Nebula è un generatore di firma intrusione completamente automatizzato. Può aiutare garantire una rete calcolando automaticamente le regole di filtrazione prodotti dal attacco tracce. In una nebulosa situazione comune viene eseguito come un demone e riceve attacchi da honeypot. Le firme sono attualmente pubblicati in formato sbuffo.
Il codice è stato scritto per essere veloce. Una firma non è di molto valore se il processo di generazione richiede ore o giorni. Con nebulosa, si dovrebbe ottenere una prima revisione nel giro di pochi secondi. Man mano che vengono presentate più attacchi di natura, le firme migliorano e nebulosa pubblicheranno revisioni aggiornate.
La firma in calce è stato generato da nebulosa per download FTP durante gli attacchi a più stadi.
alert tcp any any -> $ HOME_NET 8555 (msg: ". Regola nebulosa 2000001 rev 1";
content: "cmd /"; offset: 0; Profondità: 5;
content: "echo aperto"; distanza: 1; all'interno: 17;
content: ">> ii & eco utente 1 1 >> ii & eco ottenere"; distanza: 13; all'interno: 70;
content: ">> ii & eco bye >> ii & ftp -n -v -s: ii e del ii &"; distanza: 2; all'interno: 107;
sid: 2000001; rev: 1;)
Nebula generato correttamente le firme per l'ingresso da Honeytrap e Argo. Alimentazione con ingresso da altre fonti, non dovrebbe essere molto difficile, però. L'archivio contiene un codice client a riga di comando che invia i dati da file su un server nebulosa. Il suo codice può anche essere preso come una implementazione di riferimento per la parte lato client del protocollo presentazione della nebulosa.
Compilazione nebula
Installazione nebulosa è facile. Basta seguire le istruzioni in questa pagina. Prima scaricare l'ultima versione da sourceforge:
wget http://downloads.sourceforge.net/nebula/nebula-0.2.2.tar.bz2
Ora decomprimere l'archivio e spostatevi nella directory estratta:
tar xjf nebula-0.2.2.tar.bz2 && cd nebula-0.2.2
Eseguire lo script di configurazione per creare una configurazione per la propria piattaforma. Se si desidera installare nebulosa in una posizione specifica, utilizzare l'opzione --prefix come nell'esempio qui sotto:
./configure --prefix = / opt / nebulosa
Per costruire finalmente e installare tipo nebulosa:
make && sudo make install
Questo consente di installare la nebulosa comandi e nebulaclient in / opt / nebulosa / bin / (o la posizione scelta quando si richiama configure). Ora controllare la configurazione da nebulosa eseguendo:
$ / Opt / nebulosa / bin / nebulosa
Nebula 0.2.2 Copyright (C) 2007-2008 Tillmann Werner
Attenzione - Nessun segreto presentazione dato.
[*] Ready.
Se si vede l'uscita sopra, l'installazione è stata eseguita correttamente. Per eliminare l'avviso, utilizzare lo swith riga di comando -s per definire un segreto utilizzato per la presentazione. Nebula può essere interrotta in qualsiasi momento premendo Ctrl + C
Cosa c'è di nuovo in questa versione:.
- Una soglia di entropia bug è stato corretto.
- Controllo filo del segnale in tempo reale è abilitata solo se è disponibile.
- sono state apportate modifiche di compatibilità BSD.
- L'host di default e la porta in nebulaclient è stato fissato.
I commenti non trovato