Suricata镜像流量解析--Suricata部署

最新推荐文章于 2024-08-03 18:49:17 发布
最新推荐文章于 2024-08-03 18:49:17 发布
阅读量5.3k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zpz501/article/details/78978572
版权
本文介绍了为何采用流量镜像技术,包括系统解耦、提升性能和满足特殊业务需求等好处。通过部署Suricata实现流量镜像解析,详细讲述了Suricata的安装过程,并提到了可能遇到的问题及解决途径。日志以json格式存储,后续将介绍如何通过Logstash同步至Elasticsearch。
摘要由CSDN通过智能技术生成

突然讲镜像流量解析有一些突兀,那就大致讲一下为什么要做流量镜像吧。

目前公司的应用安全防火墙(WAF)基于日志做的拦截,日志来源于Nginx服务器的lua模块,对于Nginx性能有一定的损耗,加上系统解耦的需要。所以考虑用流量镜像的方式,部署单独的集群对日志进行处理,好处有下边几点:

1. 系统解耦;

2. 提高lua拦截模块性能;

3. 满足WAF业务更多的特殊需求,如攻击统计,展示,告警等;


镜像网络架构图如下:


测试环境有两台物理机部署了WAF,使用Nginx做反向代理,一台物理机部署Suricata做流量镜像解析。

Suricata的部署过程参考https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_Installation,使用过程中也出现了一些小插曲,印象深刻的比如

最低0.47元/天 解锁文章
Zpz501
关注
网络安全系列-三十六:使用Suricata IDS分析pcap文件
penriver的博客
11-07 1257
Suricata是一款高性能、开源的网络分析和威胁检测软件. Suricata(稳定)版本为6.0.8;该版本于2022年9月27日发布。 本文讲解如何使用Suricata IDS分析pcap文件,并针对分析的结果进行分析
CentOS7.8下安装Suricata7.0
qq_24592455的博客
06-21 1708
默认情况下,会将所有规则合并到一个文件中 “/var/lib/suricata/rules/suricata.rules”。要启用默认禁用的规则,请使用 /etc/suricata/enable.conf。/var/lib/suricata:状态目录规则、数据集。/var/lib/suricata/目前是没有文件。/var/log/suricata:日志目录。/etc/suricata:配置目录。
【web网络安全】网络安全基础阶段四(实战篇)
2301_76261573的博客
05-17 586
本次完成了继上次实验的拓展
Suricata安装与基本使用
最新发布
zhuge_long的专栏
08-03 489
alert http $EXTERNAL_NET any $HOME_NET 80 (msg:"多次404,疑似扫描";Suricata来源于经典的NIDS系统Snort,是一套基于网络流量的威胁检测引擎. 整合了intrusion detection (IDS)、intrusion prevention (IPS)、network security monitoring (NSM) 和PCAP processing等功能。
基于DPDK抓包的Suricata安装部署
lingshengxiyou的博客
04-11 611
基于DPDK抓包的Suricata版本只更新到4.1.4,因此对DPDK版本有要求,经过测试推荐使用 DPDK-19.11.14。由于服务器开关机会导致DPDK绑定的网卡会被默认解绑,为简化重新机械的绑定工作,通过shell脚本实现自动化DPDK绑定网卡。DPDK官网下载地址:http://fast.dpdk.org/rel/dpdk-19.11.14.tar.gz。7 [root@ids-dpdk ~]# ls /usr/src/kernels/ #查看有没有相应的内核开发包。
Centos7部署Suricata
m0_55593211的博客
04-25 1969
Centos 7部署Suricata Centos开启混杂模式 网卡的混杂模式,在该模式下网卡会将网络上的数据一并抓获。 [ROOT]# ifconfig eth1 promisc 设置混杂模式 [ROOT]# ifconfig eth1 -promisc 取消混杂模式 混杂模式开启后网卡会多出 “PROMISC” 安装依赖包 安装依赖: yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel j
Centos 7 部署suricata流量检测
m0_55593211的博客
05-07 2223
转载自:https://zhuanlan.zhihu.com/p/64742715 对部分安装报错的地方进行了修改,建议按照原文安装,原文有ES对接 内网搭建Suricata进行流量检测 目标机器版本:CentOS Linux release 7.6.1810 Suricata版本:suricata-6.02 Luajit版本:LuaJIT-2.0.5 PF_RING版本:PF_RING-7.8.0 Hyperscan版本:hyperscan-5.4.0 Hyperscan 第3方依赖库 依赖项
Suricata 离线部署及rules规则触发使用教程(支持windows虚拟机及centos7_arm64_服务器)
qq_45560958的博客
09-19 1591
这一次虽然直接安装成功了,但是我第一次安装suricata的时候报错,缺少库,不论是虚拟机上和在线的centos服务器上都报缺库,并且他们缺的库名称还不一样,报错的时候我没截图,如果你也会报错的话解决方案如下,只做参考,实际根据你缺的库进行调整。因为我在离线机器和在线机器映射的是同一个windows的文件夹,所以我两个虚拟机里的文件内容是一样的,如果你没有映射同一个文件夹,可以直接把在线机器的文件拷贝出来,然后放到离线机器的任意目录下面也可以以,下面配置离线源。
Su+ELK实现网络监测(1)——Suricata安装与配置
ytraister的博客
04-11 2033
suricata安装配置文档
IPS镜像文件.zip
05-25
在IDS的上下文中,这些镜像可能包含了一个预配置的操作系统,比如Linux发行版,以及必要的IDS软件,如Snort、Suricata或其他专有解决方案。这些镜像使得管理员能够快速部署或更新IDS设备,保证所有设备运行的是统一...
Suricata用户手册 V4.0.0
08-28
欢迎大家下载阅读,提出宝贵意见:resehist@gmail.com
探索Suricata网络安全监控工具
# 1. Suricata网络安全监控工具简介 Suricata是一款开源的网络安全监控...Suricata支持多种协议的解析,包括IP、TCP、UDP、HTTP、SMTP等,可以进行深度流量分析和协议解码。 ## 1.2 Suricata的作用和优势 Suricat
爱奇艺网络流量分析引擎 QNSM 及其应用
墨痕诉清风的博客
12-27 661
流量分析是非常重要的, 可以用来进行资产发现、网络监控和可视化,对安全而言,通过对网络流量的分析,对流量构建基线建模,从流量中可以发现异常、风险以及检测攻击,从流量中也可以实现数据内容提取,发现潜在的敏感数据流动或者泄露,还可以进行 ACL 策略校对,并将网络流量产出的数据特征通过机器学习和专家分析,可以挖掘更多的信息以及进行取证溯源和事件回查。QNSM。
探索高效网络安全:Suricata部署优化指南
gitblog_00052的博客
06-17 347
探索高效网络安全:Suricata部署优化指南 项目地址:https://gitcode.com/al0ne/suricata_optimize 1、项目介绍 在网络安全的世界中,Suricata是一个强大的网络入侵检测系统(IDS)。它能够实时地监测和分析网络流量,识别潜在的安全威胁。这款开源工具以其高性能和可扩展性赢得了广大用户的青睐。本文将带你深入理解如何在18年的环境下,有效地部署和优化S...
Suricata】02-Suricata 7.0.x基础配置
Simo2024的博客
05-11 1723
配置Suricata的监听网络,包含单张网卡和多长网卡;配置规则集、测试规则集、配置日志轮训,防止单个日志文件过大。配置将日志发送到kakfa。
CENTOS上的网络安全工具(一)Suricata 离线部署
lhyzws的专栏
04-17 4925
构造rpm包及其依赖的离线安装环境 离线安装suricata,离线更新suricata规则,使用suricata离线检查pcap包
suricata+pfring安装部署
yztezhl的专栏
03-14 1843
suricata+pfring安装部署
OISF官方suricata自动测试里的部署流程(Centos7)
handsometian的博客
03-09 213
安装suricata可以参考并验证
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值