suricata安装配置

最新推荐文章于 2024-08-03 18:49:17 发布
最新推荐文章于 2024-08-03 18:49:17 发布
阅读量5.5k 收藏 5
点赞数 1
分类专栏: 网络编程 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leeboy_wang/article/details/50582629
版权

suricata是开源的IPS工具,其中使用了netfilter_queue库,可以借鉴

安装:(https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_Installation

rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
 yum -y install libpcap libpcap-devel libnet libnet-devel pcre \
pcre-devel gcc gcc-c++ automake autoconf libtool make libyaml \
libyaml-devel zlib zlib-devel file-devel
HTP安装: 
./configure --enable-nfqueue
rpm -Uvh http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-0.0.15-1.x86_64.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnetfilter_queue-devel-0.0.15-1.x86_64.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-0.0.30-1.x86_64.rpm \
http://rules.emergingthreatspro.com/projects/emergingrepo/x86_64/libnfnetlink-devel-0.0.30-1.x86_64.rpm
yum -y install python-devel
#The latest version that will compile is 0.6.6.
wget http://people.redhat.com/sgrubb/libcap-ng/libcap-ng-0.6.6.tar.gz
tar -xzvf libcap-ng-0.6.6.tar.gz
cd libcap-ng-0.6.6
./configure 
make 
make install
ln -s /usr/local/lib/libcap-ng.so.0 /usr/lib64/libcap-ng.so.0

Suricata

To download and build Suricata, enter the following:

wget http://www.openinfosecfoundation.org/download/suricata-2.0.11.tar.gz
tar -xvzf suricata-2.0.11.tar.gz
cd suricata-2.0.11

If you are building from Git sources, enter all the following commands:

bash autogen.sh

If you are not building from Git sources, enter only:

./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-nfqueue
make
sudo make install
配置Suricata 
Suricata源代码随带默认的配置文件。不妨安装这些默认的配置文件,如下所示。
$ sudo make install-conf
正如你所知,要是没有IDS规则集,Suricata毫无用处。颇为方便的是,Makefile随带IDS规则安装选项。想安装IDS规则,运行下面这个命令即可。
$ sudo make install-rules
上述规则安装命令会从EmergingThreats.net(https://www.bro.org)安装可用的社区规则集的最新快照,并将它们存储在/etc/suricata/rules下。

首次配置Suricata IDS

现在就可以配置Suricata了。配置文件位于/etc/suricata/suricata.yaml。使用文本编辑工具打开文件,以便编辑。

$ sudo vi /etc/suricata/suricata.yaml

下面是一些基本的设置,供你开始入门。

“default-log-dir”关键字应该指向Suricata日志文件的位置。

default-log-dir: /var/log/suricata/

在“vars”这部分下面,你会找到Suricata使用的几个重要变量。“HOME_NET”应该指向由Suricata检查的本地网络。“!$HOME_NET”(被分配给EXTERNAL_NET)指本地网络以外的任何网络。“XXX_PORTS”表明不同服务所使用的一个或多个端口号。请注意:不管使用哪个端口, Suricata都能自动检测HTTP流量。所以,正确指定HTTP_PORTS变量并不是很重要。

vars:
HOME_NET: "[192.168.122.0/24]"
EXTERNAL_NET: "!$HOME_NET"
HTTP_PORTS: "80"
SHELLCODE_PORTS: "!80"
SSH_PORTS: 22

“host-os-policy”这部分用来防范一些利用操作系统的网络堆栈的行为(比如TCP重组)来规避检测的常见攻击。作为一项应对措施,现代IDS想出了所谓的“基于目标的”检测,检查引擎根据流量的目标操作系统,对检测算法进行微调。因而,如果你知道每个本地主机运行什么操作系统,就可以将该信息提供给Suricata,从而有望提高其检测速度。这时候用到了“host-os-policy“部分。在该例子中,默认的IDS策略是Linux;如果不知道某个IP地址的操作系统信息,Suricata就会运用基于Linux的检查策略。如果捕获到192.168.122.0/28和192.168.122.155的流量,Suricata就会运用基于Windows的检查策略。

host-os-policy:
# 这些是Windows机器。
windows: [192.168.122.0/28, 192.168.122.155]
bsd: []
bsd-right: []
old-linux: []
# 将Linux作为默认策略。
linux: [0.0.0.0/0]
old-solaris: []
solaris: ["::1"]
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
windows2k3: []

在“threading”这部分下面,你可以为不同的Suricata线程指定CPU亲和性(CPU affinity)。默认情况下,CPU亲和性被禁用(“set-cpu-affinity: no”),这意味着Suricata线程将被安排在任何可用的CPU核心上。默认情况下,Suricata会为每个CPU核心创建一个“检测”线程。你可以调整这个行为,只要指定“detect-thread-ratio: N”。这会创建N x M个检测 线程,其中M是指主机上CPU核心的总数。

threading:
set-cpu-affinity: no
detect-thread-ratio: 1.5

就上述线程设置而言,Suricata会创建1.5 x M个检测线程,其中M是系统上CPU核心的总数。

想了解关于Suricata配置的更多信息,你可以阅读默认的配置文件本身,为了便于理解,加有大量注释。

以上是编译安装的整个过程,为了更好的理解suricata的功能,自己做了一个简单的测试:
1、自己编写一条规则,规则书写参考snort规则(suricata完全兼容snort规则)
   例如以百度网站为例:
   [root@host201 rules]# cat test.rules
alert http any any -> any any (msg:"hit baidu.com...";content:"baidu"; reference:url, www.baidu.com;)
   将文件命名为test.rules,存放在目录/etc/suricata/rules下(直接存放在该目录下rules里面)。
2、启动suricata 
  ./suricata  -s test.rules -i eth1

3、打开虚拟机中浏览器,访问www.baidu.com
   此时,查看log文件/var/log/suricata目录下
   fast.log显示数据包匹配的条数
   http.log   
leeboy_wang
关注
专栏目录
suricata匹配从入门到精通(一)----suricata安装配置及使用
leeezp的博客
08-15 34万+
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。 Suricata是安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。 在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata的环境配置、详细安装过程和使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...
suricata关键配置项说明
我的博客
06-10 2032
suricata配置说明 文章目录suricata配置说明0x01 配置文件及日志输出简要介绍0x02 进行配置1 选择suricata守护的网段或IP2 配置日志输出器0x03 测试配置文件 0x01 配置文件及日志输出简要介绍 suricata有两个重要输入和输出文件夹,输入文件夹是配置文件夹,输出文件夹时日志文件夹。 配置文件夹的默认位置是在:/etc/suricata/,文件夹大致的结构为 $ tree -L 1 . ├── classification.config ├── classificat
Suricata配置
weixin_34302561的博客
08-17 310
          见官网 https://suricata.readthedocs.io/en/latest/configuration/index.html#             Docs »   8. Configuration  Edit on GitHub 8. Configuration 8.1. S...
Suricata安装与基本使用
最新发布
zhuge_long的专栏
08-03 487
alert http $EXTERNAL_NET any $HOME_NET 80 (msg:"多次404,疑似扫描";Suricata来源于经典的NIDS系统Snort,是一套基于网络流量的威胁检测引擎. 整合了intrusion detection (IDS)、intrusion prevention (IPS)、network security monitoring (NSM) 和PCAP processing等功能。
配置suricata
db5404的博客
09-24 94
yum -y install libpcap libpcap-devel libnet libnet-devel pcre \ pcre-devel gcc gcc-c++ automake autoconf libtool make libyaml \ libyaml-devel zlib zlib-devel libcap-ng libcap-ng-devel magic ...
如何在 Linux 系统上安装 Suricata 入侵检测系统
weixin_33738578的博客
05-02 909
如何在 Linux 系统上安装 Suricata 入侵检测系统 随着安全威胁的不断发生,入侵检测系统(IDS)在如今的数据中心环境中显得尤为必要。然而,随着越来越多的服务器将他们的网卡升级到10GB/40GB以太网,对如此线路上的硬件进行计算密集型的入侵检测越来越困难。其中一种提升入侵检测系统性能的途径是多线程入侵检测系统,它将 CPU 密集型的深...
suricata安装配置
simply
08-31 1005
1、概述suricata来源于经典的nids系统snort,是一套基于网络流量的威胁检测引擎,整合了ids,ips,network security monitoring(NSM)和PCAP processing等功能。2、IDS功能通过监听网卡流量并匹配规则引擎进行入侵实时监测和预警,检测手段上也和Wazuh比较类似。3、IPS功能。
suricata安装
07-27
安装完成后,您可以按照以下步骤进行Suricata安装配置。 首先,您可以通过命令行安装第一个包wget,然后再安装下一个包build-essential,以此类推。这样做可以避免由于依赖关系导致的安装失败。同时,在安装每...
Suricata】04-配置Suricata 7.0.3 基于DPDK模式运行
Simo2024的博客
05-13 1746
本文介绍了Suricata基于DPDK包捕获模式的安装,运行,难点主要在DPDK驱动的安装
suricata安装与使用
qq_43671947的博客
08-13 5903
记第一次使用suricata 1.安装 网上有许多安装方法,我试过用ubuntu21版安装,但失败了,好像用ubuntu18.04版安装会好一点,但我这里直接使用kali安装的(kali永远的神,我这用的2021最新版,kali越更新越好用),直接apt-get install suricata安装好了,很快,感绝就像假的一样,但就是能用,之后就是安装签名(就是规则rules文件)就可以了,命令是suricata-update, 注意这是官方更新的rule规则,更新的配置文件存放在/var/lib/sur
docker-suricata:使用Docker在容器内的Suricata
05-24
码头工人苏里卡塔(Docker SuricataSuricata是一个开源IDS,IPS和NSM引擎。 有关更多信息,请访问其或查阅官方以获取技术信息。 对于高山用户:使用Docker和Docker Compose运行Suricata的4.0.4版本。 这是Suricata的即用型。 要求 主机设定 安装版本17.12.0+ 安装版本1.6.0+ 用法 初始设置 现在您可以从高山发射。 默认情况下,.env文件中的OS_SURICATA设置为alpine 。 要进行选择,您必须设置OS_SURICATA环境变量或更改.env文件中的值。 可用值: 高山的 首先:使用docker-compose启动Suricata :(您必须在存储库中才能执行) docker-compose up 如果要在后台运行: docker-compose up -d Suricata
Suricata安装教程
u011311291的博客
01-23 5081
1.安装必要库 (1)检查是否安装了jansson,这是Suricata输出的日志文件eve.json必备库 可参考:彻底解决Suricata Eve-log support not compiled in 问题 (2)安装pfring 2.安装Suricata https://suricata-ids.org/download/下载安装包 (1)解压安装包 tar -zxf suricata-4...
Suricata】05-Suricata 7.0.4 高性能配置
Simo2024的博客
05-14 1110
本文介绍了PF_RING驱动 和 Hyperscan的安装,来提高包处理速度和规则匹配效率。再优化Suricata的性能配置,以启用这些组件。
suricata的简介以及安装过程
qianligaoshan的专栏
04-08 6158
Suricata介绍
Suricata下载 安装 及 运行
细雨青峦的博客
05-10 5107
Suricata 的下载,安装,基本使用,从头开始配置,运行 系统环境:Ubuntu18.04.6 live suricata 版本:suricata-6.0.4
Suricata】02-Suricata 7.0.x基础配置
Simo2024的博客
05-11 1710
配置Suricata的监听网络,包含单张网卡和多长网卡;配置规则集、测试规则集、配置日志轮训,防止单个日志文件过大。配置将日志发送到kakfa。
Linux Centos7环境 Suricata 安装
qq_35911309的博客
09-17 2617
文章目录一、Suricata是什么?二、Suricata安装使用步骤环境安装依赖包下载解压Suricata编译安装自动安装配置文件启动测试 一、Suricata是什么? Suricata是一个高性能的网络ID、IP和网络安全监控引擎。它是开源的,由一个社区经营的非营利基金会开放信息安全基金会(OISF)拥有。Suricata由OISF开发 官网地址:https://suricata-ids.org/ 二、Suricata安装使用步骤 环境 Suricata 4.1.8 on CentOS 7 安装依赖包.
suricata安装配置,运行
weixin_45504433的博客
03-08 913
1.suricata安装 ./configure ./make ./make install-full 2.配置 /usr/local/etc/suricata/suricata.yaml 配置syslog输出为yes 3.运行 suricata -c suricata.yuml -s ./rules -i ens0 配置系统日志输出: /etc/rsyslog.d/rsyslog.conf 启动rsyslog失败 (个人重启时遇到问题,配置文件第36行注释掉后重启成功) 删除/var/lib/rsyslo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值