suricata7 rule加载(三)加载options

于 2024-07-09 21:35:12 发布
阅读量501 收藏 4
点赞数 3
分类专栏: suricata 文章标签: suricata
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happytree001/article/details/140234872
版权

suricata7.0.5

加载options

(msg:“HTTP Request Example”; flow:established,to_server; http.method; content:“POST”; http.uri; content:“query.php”; bsize:>9; http.protocol; content:“HTTP/1.1”; bsize:8; http.host; content:“360”; bsize:>3; classtype:bad-unknown; sid:25; rev:1;)

SigParseOptions(...)

大致逻辑:

  • 通过;拆分,获取单个的关键字以及值
  • 通过:拆分,获取关键字名称以及值
  • 调用SigTableGet函数,通过关键字名称获取对应的提前注册好的关键字节点
  • 调用节点中设置的Setup回调函数进行处理
    请添加图片描述
    以下按照rule中的顺序依次进行解析

msg

"msg" -> sigmatch_table[DETECT_MSG] -> DetectMsgSetup
请添加图片描述

flow

"flow" -> sigmatch_table[DETECT_FLOW] -> DetectFlowSetup
请添加图片描述

http.method

"http.method" -> sigmatch_table[DETECT_HTTP_METHOD] -> DetectHttpMethodSetupSticky

请添加图片描述

content

"content" -> sigmatch_table[DETECT_CONTENT] -> DetectContentSetup
这里的content是关联前面http.method,通过sig->init_data->list进行关联,SigMatch节点是挂在id=g_http_method_buffer_id的位置,如果后面还有bsize等关键字关联http.method的则会链式的继续挂在后面。如下图
请添加图片描述

http.uri

"http.uri" -> sigmatch_table[DETECT_HTTP_URI] -> DetectHttpUriSetupSticky
请添加图片描述

content

请添加图片描述

bsize

"bsize" -> sigmatch_table[DETECT_BSIZE] -> DetectBsizeSetup
请添加图片描述

http.protocol

"http.protocol" -> sigmatch_table[DETECT_AL_HTTP_PROTOCOL] -> DetectHttpProtocolSetup
请添加图片描述

content

请添加图片描述

bsize

请添加图片描述

http.host

"http.host" -> sigmatch_table[DETECT_HTTP_HOST] -> DetectHttpHostSetup

请添加图片描述

content

请添加图片描述

bsize

请添加图片描述

classtype

"classtype" -> sigmatch_table[DETECT_CLASSTYPE] -> DetectClasstypeSetup

请添加图片描述

sid

实际上代码里,sid是第一个解析的,因为每个rule都必须有sid,如果没有则可以快速的跳过。
"sid" -> sigmatch_table[DETECT_SID] -> DetectSidSetup
请添加图片描述

rev

"rev" -> sigmatch_table[DETECT_REV] -> DetectRevSetup
请添加图片描述

总结

sig->init_data->buffers中的每个节点对应一个关键字,其中的id对应g_buffer_type_hash中的关键字编号
请添加图片描述

到这里,第一步将rule加载到内存中算是完成。
接下来就是最关键的如何将其构建成匹配树。

happytree001
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全系列-四十二: Suricatarulesets的激活、更新及动态加载
penriver的博客
11-22 749
Suricatarulesets的激活、更新及动态加载
suricate签名规则
Fogo_XD的博客
06-24 886
suricata防火墙学习
Suricata详解
热门推荐
IAMZTDSF的博客
06-15 1万+
Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。是一款开源、快速、高度稳定的网络入侵检测系统Suricata引擎能够实时入侵检测,内联入侵防御和网络安全监控。Suricata由几个模块组成,如捕捉、采集、解码、检测和输出。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elast
Suricata规则编写——常用关键字
Traxer的学习之路
03-31 1万+
1.简介现在的NIDS领域snort一枝独秀,而suricata是完全兼容snort规则的多线程IDS,无论在效率还是性能上都超过原有的snort,这个系列主要针对suricata的规则中的一些关键字进行了解和学习,参考链接为:https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules2.基本关键字所
Suricata配置文件说明1
Traxer的学习之路
04-21 6185
本系列文章是Suricata官方文档的翻译加上自己对其的理解,部分图片也是来自那篇文章,当然由于初学,很多方面的理解不够透彻,随着深入后面会对本文进行一定的修正和完善。Suricata使用Yaml作为其配置文件的格式,关于Yaml可以参考YAML-维基百科。其中Suricata默认的配置文件是suricata.yaml,以硬编码的形式写在源代码中,当然也可以在执行的时候添加-c+指定位置的yaml文
suricata 关键字补充说明
weixin_30924087的博客
04-11 1873
基本关键字 1、msg(对匹配到的规则的说明,第一部分约定用大写字母表示,msg始终是签名的第一个关键字) 注意:msg中必须转义以下字符: ; \ " msg :“ATTACK-RESPONSES 403 Forbidden” ; msg :“ET EXPLOIT SMB-DS DCERPC PnP绑定尝试” ; 2、Sid(对此规则的一个编号,以数字表示) ...
suricata7 rule加载(一)加载 action
happytree001的博客
07-06 338
suricata7 rule加载前期工作,加载action
suricata规则:Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
02-06
suricata规则:Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用...
网络安全系列-四十:使用Suricata分析恶意流量pcap文件
penriver的博客
11-23 2090
本文基于[网络安全系列-十六:使用Suricata IDS分析pcap文件]和 [网络安全系列-四十二: Suricatarulesets的激活、更新及动态加载]的基础上,使用suricata针对包含恶意流量的pcap文件进行分析,触发事件告警,并对suricata输出的日志进行逐个分析,让你掌握针对恶意流量的分析步骤,及怎么查看suricata输出的日志。
suricata关键配置项说明
我的博客
06-10 2028
suricata配置说明 文章目录suricata配置说明0x01 配置文件及日志输出简要介绍0x02 进行配置1 选择suricata守护的网段或IP2 配置日志输出器0x03 测试配置文件 0x01 配置文件及日志输出简要介绍 suricata有两个重要输入和输出文件夹,输入文件夹是配置文件夹,输出文件夹时日志文件夹。 配置文件夹的默认位置是在:/etc/suricata/,文件夹大致的结构为 $ tree -L 1 . ├── classification.config ├── classificat
suricata规则
whatday的专栏
12-20 8515
Emerging威胁检测规则wiki:http://doc.emergingthreats.net/bin/view/Main/WebHome Emerging规则文件:http://rules.emergingthreatspro.com/   基本语法 Snort规则与Suricata规则基本语法相同 规则结构 一、规则头部: 1. 规则行为:行为声明,用于通知IDS引擎...
中国石油大学(北京)克拉玛依校区在广东2021-2024各专业最低录取分数及位次表.pdf
09-08
全国各大学在广东省2021~2024年各专业最低录取分数及位次
浙江越秀外国语学院在广东2021-2024各专业最低录取分数及位次表.pdf
09-08
全国各大学在广东省2021~2024年各专业最低录取分数及位次
网站模板源代码(组件划分规范,二改省力)
最新发布
09-08
组件划分规范,二改省力!!!
华中科技大学 Java课程设计实验.zip
09-08
华中科技大学 Java课程设计实验.zip
4G语音质差参数优化调整建议.xlsx
09-08
4G语音质差参数优化调整建议
centos7安装suricata
09-22
要在CentOS 7上安装Suricata,首先需要确保系统可以正常访问外网。然后,您可以按照以下步骤进行操作: 1. 执行以下命令,安装Suricata的依赖项: ```shell yum install wget libpcap-devel libnet-devel pcre-devel gcc-c automake autoconf libtool make libyaml-devel zlib-devel file-devel jansson-devel nss-devel ``` 2. 下载Suricata的源代码包。您可以从Suricata的官方网站或GitHub页面获取最新版本的源代码。 3. 解压源代码包。您可以使用以下命令: ```shell tar -xvf suricata-x.x.x.tar.gz ``` 4. 进入解压后的Suricata目录: ```shell cd suricata-x.x.x ``` 5. 执行以下命令,配置Suricata的安装路径和其他选项: ```shell ./configure --sysconfdir=/etc --localstatedir=/var --enable-unittests ``` 在这个命令中,`--sysconfdir=/etc`指定了配置文件路径为`/etc/suricata/`,`--localstatedir=/var`指定了状态数据目录为`/var`。 6. 编译并安装Suricata: ```shell make make install ``` 安装完成后,您可以在指定的路径中找到Suricata的配置文件、日志等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值