统计
  • 建站日期:2022-01-17
  • 文章总数:3980 篇
  • 评论总数:14511条
  • 分类总数:43 个
  • 最后更新:1天前

Suricata IDS入侵检测系统

首页 综合教程 正文
广告
广告
广告
广告

Suricata

Suricata是一个免费的、开源的网络入侵检测系统(IDS)、入侵预防系统(IPS)和网络安全监控工具。它可以对网络流量进行实时分析和检测,并提供了丰富的规则库,可用于检测各种恶意行为,例如漏洞利用、恶意软件、网络扫描等。Suricata具有高性能、多线程处理、可扩展性强等特点,适用于大规模网络环境。同时,Suricata还支持多种协议解析,包括TCP、UDP、ICMP、HTTP等,可用于对不同类型的网络流量进行深度检测和分析。

安装

1 在 CentOS/RHEL 系统上

yum -y install epel-release yum-plugin-copr
yum -y copr enable @oisf/suricata-7.0
yum -y install suricata

2 在 Ubuntu/Debian 系统上

添加 Suricata 仓库(可选,但推荐使用官方仓库以获得最新版本)
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata

本篇文章主要已centos 为主

  • Suricata主程序目录:/usr/sbin/suricata
  • Suricata核心配置目录:/etc/suricata/
  • Suricata日志目录:/var/log/suricata/
  • Suricata附属程序目录:/usr/bin

安装完成后,运行:

/usr/sbin/suricata --build-info

配置

1 配置 Suricata:Suricata的配置文件位于/etc/suricata/suricata.yaml。你可以根据需要编辑此文件,配置Suricata的规则、日志路径、接口等。

sudo vim /etc/suricata/suricata.yaml

2 请仔细阅读配置文件并根据你的网络环境进行相应的配置。

# 全局配置
vars:
  address-groups:
    HOME_NET: "[192.168.0.0/16, 10.0.0.0/8]" 注意修改网段

# 接口配置
interfaces:
  - interface: eth0 # 注意修改
    enabled: yes
    promisc: no

# 日志输出配置
outputs:
  - fast:
      enabled: yes
      filename: fast.log

# 规则配置 注意与下面提到规则配置路径相对应
default-rule-path: /etc/suricata/rules
rule-files:
  - suricata.rules

# 检测引擎配置
detection:
  engine-analysis-frequency: 16
  cluster-type: cluster_flow

配置规则集

1 下载规则集(可选):Suricata使用规则集来检测网络流量中的威胁。你可以从Suricata官方网站或其他提供规则的地方下载规则。将规则文件放置在配置文件中指定的规则路径下。

1:https://rules.emergingthreats.net/open/suricata-5.0/rules/

image.png

根据你的需求下载相应的规则集,这里我们下载 emerging.rules.zip

2 下载好之后解压到

/etc/suricata/rules/rules/

3 修改配置文件加载规则

1 vim /etc/suricata/suricata.yaml
2 修改default-rule-path 如下图修改为规则所在目录,可以配置多个

使用

1 启动 Suricata:

suricata -c /etc/suricata/suricata.yaml -i ens192

启动成功 告警暂时忽略

2 查看日志 /var/log/suricata

suricata日志文件包含了系统运行时所记录的各种事件和信息。以下是一些常见的 Suricata 日志类型及其说明:

  1. eve.json: 这是 Suricata 最常用的日志格式,以 JSON 格式记录事件信息,包括网络流量、警报、HTTP 请求等。该日志文件通常用于分析网络活动和检测潜在的安全威胁。
  1. http.log: 记录 HTTP 请求和响应的信息,包括请求方法、URL、来源地址、目的地址、状态码等,有助于分析 Web 流量和检测恶意活动。fast.log: 这个日志文件记录了 Suricata 检测到的快速事件,比如简单的流量匹配、流量流向等信息。

  2. stats.log: 该日志文件包含有关 Suricata 运行状态和性能的统计信息,如吞吐量、警报数量、流量量等。

  1. tls.log: 记录与 TLS/SSL 加密通信相关的信息,如握手过程、加密套件、证书信息等,有助于监控加密流量并检测可能的安全问题。

  2. dns.log: 记录 DNS 查询和响应的信息,包括查询类型、域名、IP 地址等,有助于分析 DNS 流量和检测潜在的恶意域名。

  3. suricata.log 文件是 Suricata 的运行日志,记录了 Suricata 启动、运行和关闭过程中的各种信息。这包括配置加载、规则文件处理、错误消息、警告以及其他诊断信息。


Suricata 的日志输出和详细程度可以通过编辑配置文件 suricata.yaml 中的相应部分来调整。例如,你可以启用或禁用特定类型的日志,或者调整Eve日志中记录的事件类型和详细程度。

版权说明
文章采用: 《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权。
版权声明:本站资源来自互联网收集,仅供用于学习和交流,请勿用于商业用途。如有侵权、不妥之处,请联系客服并出示版权证明以便删除!
购买支付逻辑漏洞-数据篡改
« 上一篇 04-20
内网自签发https 证书
下一篇 » 04-20

发表评论

  • 泡泡
  • 阿呆
  • 阿鲁
  • 蛆音娘
    没有更多评论了