Singidunum64/snort-custom-rules
GitHub: Singidunum64/snort-custom-rules
一个在 Kali Linux 上构建的 Snort 自定义 IDS 规则项目,配套测试用例、PCAP 文件与自动化脚本,用于演示和验证入侵检测规则的编写与实战效果。
Stars: 0 | Forks: 0
# Snort 自定义规则检测项目
此仓库包含一系列自定义的 Snort IDS 规则,旨在检测各种恶意活动,例如扫描、暴力破解尝试和基于 payload 的攻击。在 Kali Linux 上构建和测试。
## 项目结构
- `rules/` — 包含:
- `custom.rules`:所有自定义检测规则。
- `test_cases/` — 每个测试规则的 Markdown 文件及准确的步骤。
- `scripts/` — 包含辅助脚本,例如用于轻松启动 Snort 的 `run_snort.sh`。
- `logs/` — Snort 输出日志。
- `archived_alerts/`:供参考的旧警报备份。
- `pcaps/` — 用于重放和测试的抓包文件。
- `screenshots/` — 每条规则触发的警报的视觉证据。
- `snort.conf` — 自定义 Snort 配置文件。
- `report.md` — 关于规则、覆盖范围和关键学习内容的高级摘要。
- `README.md` — 本文件。
- `LICENSE` — MIT 许可证文件。
## 如何运行
### 🔹 选项 1:通过脚本运行
```
sudo bash scripts/run_snort.sh
```
### 🔹 选项 2:使用 Snort 手动运行
```
sudo snort -c /home/kali/snort-custom-rules/snort.conf -i lo -l /home/kali/snort-custom-rules/logs -A fast
```
## 前置条件
- Kali Linux(或兼容的 Linux 发行版)
- 已安装 Snort
- 拥有抓取流量和写入日志的权限
## 附加信息
- 在 `rules/custom.rules` 中添加新规则
- 使用相同的 markdown 模板在 `test_cases/` 中编写测试步骤
- 将检测截图存储在 `screenshots/` 中
- 在 `logs/archived_alerts/` 中查看以前的警报
- 使用 `pcaps/` 中的 PCAP 来模拟流量
## 许可证
本项目基于 MIT 许可证授权 — 有关详细信息,请参阅 `LICENSE` 文件。
## 联系方式
如有任何疑问或贡献,请[提交一个 issue](https://github.com/Singidunum64/snort-custom-rules/issues) 或访问[我的 GitHub 主页](https://github.com/Singidunum64)。
标签:安全运营, 应用安全, 扫描框架, 红队行动, 网络安全, 防御加固, 隐私保护