suricata匹配从入门到精通(五)----二次开发保护规则库

最新推荐文章于 2024-05-13 08:17:58 发布
最新推荐文章于 2024-05-13 08:17:58 发布
阅读量9.8w 收藏
点赞数
分类专栏: suricata IDS NTA 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leeezp/article/details/133921878
版权
NTA 同时被 3 个专栏收录
6 篇文章 0 订阅
订阅专栏
suricata
5 篇文章 0 订阅
订阅专栏
IDS
3 篇文章 0 订阅
订阅专栏
本文介绍了如何基于Suricata 6.0.1进行二次开发,以保护资源包不被直接访问。主要涉及修改`suricata.c`和`detect-engine-loader.c`,引入Python脚本执行加密规则库。通过新增的`DetectLoadEncryptSigFile()`方法,实现了加载加密文件的功能。
摘要由CSDN通过智能技术生成

0x00 背景

开源的suricata资源包是没有做加密处理,如果想要保护资源包,需要二次开发修改suricata源码。

本文基于suricata6.0.1 版本https://github.com/OISF/suricata/archive/refs/tags/suricata-6.0.1.zip二开。

0x01 实践

通过debug,跟规则处理相关需要修改2个地方。

1. src/suricata.c
2. src/detect-engine-loader.c

3. src/detect.h  和 configure.ac 应该是没改

修改suricata.c

原 237行下面加了2句:
extern int py_env_init();
extern void py_env_finilize();


修改

leeezp
关注
专栏目录
suricata匹配从入门到精通(二)----suricata 绕过系列(持续更新...)
leeezp的博客
08-19 33万+
在使用suricata的过程中遇到很多绕过(检测引擎漏报)或者说suricata现有架构难以实现检测(检测引擎误报)的部分,这里简单记录一些复现,没有一一总结了,就想到哪里写到哪里,陆续更新吧。(欢迎同好交流) suricata bypass,suricata 绕过...
Suricata引擎二次开发之命中规则定位
最新发布
C20220511的博客
07-11 782
前段时间搭了个suricata引擎播包测试流量规则,发现原生的suricata引擎并不能获取规则匹配的位置、命中的字符串等信息。因suricata引擎并不会输出命中的信息,遂修改源码,改了命中详情(下文简称高亮)出来,今天想跟大家分享一下修改和使用的过程。suricata引擎使用多线程技术,能够快速、准确地分析网络流量并识别潜在的安全威胁,是众多IDS和IPS厂商的底层规则检测模块。f为flow结构体也就是会带到打印日志那边的结构体,在结构体中新加一个字符串,即可达成带数据到日志流程的目的。
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新Suricata规则,并将其保存在管理良好的数据中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分: 文件README.md包含3个部分: 漏洞概述 概念验证(PoC)或换句话说,是恶意有效载荷的样本 参考 文件.rules拥有Suricata规则本身。 笔记 许多服务都在HTTPS上运行,但是Suricata无法分析加密的数据。 如果要使用Suricata来检测HTTPS有效负载中的攻击者,则应为nginx等HTTPS设置反向代理,然后将HTTP转发到应用程序服务器,并在此HTTP流量上运行Suricata。 如果您不确
探秘Suricata规则网络安全的新盾牌
gitblog_00022的博客
04-10 539
探秘Suricata规则网络安全的新盾牌 项目地址:https://gitcode.com/al0ne/suricata-rules 项目简介 在网络安全领域, Suricata是一个强大的开源网络入侵检测系统(NIDS)和网络入侵预防系统(NIPS)。它能够实时监控网络流量,识别并阻止恶意活动。而suricata-rules是Al0ne维护的一个Suricata自定义规则,提供了大量预设...
Suricata】03-Suricata 7.0.x 规则管理
Simo2024的博客
05-13 1066
本文介绍了Suricata开源规则的更新、查看、启用、关闭、删除。具体规则的启用、禁用、修改、删除;以及如何在不重启suricata引擎的情况下,如何重新加载规则,给规则设置白名单等操作。
Suricata规则:网络流量监控与安全防护的利器
gitblog_00024的博客
04-09 429
Suricata规则:网络流量监控与安全防护的利器 项目地址:https://gitcode.com/suricata-rules/suricata-rules Suricata规则是一个开源项目,专门为Suricata网络安全引擎提供了一系列规则和配置,用于检测、预防和响应网络上的恶意活动。这个项目的目的是帮助IT专业人员更好地保护他们的网络环境,防止各种网络安全威胁。 项目简介 Suric...
suricata自带的规则/网上能找到的Suricata规则
oXingYunQing的博客
09-09 3984
(1) (2) https://zhuanlan.zhihu.com/p/36340468 Suricata规则介绍、以及使用suricata-update做规则管理
suricata-update:更新您的Suricata规则的工具
04-30
点安装--upgrade suricata-update 文献资料 问题 用法示例 suricata更新 suricata-update的默认调用将执行以下操作: 阅读配置,/ etc / suricata / update.yaml(如果存在)。 读入规则过滤器配置文件: /etc/...
pfsense-suricata-elk-docker:使用docker-compose将pfSense和Suricata绑定到ELK
05-08
pfsense-suricata-elk-docker 使用docker-compose将pfSense与Suricata绑定到ELK(Elasticsearch,logstash和kibana) 已针对Windows使用docker在Elasticsearch 6.3.0和pfSense 2.4.3-RELEASE-p1上进行了测试 这里...
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF.
Suricata-开源
07-06
它是一个基于 PHP 和 PHP::DB 的项目管理员管理器,能够管理任务、资源并生成甘特图和作业条目图表。
Suricata/Snort规则参考
HoloLens的博客
08-21 4583
Suricata/Snort规则参考 文章目录Suricata/Snort规则参考限制优势6. Suricata 规则6.1. 规则格式6.1.1. 动作(Action)6.1.2. 协议(Protocol)6.1.3. 源和目的(Source and destination)6.1.4. 端口(Source and destination)6.1.5. 方向(Direction)6.1.6. 规则选项(Rule options)6.1.6.1. 修饰器关键词(Modifier Keywords)6.1.6
Suricata之源代码(二)
qianligaoshan的专栏
04-11 1855
在前面我
网络入侵检测系统之Suricata(二)
诗酒趁年华
01-07 1656
Running mode Sruciata由线程和队列组成,数据包在线程间传递通过队列实现。线程由多个线程模块组成,每个线程模块实现一种功能。 Suricata有多种运行模式,这些模式与抓包驱动和IDS/IPS选择相关联。抓包驱动如:pcap, pcap file,nfqueue,ipfw,dpdk或者一个特有的抓包驱动等。Suricata在启动时只能选择某个运行模式。如-i选项表示pcap, -r表示pcapfile,-q表示nfqueue等。每一种运行模式都会初始化一些threads,queues等。模
Suricata 离线部署及rules规则触发使用教程(支持windows虚拟机及centos7_arm64_服务器)
qq_45560958的博客
09-19 1584
这一次虽然直接安装成功了,但是我第一次安装suricata的时候报错,缺少,不论是虚拟机上和在线的centos服务器上都报缺,并且他们缺的名称还不一样,报错的时候我没截图,如果你也会报错的话解决方案如下,只做参考,实际根据你缺的进行调整。因为我在离线机器和在线机器映射的是同一个windows的文件夹,所以我两个虚拟机里的文件内容是一样的,如果你没有映射同一个文件夹,可以直接把在线机器的文件拷贝出来,然后放到离线机器的任意目录下面也可以以,下面配置离线源。
使用Oinkmaster管理suricata规则
u011311291的博客
08-05 943
下载后解压就可用,功能可以查看README,http://oinkmaster.sourceforge.net/ 基本上的功能 如果本地没有rules,可以在oinkmaster.conf中设置 url = https://rules.emergingthreats.net/open/suricata-3.2/emerging.rules.tar.gz 如果本地有规则rules,不通过网上下载,...
Suricata IDS 入门 — 规则详解
SHELLCODE_8BIT的博客
12-21 6547
suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)与nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。 安全脉搏SecPulse.Com独家发文,如需转载,请先联系授权。 1.规则配置 配置文件位置:/etc/suricata/suricata.yaml 规则目录位置:/etc/suricata/rules 先设置HOME_NET与EXTERNAL_NET,推荐HOME_NET填写内网网段,EXTERNAL_NET设
Suricata的官方规则emerging-all.rules包含哪些方面的攻击规则
05-25
Suricata的官方规则emerging-all.rules包含了各种类型的攻击规则,如: - 基于网络的攻击规则:这些规则旨在检测网络层、传输层和应用层协议中的各种攻击,如DDoS攻击、SYN Flood攻击、DNS欺骗攻击等。 - 恶意软件攻击规则:这些规则旨在检测各种类型的恶意软件,如病毒、木马、间谍软件等。 - Web应用程序攻击规则:这些规则旨在检测针对Web应用程序的各种攻击,如SQL注入、XSS攻击、文件包含攻击等。 - 无线网络攻击规则:这些规则旨在检测无线网络中的各种攻击,如WEP/WPA加密攻击、无线中间人攻击等。 - VoIP攻击规则:这些规则旨在检测VoIP网络中的各种攻击,如SIP扫描、SIP INVITE泛洪攻击等。 总的来说,emerging-all.rules中包含了各种类型的攻击规则,可以有效地保护网络安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值