驗(四)使用域名訪問網站應用

安裝負載均衡metalb 安裝metalb kubectl create namespace metallb-system 配置metalb #kubectl create secret generic -n metallb-system

hiningrise 2024-05-17 14:25:27

Flink的State

    有狀態的計算是流式計算框架的一個重要功能,很多複雜的計算場景都需要記錄一下相關的狀態。Flink State一種爲了滿足算子計算時需要歷史數據需求的,使用 checkpoint 機制進行容錯,存儲在 state backend 的數

人不瘋狂枉一生 2024-05-17 14:23:00

ASP.NET Core Web中使用AutoMapper進行對象映射

前言 在日常開發中,我們常常需要將一個對象映射到另一個對象,這個過程中可能需要編寫大量的重複性代碼,如果每次都手動編寫,不僅會影響開發效率,而且當項目越來越複雜、龐大的時候還容易出現錯誤。爲了解決這個問題,對象映射庫就隨之而出了,這些庫可以

追逐時光 2024-05-17 14:22:00

第四節:MySQL主從集羣搭建、擴容與數據遷移、半同步複製詳解

一.                二.                三.                  ! 作       者 : Yaopengfei(姚鵬飛) 博客地址 : http://www.cnblogs.com

Yaopengfei 2024-05-17 14:21:40

RDLC降低使用內存

在Winform使用RDLC時,在批量打印情況下,內存隨着打印任務的數量逐漸增加。即便手動GC效果也不明顯。 原因: localReport在創建時,每個實例都是一個應用程序域。租約的過期時間比較久,按照網上的資料,過期時間大約10分鐘左右

煙臺西炮臺 2024-05-17 14:21:20

❤️‍🔥 Solon Cloud Event 新的事務特性與應用

1、Solon Cloud Event? 是 Solon 分佈式事件總線的解決方案。也是 Solon “最終一致性”分佈式事務的解決方案之一 2、事務特性 事務?就是要求 Event 有原子性,當多個 Event 發佈時,要麼全成功,要麼

劉之西東 2024-05-17 14:21:09

AI-FastGPT安裝

最近開始體驗FastGPT知識庫問答系統,參考官方文檔,在自己的阿里雲服務器使用Docker Compose快速完成了部署。 環境說明:阿里雲ECS,2核8G,X86架構,CentOS 7.9操作系統。 Docker與Docker-Com

2018 2024-05-17 14:14:58

matlab練習程序(線性常微分方程組矩陣解)

之前有通過ode和simulink解線性常微分方程組。 除了上面兩種方法,線性常微分方程組還可以通過矩陣的方法求解。 比如下面這個之前使用的方程組: x'' = x' - x + y' -z' y'' = y' - y - x' z'' =

Dsp Tian 2024-05-17 14:11:07