suricata匹配从入门到精通(四)----编译lua

已于 2023-01-31 20:13:46 修改
阅读量10w+ 收藏 3
点赞数
分类专栏: NTA IDS suricata 文章标签: lua 安全 网络安全 Powered by 金山文档
于 2023-01-31 20:07:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leeezp/article/details/128822467
版权
NTA 同时被 3 个专栏收录
5 篇文章 0 订阅
订阅专栏
suricata
5 篇文章 0 订阅
订阅专栏
IDS
3 篇文章 0 订阅
订阅专栏

年前有粉丝私信我,想让我做一期lua脚本。作为一个宠粉的博主,那必须给予回应。

suricata结合lua可以达到提升工作效率的作用。

0x00 编译

开启luna 支持:

yum install luarocks (不确定是否有用)

手动下载安装:
(https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Installation_from_GIT_with_luajit

wget http://luajit.org/download/LuaJIT-2.0.5.tar.gztar -zxf LuaJIT-2.0.5.tar.gzcd LuaJIT-2.0.3
make && make install

编译成功的回显:

cd src && install -m 0644 lua.h lualib.h lauxlib.h luaconf.h lua.hpp luajit.h /usr/local/include/luajit-2.0
cd src/jit && install -m 0644 bc.lua v.lua dump.lua dis_x86.lua dis_x64.lua dis_arm.lua dis_ppc.lua dis_mips.lua dis_mipsel.lua bcsave.lua vmdef.lua /usr/local/share/luajit-2.0.5/jit
ln -sf luajit-2.0.5 /usr/local/bin/luajit
==== Successfully installed LuaJIT 2.0.5 to /usr/local ====

cd /home/leeezp/suricata

编译

./configure --prefix=/usr/ --sysconfdir=/etc/ --localstatedir=/var/ --enable-luajit \ --with-libluajit-includes=/usr/local/include/luajit-2.0/ --with-libluajit-libraries=/usr/lib/

make & make install

运行suricata 报错:

./suricata: error while loading shared libraries: libhtp.so.2: cannot open shared object file: No such file or directory

cat /etc/ld.so.conf

echo "/usr/local/lib" >> /etc/ld.so.conf

ldconfig

参考资料:

https://developer.aliyun.com/article/604301

cd /home/leeezp/suricata-6.0.2/src

./suricata --build-info

运行又报错:

/home/leeezp/suricata/rules/test
[root@leezp test]# ../../src/./suricata -r ../ssss.pcap -vvv -k none -c /etc/suricata/suricata.yaml 
30/4/2021 -- 18:08:36 - <Notice> - This is Suricata version 6.0.2 RELEASE running in USER mode
30/4/2021 -- 18:08:36 - <Info> - CPUs/cores online: 1
30/4/2021 -- 18:08:36 - <Config> - luajit states preallocated: 128
/home/leeezp/suricata/src/.libs/lt-suricata: symbol lookup error: /home/leeezp/suricata/src/.libs/lt-suricata: undefined symbol: htp_config_set_lzma_layers

可能是libhtp 库 与suricata不匹配;

直接从官网克隆;
git clone https://github.com/OISF/suricata.git
cd suricata
git checkout remotes/origin/master-6.0.x
git clone https://github.com/OISF/libhtp.git
./autogen.sh
cargo install --force cbindgen                  // 开启 rust 支持 (有些协议解析rust写的)
export PATH=$PATH:/root/.cargo/bin/             // 添加 cargo 路径
./configure --prefix=/usr/ --sysconfdir=/etc/ --localstatedir=/var/ --enable-luajit \ --with-libluajit-includes=/usr/local/include/luajit-2.0/ --with-libluajit-libraries=/usr/lib/ 
make
make install

7/5/2021 -- 11:37:51 - <Warning> - [ERRCODE: SC_WARN_PCRE_JITSTACK(326)] - Unable to allocate PCRE JIT stack; will continue without JIT stack

7/5/2021 -- 11:37:51 - <Error> - [ERRCODE: SC_ERR_DETECT_PREPARE(173)] - setting up thread local detect ctx for keyword "pcre" failed

报错可能是因为我之前自己编译过pcre,它使用了我之前自己编译的pcre;

LD_PRELOAD=/lib64/libpcre.so.1 ../../src/./suricata -r ./test.pcap -v -k none -c /etc/suricata/suricata.yaml

suricata]# vim .github/workflows/builds.yml
找到centos7,将里面的 yum -y install 内容复制,依赖库全部更新一遍,应该就好了。

--prefix=/usr/   : 将Suricata二进制文件安装到/usr/bin/中,默认/usr/local/

只有 /usr/bin 下的suricata 是编译正确的:
LD_PRELOAD=/lib64/libpcre.so.1 /usr/bin/suricata -r /home/leeezp/suricata/rules/test/test.pcap -v -k none  -c /etc/suricata/suricata.yaml

切换版本编译:

git tag -l

git checkout suricata-6.0.1

git checkout .

git status

查看suricata依赖库:

ldd /home/leeezp/suricata

0x01 使用

修改 suricata.yaml 文件 ,我是在 "outputs:" 节点最下方添加的(注意空格):

  - lua:
      enabled: yes
      scripts-dir: /home/leeezp/suricata/rules/test
      scripts:
        - script1.lua
        - http.lua
        - test2.lua
        - dns.lua

script1.lua 示例:

function init()
    local needs     = {}
    needs["type"]   = "packet"
    needs["filter"] = "alerts"
    return needs
end

function setup()
    alert_count = 0
end

function log()
    timestring      = SCPacketTimeString()
    sid, rev, gid   = SCRuleIds()
    msg             = SCRuleMsg()
    class, priority = SCRuleClass()

    ip_version, src_ip, dst_ip, protocol, src_port, dst_port = SCPacketTuple()

    if class == nil then
        class = "unknown"
    end

    print (timestring .. "  [**] [" .. gid .. ":" .. sid .. ":" .. rev .. "] " ..
           msg .. " [**] [Classification: " .. class .. "] [Priority: " ..
           priority .. "] {" .. protocol .. "} " ..
           src_ip .. ":" .. src_port .. " -> " .. dst_ip .. ":" .. dst_port)

    alert_count = alert_count + 1;
end

function deinit()
    print ("Alerted " .. alert_count .. " times");
end

运行下试试效果:

是不是一目了然 :)

0x02 后记

本文仅为抛砖引玉,更多玩法欢迎DIY或私信交流。

leeezp
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
调用Lua 脚本
plmkome
06-24 349
 引言 Vision 的 Lua 编辑工具组提供多种节省时间的功能,例如代码完成和预定义代码模板。  重要说明: 请注意,我们采用 SWIG 封装 Lua 中的 C++ 类,所以所有对象的行为都类似指针 - 包括向量(Vision.hkvVec3)或颜色(Vision.VColorRef)。 因此,赋值(vector1 = vector2)所修改的是指针而非数据。 在这种情况...
小白建站——宝塔Linux配合阿里云服务器搭建属于自己的网站
一碗周
11-19 388
古之立大事者,不惟有超世之才,亦必有坚忍不拔之志——苏轼 写在前面 由于现在大部分服务器都是 Linux 系统,全球最快的10台超级计算机也是 Linux 系统,由于 Linux 本身有一些难度,上手的成本比较高,这就导致我们建站时耗费的成本是相当大的,这时我们我们今天的主角 宝塔Linux 就可以大显神通了。 引入一段官方的介绍:宝塔Linux面板是提升运维效率的服务器管理软件,支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能。 安装宝塔面板 在安装宝塔.
自定义lua输出
我只是一个普通的Coder
04-19 1613
-- 实现lua大部分数据的输出 Tools = {} function Tools:printData(data) if data == nil then print("没有数据") return elseif type(data) == "boolean" then if v then print("值 =
CentOS7.5下编译suricata-5.0.3及简单使用
Fighting! Go! Go! Go!
08-11 1035
CentoOS7.5下编译suricata-5.0.3及简单使用一、安装二、测试 一、安装 参考官方文档:https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_Installation 1、安装依赖库:yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel jansson-devel nss-devel libca
suricata的简单探究
围城
06-26 943
20210625- 0.引言 写过一篇文章《Suricata+ELK(Docker化部署)数据展示》,利用suricata在流量出口位置实现网络流量的事件监测。当时采用的规则,是一些开源的规则,当时使用完这些规则之后,发现误报什么的,还是挺多的。 对于suricata来说,这个软件我还是使用了非常多的,因为他本身作为一个流量处理引擎,完成的事情也挺多。所以最近就想着,能不能对他深入进行一些理解,所以在这篇文章中进行记录。 (文章属于自己阅读过程中的随感产物) 1. suricata的学习记录 本部分并没有参
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用...
suricata-update:更新您的Suricata规则的工具
04-30
点安装--upgrade suricata-update 文献资料 问题 用法示例 suricata更新 suricata-update的默认调用将执行以下操作: 阅读配置,/ etc / suricata / update.yaml(如果存在)。 读入规则过滤器配置文件: /etc/...
suricata-verify:Suricata验证测试-测试Suricata输出
03-30
运行所有测试在您的Suricata源目录中运行: ../path/to/suricata-verify/run.py或运行一个测试: ../path/to/suricata-tests/run.py TEST-NAME添加新测试创建一个目录,该目录是新测试的名称。 将单个pcap文件复制到...
pfsense-suricata-elk-docker:使用docker-compose将pfSense和Suricata绑定到ELK
05-08
pfsense-suricata-elk-docker 使用docker-compose将pfSense与Suricata绑定到ELK(Elasticsearch,logstash和kibana) 已针对Windows使用docker在Elasticsearch 6.3.0和pfSense 2.4.3-RELEASE-p1上进行了测试 这里...
suricata-readthedocs-io-en-latest.pdf
07-06
suricata 原文手册
Suricata IDS 入门 — 规则详解
SHELLCODE_8BIT的博客
12-21 6318
suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)与nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本安全脉搏SecPulse.Com独家发文,如需转载,请先联系授权。 1.规则配置 配置文件位置:/etc/suricata/suricata.yaml 规则目录位置:/etc/suricata/rules 先设置HOME_NET与EXTERNAL_NET,推荐HOME_NET填写内网网段,EXTERNAL_NET设
error while loading shared libraries: libevent-1.4.so.2: cannot open shared object file
长安明月的博客
05-10 773
libevent 会安装到 /usr/lib 或 /usr/local/lib 下,本次安装在了 /usr/lib 路径下。可以创建一些软链接,使得其他程序运行时能找到 libevent 库,如在 /usr/lib64 下创建软链接。报错提示:加载共享库时出错:libevent-1.4.so.2:无法打开共享对象文件:本机没有安装 libevent-1.4.so.2 或在库文件路径下不存在。切换到解压后的 libevent 主目录,配置安装路径,再编译及安装,步骤如下所示。
Suricata规则编写——HTTP关键字
Traxer的学习之路
04-03 8411
1.简介之前的常用关键字中介绍了content以及许多修饰它的关键字,除此之外,http协议中还有一些修饰content的关键字,也是由于http协议使用量较大,关键字较多,因此单独拿出来学习。参考:HTTP协议-维基百科。2.Request和Responsehttp协议包括了http request和http response数据包。通常,由HTTP客户端发起一个request请求,创建一个到服务
suricata的安装与使用
qq_43671947的博客
08-13 5795
记第一次使用suricata 1.安装 网上有许多安装方法,我试过用ubuntu21版安装,但失败了,好像用ubuntu18.04版安装会好一点,但我这里直接使用kali安装的(kali永远的神,我这用的2021最新版,kali越更新越好用),直接apt-get install suricata就安装好了,很快,感绝就像假的一样,但就是能用,之后就是安装签名(就是规则rules文件)就可以了,命令是suricata-update, 注意这是官方更新的rule规则,更新的配置文件存放在/var/lib/sur
error while loading shared libraries的解决方案
热门推荐
weixin_42310458的博客
06-08 6万+
error while loading shared libraries: libXXXXXXX.so.1: cannot open shared object file: No such file or directory的解决方案
suricata的基本使用
yeshankuangrenaaaaa的博客
09-04 5978
suricata suricata安装 规则管理 Oinkmaster 依赖 apt-get install liblua5.1-dev #配置支持lua,--enable-lua apt-get install libgeoip-dev #配置支持GeoIP,--enable-geoip apt-get install cargo #配置支持Rust suricata配置相关 设置EXTER...
suricata规则学习记录
weixin_41038905的博客
03-08 1412
Suricata快速模式(fast_pattern)确定解释 如果在规则中明确设置了’fast_pattern’关键字,Suricata将使用它作为快速模式匹配。fast_pattern关键字只能按规则设置一次。如果未设置“fast_pattern”,Suricata会自动确定要用作快速模式匹配的内容。以下说明Suricata用于自动确定要使用的快速模式匹配的逻辑。(请注意,如果存在正(即非否定)...
suricata学习
wsk004321的专栏
05-12 1万+
suricata简介》
Suricata规则编写——常用关键字
Traxer的学习之路
03-31 1万+
1.简介现在的NIDS领域snort一枝独秀,而suricata是完全兼容snort规则的多线程IDS,无论在效率还是性能上都超过原有的snort,这个系列主要针对suricata的规则中的一些关键字进行了解和学习,参考链接为:https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules2.基本关键字所
suricata detect-dns-query.c
最新发布
05-25
`detect-dns-query.c` 是 Suricata 中的一个规则文件,用于检测 DNS 查询流量。 Suricata 是一款开源的网络入侵检测系统(IDS)和入侵防御系统(IPS),它可以监控网络流量并检测潜在的攻击行为。 `detect-dns-query.c` 的具体实现可以在 Suricata 的源代码中找到,它是一段 C 语言代码,使用 Suricata 提供的 API 对 DNS 查询流量进行检测。在 Suricata 中,用户可以编写自己的规则文件来检测特定的网络流量,这些规则文件可以使用类似 `detect-dns-query.c` 这样的 C 语言代码来实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值