suricata匹配从入门到精通(五)----二次开发保护规则库

于 2023-10-20 10:41:41 发布
阅读量5.8w 收藏
点赞数
分类专栏: suricata IDS NTA 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leeezp/article/details/133921878
版权
suricata 同时被 3 个专栏收录
5 篇文章 0 订阅
订阅专栏
NTA
5 篇文章 0 订阅
订阅专栏
IDS
3 篇文章 0 订阅
订阅专栏

0x00 背景

开源的suricata资源包是没有做加密处理,如果想要保护资源包,需要二次开发修改suricata源码。

本文基于suricata6.0.1 版本https://github.com/OISF/suricata/archive/refs/tags/suricata-6.0.1.zip二开。

0x01 实践

通过debug,跟规则处理相关需要修改2个地方。

1. src/suricata.c
2. src/detect-engine-loader.c

3. src/detect.h  和 configure.ac 应该是没改

修改suricata.c

原 237行下面加了2句:
extern int py_env_init();
extern void py_env_finilize();


修改 void PostConfLoadedDetectSetup(SCInstance *suri) 方法
原2350行后新增1句:
py_env_init();

原2827行新增1句:
py_env_finilize();

修改 src/detect-engine-loader.c

新增2个方法的实现:

PyObject * pModule = NULL;
PyObject * pFunc = NULL;

int py_env_init()
{
    const char *module_name = "hello2";
    const char *module_method = "test";
    
    Py_Initialize();//调用Py_Initialize()进行初始化

    PyRun_SimpleString("import sys");
    //PyRun_SimpleString("import logrec");
    PyRun_SimpleString("sys.path.append('/opt/ids/objectdir')");
    
    pModule = PyImport_ImportModule(module_name);//调用的Python文件名
    if (!pModule) {
        SCLogError(SC_ERR_OPENING_RULE_FILE, "Failed to load \"%s\"", module_name);
        return -1;
    }
    
    pFunc = PyObject_GetAttrString(pModule, module_method);//调用的函数名
    //创建参数:
    //PyObject *pArgs = PyTuple_New(1);
    //PyTuple_SetItem(pArgs, 0, Py_BuildValue("s", "Hello Python!!"));
    if (!pFunc) {
        SCLogError(SC_ERR_OPENING_RULE_FILE, "Cannot find python function \"%s\"", module_method);
        return -1;
    }

    return 0;
}


void py_env_finilize()
{
    Py_DECREF(pFunc);
    Py_DECREF(pModule);
    Py_Finalize();//调用Py_Finalize,和Py_Initialize相对应的.
}

上面代码的作用是引入 /opt/ids/objectdir 路径下的 hello2.py 并执行它里面的 test() 方法。

再根据源代码 detect-engine-loader.c中的方法DetectLoadSigFile() 新增一个方法:DetectLoadEncryptSigFile() 用于读取加密文件:

static void GetContentFromSigFile(char *content)
{
    PyObject *pReturn = NULL;
        
    //pReturn=PyEval_CallObject(pFunc, pArgs);//调用函数,并传入参数pArgs
    if (pFunc && PyCallable_Check(pFunc)) {
        pReturn=PyEval_CallObject(pFunc, NULL);
        if (pReturn) {
            char *result = NULL;
            PyArg_Parse(pReturn, "s", &result);
            if (result) {
                strncpy(content, result, strlen(result) > SIG_RULE_MAX_BUFFER_SIZE ? SIG_RULE_MAX_BUFFER_SIZE : strlen(result));
            } else {
                SCLogError(SC_ERR_OPENING_RULE_FILE, "Result parse error");
            }
                
            Py_DECREF(pReturn);
        } else {
            SCLogError(SC_ERR_OPENING_RULE_FILE, "Call python method failed");
        }
    }
}


static int my_split(char **dst, char *src, char const *sep)
{
    int num = 0;
    char *tmp = NULL;
    for (dst[num] =strtok_r(src, sep, &tmp); dst[num] != NULL; dst[++num] = strtok_r(NULL, sep, &tmp));
    return num;
}


static int DetectLoadEncryptSigFile(DetectEngineCtx *de_ctx, char *sig_file,
        int *goodsigs, int *badsigs)
{
    Signature *sig = NULL;
    int good = 0, bad = 0;
    char line[DETECT_MAX_RULE_SIZE] = "";
    size_t offset = 0;
    int lineno = 0, multiline = 0;
    char *p[SIG_RULE_MAX_NUM];
    const char *token = "\r\n";
    int i;
    char *content = (char *)malloc(SIG_RULE_MAX_BUFFER_SIZE);
    (*goodsigs) = 0;
    (*badsigs) = 0;

    memset(content, 0, SIG_RULE_MAX_BUFFER_SIZE);
    GetContentFromSigFile(content);
    if (content == NULL) {
        SCLogError(SC_ERR_OPENING_RULE_FILE, "opening rule file %s:", sig_file);
        return -1;
    }

    int num = my_split(p, content, token);
    //while(fgets(line + offset, (int)sizeof(line) - offset, fp) != NULL) {
    for (i = 0; i < num; i++) {
        strncpy(line + offset, p[i], (int)sizeof(line) - offset);
        lineno++;
        size_t len = strlen(line);

        /* ignore comments and empty lines */
        if (line[0] == '\n' || line [0] == '\r' || line[0] == ' ' || line[0] == '#' || line[0] == '\t')
            continue;

        /* Check for multiline rules. */
        while (len > 0 && isspace((unsigned char)line[--len]));
        if (line[len] == '\\') {
            multiline++;
            offset = len;
            if (offset < sizeof(line) - 1) {
                /* We have room for more. */
                continue;
            }
            /* No more room in line buffer, continue, rule will fail
             * to parse. */
        }

        /* Check if we have a trailing newline, and remove it */
        len = strlen(line);
        if (len > 0 && (line[len - 1] == '\n' || line[len - 1] == '\r')) {
            line[len - 1] = '\0';
        }

        /* Reset offset. */
        offset = 0;

        de_ctx->rule_file = sig_file;
        de_ctx->rule_line = lineno - multiline;

        sig = DetectEngineAppendSig(de_ctx, line);
        if (sig != NULL) {
            if (rule_engine_analysis_set || fp_engine_analysis_set) {
                RetrieveFPForSig(de_ctx, sig);
                if (fp_engine_analysis_set) {
                    EngineAnalysisFP(de_ctx, sig, line);
                }
                if (rule_engine_analysis_set) {
                    EngineAnalysisRules(de_ctx, sig, line);
                }
            }
            SCLogDebug("signature %"PRIu32" loaded", sig->id);
            good++;
        } else {
            if (!de_ctx->sigerror_silent) {
                SCLogError(SC_ERR_INVALID_SIGNATURE, "error parsing signature \"%s\" from "
                        "file %s at line %"PRId32"", line, sig_file, lineno - multiline);

                if (!SigStringAppend(&de_ctx->sig_stat, sig_file, line, de_ctx->sigerror, (lineno - multiline))) {
                    SCLogError(SC_ERR_MEM_ALLOC, "Error adding sig \"%s\" from "
                            "file %s at line %"PRId32"", line, sig_file, lineno - multiline);
                }
                if (de_ctx->sigerror) {
                    de_ctx->sigerror = NULL;
                }
            }
            if (rule_engine_analysis_set) {
                EngineAnalysisRulesFailure(line, sig_file, lineno - multiline);
            }
            if (!de_ctx->sigerror_ok) {
                bad++;
            }
        }
        multiline = 0;
    }
    free(content);

    *goodsigs = good;
    *badsigs = bad;
    return 0;
}

0x02 后记

本文只是抛砖引玉,hello2里面的代码读者也可以自行发挥想象力去编写,目的是读取加密的规则库。分享一下我的设计理念,这份代码使用了python调用c编译的so而已 :) 以后有机会再细讲吧~~

leeezp
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新Suricata规则,并将其保存在管理良好的数据中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分: 文件README.md包含3个部分: 漏洞概述 概念验证(PoC)或换句话说,是恶意有效载荷的样本 参考 文件.rules拥有Suricata规则本身。 笔记 许多服务都在HTTPS上运行,但是Suricata无法分析加密的数据。 如果要使用Suricata来检测HTTPS有效负载中的攻击者,则应为nginx等HTTPS设置反向代理,然后将HTTP转发到应用程序服务器,并在此HTTP流量上运行Suricata。 如果您不确
suricata如何进行性能分析
村中少年的专栏
10-24 2790
介绍一下suricata中提供的一些性能分析方法。
suricata 3.1 源码分析5
superbfly的专栏
09-01 4087
if (PostConfLoadedSetup(&suri) != TM_ECODE_OK) { exit(EXIT_FAILURE); } 执行PostConfLoadedSetup,即运行那些需要在配置载入完成后就立马执行的函数。这里面涉及的流程和函数非常多 /** * This function is meant to contain code that
suricata 学习使用
热门推荐
累兰羽的博客
07-06 1万+
学习使用suricata 安装suricata 查看suricata的官方文档 在下ubuntu16.04下编译安装: -必须要的依赖包: sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \ build-essential autoconf automake libtool libpcap-dev libn...
suricata 3.1 源码分析4
superbfly的专栏
08-31 2708
GlobalInits();初始化全局变量。包括:数据包队列trans_q、数据队列data_queues(干嘛的?)、对应的mutex和cond、建立小写字母表。TimeInit(); 初始化时间。包括:获取当前时间所用的spin lock,以及设置时区(调用tzset()即可)。SupportFastPatternForSigMatchTypes(); 为快速模式匹配注册关键字。调用Suppor
suricata的简单探究
围城
06-26 902
20210625- 0.引言 写过一篇文章《Suricata+ELK(Docker化部署)数据展示》,利用suricata在流量出口位置实现网络流量的事件监测。当时采用的规则,是一些开源的规则,当时使用完这些规则之后,发现误报什么的,还是挺多的。 对于suricata来说,这个软件我还是使用了非常多的,因为他本身作为一个流量处理引擎,完成的事情也挺多。所以最近就想着,能不能对他深入进行一些理解,所以在这篇文章中进行记录。 (文章属于自己阅读过程中的随感产物) 1. suricata的学习记录 本部分并没有参
漫谈反入侵技术的二三事
si1ence的博客
01-11 3025
安全建设的主要方向粗略的看主要也分成二个大类,安全合规与反入侵;合规的驱动力为首要业务典型类似于ISO27001、等级保护等维度。而在反入侵的方向是以保护现有业务的CIA属性为主要的出发点,以攻击者的视角审视当前的风险并加以防护与检测,相比于法律合规当中明确了各项指标与参数的checklist,反入侵的工作开展难度明显要复杂的多,面临的挑战与技术的积累也要求更高。安全工作的本质上还是攻防双方之间人与之间的对抗、攻击技术与检测技术的对抗、流程与组织架构之间的对抗。
suricata 3.1 源码分析7
superbfly的专栏
09-05 2229
DetectEngineCtx *de_ctx = NULL; if (!suri.disabled_detect) { //detect设为启用 SCClassConfInit(); 解析Class相关正则 SCReferenceConfInit(); 解析Refference相关正则 SetupDelayedDetect(&suri);
网络入侵检测系统之Suricata(二)
诗酒趁年华
01-07 1458
Running mode Sruciata由线程和队列组成,数据包在线程间传递通过队列实现。线程由多个线程模块组成,每个线程模块实现一种功能。 Suricata有多种运行模式,这些模式与抓包驱动和IDS/IPS选择相关联。抓包驱动如:pcap, pcap file,nfqueue,ipfw,dpdk或者一个特有的抓包驱动等。Suricata在启动时只能选择某个运行模式。如-i选项表示pcap, -r表示pcapfile,-q表示nfqueue等。每一种运行模式都会初始化一些threads,queues等。模
小白建站——宝塔Linux配合阿里云服务器搭建属于自己的网站
一碗周
11-19 377
古之立大事者,不惟有超世之才,亦必有坚忍不拔之志——苏轼 写在前面 由于现在大部分服务器都是 Linux 系统,全球最快的10台超级计算机也是 Linux 系统,由于 Linux 本身有一些难度,上手的成本比较高,这就导致我们建站时耗费的成本是相当大的,这时我们我们今天的主角 宝塔Linux 就可以大显神通了。 引入一段官方的介绍:宝塔Linux面板是提升运维效率的服务器管理软件,支持一键LAMP/LNMP/集群/监控/网站/FTP/数据/JAVA等100多项服务器管理功能。 安装宝塔面板 在安装宝塔.
suricata-update:更新您的Suricata规则的工具
04-30
点安装--upgrade suricata-update 文献资料 问题 用法示例 suricata更新 suricata-update的默认调用将执行以下操作: 阅读配置,/ etc / suricata / update.yaml(如果存在)。 读入规则过滤器配置文件: /etc/...
pfsense-suricata-elk-docker:使用docker-compose将pfSense和Suricata绑定到ELK
05-08
pfsense-suricata-elk-docker 使用docker-compose将pfSense与Suricata绑定到ELK(Elasticsearch,logstash和kibana) 已针对Windows使用docker在Elasticsearch 6.3.0和pfSense 2.4.3-RELEASE-p1上进行了测试 这里...
suricata-verify:Suricata验证测试-测试Suricata输出
03-30
运行所有测试在您的Suricata源目录中运行: ../path/to/suricata-verify/run.py或运行一个测试: ../path/to/suricata-tests/run.py TEST-NAME添加新测试创建一个目录,该目录是新测试的名称。 将单个pcap文件复制到...
发烧:适用于Suricata的EVE-JSON格式的快速,可扩展,多功能事件路由器
02-04
快速,可扩展,多功能事件路由器(FEVER)是一种用于快速处理Suricata的JSON EVE输出中的事件的工具。 “处理”的含义是由许多模块化组件定义的,例如,便于快速提取到数据中。 其他处理器实现各种元数据(例如,...
docker-suricata:使用Docker在容器内的Suricata
05-24
码头工人苏里卡塔(Docker SuricataSuricata是一个开源IDS,...首先:使用docker-compose启动Suricata :(您必须在存储中才能执行) docker-compose up 如果要在后台运行: docker-compose up -d Suricata
suricata-readthedocs-io-en-latest.pdf
07-06
suricata 原文手册
docker-elk-suricata:针对pfSense和Suricata的ELK堆栈,针对Synology NAS进行了优化
02-05
docker-elk-suricata:针对pfSense和Suricata的ELK堆栈,针对Synology NAS进行了优化
vagrant-ids:包含Suricata,PulledPork,Bro和Splunk的Ubuntu 16.04构建
02-06
vagrant-ids:包含Suricata,PulledPork,Bro和Splunk的Ubuntu 16.04构建
py-idstools:idstools
05-01
py-ids工具 py-idstools是用于IDS系统(通常是Snort和Suricata)的Python的集合。包含程序rulecat-Suricata基本规则管理工具,适合替代Oinkmaster和Pulled Pork。 eve2pcap-将eve日志中的数据包和有效负载转换为...
Suricata的官方规则emerging-all.rules包含哪些方面的攻击规则
最新发布
05-25
Suricata的官方规则emerging-all.rules包含了各种类型的攻击规则,如: - 基于网络的攻击规则:这些规则旨在检测网络层、传输层和应用层协议中的各种攻击,如DDoS攻击、SYN Flood攻击、DNS欺骗攻击等。 - 恶意软件攻击规则:这些规则旨在检测各种类型的恶意软件,如病毒、木马、间谍软件等。 - Web应用程序攻击规则:这些规则旨在检测针对Web应用程序的各种攻击,如SQL注入、XSS攻击、文件包含攻击等。 - 无线网络攻击规则:这些规则旨在检测无线网络中的各种攻击,如WEP/WPA加密攻击、无线中间人攻击等。 - VoIP攻击规则:这些规则旨在检测VoIP网络中的各种攻击,如SIP扫描、SIP INVITE泛洪攻击等。 总的来说,emerging-all.rules中包含了各种类型的攻击规则,可以有效地保护网络安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值