【问题标题】:How to monitor packets using Snort features?如何使用 Snort 功能监控数据包?
【发布时间】:2015-06-22 12:19:13
【问题描述】:

我想为 iOS 应用程序创建一个网络入侵检测系统。主要功能是允许用户选择家庭网络(可能提示他们只需输入 IP 地址)并能够监控数据包,如果有任何可疑之处 - 我们需要通过推送通知或电子邮件提醒用户.我想使用开源网络入侵检测系统 Snort 的特性和功能。

任何建议,示例代码?!从哪里开始?

【问题讨论】:

    标签: ios objective-c network-programming ip-address snort


    【解决方案1】:

    VM 没有本机硬件访问权限,这是监控模式所必需的。也许 IOMMU PCI 直通或桥接设备可能会工作。很可能可以使用适用于无线网卡的模块来编译 iOS 内核。我不认为它是苹果专有的芯片,因为在 RF 中具有多重技术能力的芯片不会具有成本效益。我只是不确定文件系统是否会阻止操作系统框架中的访问或其他什么。我曾尝试使用 aircrack-ng 源在 shell 中本地编译 linux/iOS ARM 包,但没有任何运气。也许有人会更幸运地交叉编译一个包并以某种方式侧载它。

    【讨论】:

      【解决方案2】:

      在Johnjg12的cmets看来,我想知道你的目标。如果你想制作一个 NIDS,你可以让它独立于操作系统,无论如何。如果您只想考虑监控发往它的数据包的 HIDS,我们不需要它处于混杂模式(对 Johgj12 的响应的评论)。所以,现在它与 iOS 上的 Snort 有关。我想知道我们是否可以在 VM 上执行此操作,然后打开其混杂模式?话虽如此,我偶然发现了一个链接:https://www.securemac.com/macosxsnort.php

      【讨论】:

        【解决方案3】:

        我认为这是不可能的,原因有很多:

        1. 您将无法为 iOS 编译 snort。
        2. 为了运行 snort,您必须让接口 (NIC) 处于混杂模式,我真的认为您无法在 iOS 设备(iPhone、iPad 等)上执行此操作,但我从未真正研究过它,但出于安全目的,Apple 可能会将其锁定并对其进行限制,因此如果您能做到这一点,您可能必须先越狱设备。甚至连苹果笔记本电脑的wifi卡都无法进入监控模式,类似。
        3. snort 有很多依赖项,最重要的是 DAQ。您可能只能监控 wifi 接口(即使这可能不可能),而不是用于蜂窝网络的接口,因为这可能是与标准以太网网卡不同的数据采集卡。

        这很可能在 iOS 上是不可能的,如果是这样的话,实现起来会非常困难,即使你这样做了,用例也不是很好。即使您可以获得蜂窝卡的数据采集卡,我也不知道是否存在混杂模式以及是否确实存在蜂窝网络上的所有流量都已加密,因此使用 snort 进行检查将毫无意义。如果您可以为 wifi 流量做到这一点,那么老实说可能不值得付出努力,尤其是因为现在几乎所有流量都是加密的,您必须先对其进行解密,这当然是不可能的。

        【讨论】:

          猜你喜欢
          • 1970-01-01
          • 1970-01-01
          • 2016-09-21
          • 1970-01-01
          • 1970-01-01
          • 1970-01-01
          • 1970-01-01
          • 1970-01-01
          • 2021-04-13
          相关资源
          最近更新 更多