suricata ips模式 编译安装方法+suricata的一些常见运行命令和注意事项---------未完,待补充

最新推荐文章于 2023-03-24 23:26:12 发布
最新推荐文章于 2023-03-24 23:26:12 发布
阅读量1.2k 收藏 2
点赞数 2
分类专栏: suricata 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Chaowanq/article/details/121563114
版权

suricata ips模式 编译安装运行方法+一些错误定位或注意事项

一、 suricata ips模式的编译安装运行方法

1>安装依赖
sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev
build-essential autoconf automake libtool libpcap-dev libnet1-dev
libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0
make libmagic-dev libjansson-dev libjansson4 pkg-config

sudo apt-get -y install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0 libnetfilter-log-dev

2>编译suricata
-规则文件和配置文件
创建/var/configuration/suricata 和 /var/log/suricata 还有suricata.yaml配置的rules规则文件目录这几个目录。suricata.yaml配置文件放在/var/configuration/suricata目录下。
对应suricata.yaml配置文件里的设置:

default-log-dir: /var/log/suricata/

default-rule-path: /var/rules/
rule-files:
  #rules文件地址
  - /var/rules/signature-dpi/signature.rules
  - /var/rules/signature-dpi/signature1.rules

IPS模式需要配置suricata.yaml的nfq选项:

nfq:
  mode: accept
#  repeat-mark: 1
#  repeat-mask: 1
#  bypass-mark: 1
#  bypass-mask: 1
#  route-queue: 2
  batchcount: 20
  fail-open: yes  *#打开该选项,代表当suricata读取的nfqueue队列已满时,无法入队的包允许通过而非丢弃。*

IPS模式配置workers运行模式性能最佳:

runmode: workers

开始编译suricata:
进入suricata源码目录
chmod -R 777 *
sudo ./configure --enable-nfqueue --prefix=/usr --sysconfdir=/var/configuration --localstatedir=/data --disable-gccmarch-native
sudo make
sudo make install
-运行测试:
执行命令:suricata -c /var/configuration/suricata/suricata.yaml -q 0 程序保持运行没有退出则运行基本正确。如果运行后程序直接结束了,则检查上面的目录是不是都正确创建了,比如default-log-dir: /var/log/suricata/。
suricata nfq模式下实际监听的数据来源来自iptables,它是通过iptables的nfqueue规则将数据包的判定权拿到,从根据规则过滤数据包给出数据包行为判定(丢弃或允许之类的),从而达到入侵防御的作用:
比如用于防火墙转发数据监控时,在iptables的FORWARD链上插入一条规则nfqueue规则:

iptables -I FORWARD -j NFQUEUE --queue-bypass

上面这条规则没有显示的指定–queue-num x,默认queue-num是0。而–queue-bypass选项作用是如果没有任何程序在监听queue 0接收数据时,则默认通过该数据包,而非丢弃。

如果nfqueue多队列的话,对应的iptables规则和suricata运行命令如下:

iptables -I FORWARD -j NFQUEUE --queue-balance 0:3 --queue-bypass

suricata -c  /var/configuration/suricata/suricata.yaml -q 0 -q 1 -q 2 -q 3

二、suricata的一些常见运行命令和注意事项

1.使用suricata进行pcap包读取时的运行命令如下:

suricata -c /xx/xx/suricata.yaml -r xxxx.pcap

注:suricata读pcap包时,配置文件的运行模式不可以是workers模式。

2.使用suricata进行网卡抓包的运行命令如下:

suricata -c /xx/xx/suricata.yaml -i  eth0

3.suricata的运行错误,如果没有任何错误报错输出就直接结束,可以检查下配置文件的日志是否没打开,default-log-level字段设置成none,将不输出任何日志提示:

# Logging configuration.  This is not about logging IDS alerts/events, but
# output about what Suricata is doing, like startup messages, errors, etc.
logging:
  # The default log level, can be overridden in an output section.
  # Note that debug level logging will only be emitted if Suricata was
  # compiled with the --enable-debug configure option.
  #
  # This value is overridden by the SC_LOG_LEVEL env var.
  #default-log-level: notice
  default-log-level: debug #如果设置成none是没有任何日志输出
Chaowanq
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
suricatalinux编译
hezhanran的博客
10-26 2780
suricata编译
suricata-update:更新您的Suricata规则的工具
04-30
Suricata更新 用于更新您的Suricata规则的工具。 安装安装--upgrade suricata-update 文献资料 问题 用法示例 suricata更新 suricata-update的默认调用将执行以下操作: 阅读配置,/ etc / suricata / update....
pfsense-suricata-elk-docker:使用docker-compose将pfSense和Suricata绑定到ELK
05-08
pfsense-suricata-elk-docker 使用docker-compose将pfSense与Suricata绑定到ELK(Elasticsearch,logstash和kibana) 已针对Windows使用docker在Elasticsearch 6.3.0和pfSense 2.4.3-RELEASE-p1上进行了测试 这里的想法是使用由发布的普通docker镜像。 我们使用docker-compose.yml指定磁盘上要映射的位置,例如elasticsearch的数据目录和logstash的配置目录。 将来,升级弹性版本应与设置以下定义的环境变量一样容易。 安装 码头工人 安装 。 下载内容。 在git repo目录中打开命令提示符。 运行以下命令来设置弹性版本环境变量: 设置ELASTIC_VERSION = 6.3.0 设置TAG = 6.3.0 编
vagrant-ids:包含Suricata,PulledPork,Bro和Splunk的Ubuntu 16.04构建
02-06
vagrant-ids:包含Suricata,PulledPork,Bro和Splunk的Ubuntu 16.04构建
suricata安装编译
weixin_33924220的博客
09-11 1594
最近打算研究suricata源码,下载并安装了稳定版3.2.3版本,操作系统是Ubuntu 16.04.2 LTS,下来描述我的操作过程; 1,安装suricata运行可能用到的库;   sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \   build-essential autoconf automake libtool l...
suricata 编译成动态库使用
xuwaiwai的博客
12-15 2037
suricata编译成动态库,并集成到现有项目中,同时提供动态加载规则接口。 源代码版本 6.0.4
suricataips模式
Leeboy_Wang的专栏
01-25 4341
suricata --build-info 查看是否支持NFQ模式 Suricata Configuration:   AF_PACKET support:                       yes   PF_RING support:                         no   NFQueue support:                         y
Suricata IPS-NFQ模式
Chaowanq的博客
11-30 2569
Suricata IPS-NFQ模式 注:本文写于2019年,文中的相关概念的介绍摘抄出自哪里已经不记得,如有侵权请指出,本文将补充相关部分的引用。 1.Suricata运行模式 Suricata有两个运行模式的概念。 一个运行模式封装在RunModes(runmmode.c)结构体里,一个RunModes对应一组运行模式Suricata支持的所有运行模式存储在runmodes数组中,定义为RunModes runmodes[RUNMODE_USER_MAX]。模式包括:“IDS+Pcap”模式组、“Fi
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用...
docker-elk-suricata:针对pfSense和Suricata的ELK堆栈,针对Synology NAS进行了优化
02-05
docker-elk-suricata:针对pfSense和Suricata的ELK堆栈,针对Synology NAS进行了优化
suricata-configuration:Suricata 概述和设置说明
06-14
Suricata 配置 安装运行 install.sh 来安装 suricata: ./install.sh 默认安装模式是 IDS 模式。 如果要在 IPS 模式安装,请运行: ./install.sh -IPS 这会在/usr/bin安装 suricata,在/etc/suricata安装配置文件。 跑步: 接下来在 IDS 模式运行 suricata: ./run.sh -IDS ethX 其中 ethx 是监控流量的接口。 在 IPS 模式运行 suricata: ./run.sh -IPS ethX 这将使用 iptables 规则将流量路由到 suricata。 要查看 http 日志,请参阅/var/log/suricata/http.log 。 日志比较 要比较 squid 和 suricata 的日志,请在包含 suricata 日志 (
SELKS, 基于Suricata的ids/ips发行版.zip
09-18
SELKS, 基于Suricata的ids/ips发行版 SELKS 介绍SELKS是一个免费开源的基于 linux ( with x 窗口管理器)的ids/ips平台,它从Stamus网络( https://www.stamus-networks.com/ ) 中发布。SELKS ISO
suricata命令
wsk004321的专栏
05-13 3871
suricata命令行选项说明 你能两种方式使用命令行选项,用一个横杠后面跟一个字符,或两个横杠后面跟一个单词,例如: -a --long-option ========================================================================== -c这个选项是最重要的选项。在-c之后,要输入suricata.y
<suricata编译安装>
程序狗的成长之路
07-11 1467
原文:http://blog.csdn.net/wsk004321/article/details/25594265 想到研究suricata只读源码估计还不凑效,需要了解下真实环境下怎么应用,这样理解起来估计会更有感觉,于是在自己本地虚拟机中安装编译一下: 1、虚拟机操作系统Linux centos5.0 2、下载suricata源码    http://ww
Ubuntu编译安装suricata6.03
qq_37668945的博客
10-21 948
基础环境 Ubuntu 21.04 Python 3 pip 编译suricat 6.0.3 安装依赖 sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \ build-essential autoconf automake libtool libpcap-dev libnet1-dev \ libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 \ m
suricata 7.0 IPS 防火墙模式研究
aomeng的专栏
12-23 832
suricata 7.0 IPS 防火墙模式研究
IPS:Suricata结合iptabale来实现对来访内网流量监控与防御
qq_39330735的博客
03-24 981
运用Suricata结合iptables来实现IPS入侵防御系统,实现对流量的检测和监控,并将存在威胁的流量进行阻断。
Suricata-IDS与IPS
Phantasm的博客
02-08 878
Thank Zhihao Tao for your hard work. The document spent countless nights and weekends, using his hard work to make it convenient for everyone. If you have any questions, please send a email to zhihao.tao@outlook.com 文章目录1. 简述2. 入侵检测系统(IDS)3. 入侵防御系统(IPS).
Suricata编译(fedora)
weixin_30740581的博客
07-08 87
http://www.openinfosecfoundation.org/index.php/download-suricata 参考源码目录下的文档,编译需要以来很多工具: sudo yum -y install libpcap libpcap-devel libnet libnet-devel pcre \ pcre-devel gcc gcc-c++ automake...
suricata.yaml文件中配置suricata DPDK收包,interface和copy-iface字段是什么
最新发布
05-24
Suricata中使用DPDK作为数据包接收引擎时,需要在suricata.yaml文件中对DPDK进行配置。其中,interface字段用于指定DPDK绑定的物理网卡设备,copy-iface字段用于指定Suricata要使用哪个虚拟网卡设备作为接收数据包的入口点。 具体来说,interface字段可以通过以下方式进行配置: ```yaml dpdk: - device: <DPDK设备> rx_queues: <接收队列数> rx_descs: <接收描述符数量> tx_queues: <发送队列数> tx_descs: <发送描述符数量> socket-mem: <分配给DPDK的内存大小> numa-node: <DPDK所在NUMA节点> ``` 而copy-iface字段可以通过以下方式进行配置: ```yaml af-packet: - interface: <物理网卡设备> copy-iface: <虚拟网卡设备> mode: <模式> threads: <线程数> buffer-size: <缓冲区大小> ``` 需要注意的是,在使用DPDK作为数据包接收引擎时,copy-iface字段必须指向一个虚拟网卡设备。Suricata会将接收到的数据包从DPDK设备复制到虚拟网卡设备中,然后再进行后续的处理。这样可以避免DPDK设备直接与Suricata交互,从而提高系统的安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值