网络安全系列-三十六:使用Suricata IDS分析pcap文件

已于 2022-11-20 16:26:43 修改
阅读量1.2k 收藏
点赞数
分类专栏: 网络安全学习 文章标签: docker suricata IDS pcap
于 2022-11-07 23:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/penriver/article/details/127733348
版权

1. suricata简介

Suricata是一款高性能、开源的网络分析和威胁检测软件.
Suricata(稳定)版本为6.0.8;该版本于2022年9月27日发布。

suricata 官网

2. 安装suricata

2.1. 运行Suricata镜像

docker-suricata 源码
docker-suricata镜像

# 拉取镜像
docker pull jasonish/suricata:6.0.8

# 使用示例,需要将eth0替换为实际的网卡名称
docker run --name=suricata --rm -it --
了解本专栏 订阅专栏 解锁全文 超级会员免费看
enjoy编程
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
网络安全系列-四十三:使用Suricata分析恶意流量pcap文件
penriver的博客
11-23 2026
本文基于[网络安全系列-三十六:使用Suricata IDS分析pcap文件]和 [网络安全系列-四十二: Suricata之rulesets的激活、更新及动态加载]的基础上,使用suricata针对包含恶意流量的pcap文件进行分析,触发事件告警,并对suricata输出的日志进行逐个分析,让你掌握针对恶意流量的分析步骤,及怎么查看suricata输出的日志。
如何自动化的对PCAP数据包进行suricata/snort/zeek分析
村中少年的专栏
06-09 2009
如何通过dalton提供的API自动化分析数据包
使用suricata和bro分析pcap文件
kaixue123的博客
12-31 3042
使用suricata和bro分析pcap文件 作者没有在自己电脑上安装这两个软件,而是直接通过学校的服务器来使用suricata和bro的(这里推荐远程连接工具MobaXterm,比xshell好用太多),也是黑瞎子摸鱼,啥也不会,然后看suricata和bro的文档看到吐,下面的步骤比较简单,但对于当时零起步的我来说也是费了好大功夫(菜菜菜的,捂脸)~~~ 1.pcap包的来源: 1)从wire...
推荐项目:Suricata Docker Image——网络监控的利器
最新发布
gitblog_00067的博客
05-31 431
推荐项目:Suricata Docker Image——网络监控的利器 项目地址:https://gitcode.com/jasonish/docker-suricata网络安全日益重要的今天, Suricata作为一个高性能的网络监控引擎,扮演着至关重要的角色。结合Docker技术,我们迎来了Suricata Docker Image,这是安全与便捷性的完美融合。本文将从四个方面深入探讨这一...
使用suricata-5.0.3离线分析pcap
Fighting! Go! Go! Go!
08-12 3087
使用suricata-5.0.3离线分析pcap包一、编写规则文件二、抓取PCAP包三、分析四、运行结果 一、编写规则文件 /var/lib/suricata/rules/test.rules alert http any any -> any any (http_response_line; content:"200 OK"; sid:1;) 二、抓取PCAP包 1、/etc/suricata/suricata.yaml添加新编写的规则文件 2、实时分析:/usr/bin/suricata -c
dalton:Suricata和Snort IDS规则和pcap测试系统
05-13
道尔顿 Dalton是一个系统,该系统允许用户使用定义的规则集和/或定制规则针对自己选择的入侵检测系统(“ IDS”)传感器(例如Snort,Suricata)快速轻松地运行网络数据包捕获(“ pcaps”)。 道尔顿还为提供了一个类似于向导的Web界面,以方便自定义pcap的创建。 快速入门: ./start-dalton.sh 或做同样的事情: docker-compose build && docker-compose up -d 然后导航到http://<docker>/dalton/ 要配置可用的规则集,请参阅。 要配置可用的传感器,请参阅。 如果要在代理之后进行构建,请参阅 内容 Suricata套接字控制模式 作业设定 配置文件 工作结果 作业队列 感测器 道尔顿API 作业API 控制器API 茶壶工作 添加规则集 添加传感器 Docker传感
入侵检测:IDS-snort的安装配置及pcap规则编写思路
KEY0NE的个人博客
03-29 1684
介绍windows环境下的snort安装和配置,主要是为了下面写snort规则和验证规则做铺垫下载安装官网下载:https://www.snort.org/直接默认安装进入安装目录:C:\Snort配置文件编辑C:\Snort\etc\snort.conf 修改成如下图# Path to your rules files (this can be a relati...
pfsense-suricata-elk-docker:使用docker-compose将pfSense和Suricata绑定到ELK
05-08
pfsense-suricata-elk-docker 使用docker-compose将pfSense与Suricata绑定到ELK(Elasticsearch,logstash和kibana) 已针对Windows使用docker在Elasticsearch 6.3.0和pfSense 2.4.3-RELEASE-p1上进行了测试 这里...
suricata-update:更新您的Suricata规则的工具
04-30
点安装--upgrade suricata-update 文献资料 问题 用法示例 suricata更新 suricata-update的默认调用将执行以下操作: 阅读配置,/ etc / suricata / update.yaml(如果存在)。 读入规则过滤器配置文件: /etc/...
vagrant-ids:包含Suricata,PulledPork,Bro和Splunk的Ubuntu 16.04构建
02-06
它支持多种数据源,如网络接口卡、 pcap 文件和网络流数据。在项目中,Suricata将监控网络流量,提供威胁检测和报警。 3. **PulledPork**:PulledPork是一个开源工具,主要用于管理和更新Suricata的规则集。它可以...
docker-elk-suricata:针对pfSense和Suricata的ELK堆栈,针对Synology NAS进行了优化
02-05
docker-elk-suricata:针对pfSense和Suricata的ELK堆栈,针对Synology NAS进行了优化
suricata-dockersuricatadocker实现
02-24
suricata-docker suricatadocker实现
Amsterdam:基于DockerSuricata,Elasticsearch,Logstash,Kibana,Sirius aka SELKS
05-15
阿姆斯特丹 介绍 阿姆斯特丹是使用Compose的SELKS和Docker。 阿姆斯特丹的结果是提供了完整的Suricata IDS / NSM生态系统的一组容器: 苏里卡塔 弹性搜索 Logstash 基巴纳 希里乌斯 Evebox( ) ELK堆栈是使用官方docker映像创建的。 Logstash和Suricata之间的通信是通过共享目录(来自主机)完成的。 这适用于共享/ etc / suricata / rules目录的scirius和suricata。 安装 通用的 您可以通过运行从源目录安装amsterdam sudo python setup.py install 或者您可以使用pip安装最新发布的版本 sudo pip install amsterdam 德比安 您需要安装Docker。 在Debian上 sudo apt-get install docker.
docker-suricata:使用Docker在容器内的Suricata
05-24
码头工人苏里卡塔(Docker SuricataSuricata是一个开源IDS,IPS和NSM引擎。 有关更多信息,请访问其或查阅官方以获取技术信息。 对于高山用户:使用DockerDocker Compose运行Suricata的4.0.4版本。 这是Suricata的即用型。 要求 主机设定 安装版本17.12.0+ 安装版本1.6.0+ 用法 初始设置 现在您可以从高山发射。 默认情况下,.env文件中的OS_SURICATA设置为alpine 。 要进行选择,您必须设置OS_SURICATA环境变量或更改.env文件中的值。 可用值: 高山的 首先:使用docker-compose启动Suricata :(您必须在存储库中才能执行) docker-compose up 如果要在后台运行: docker-compose up -d Suricata
brimcap:无缝地将pcap转换为类型丰富的zng zeek和suricata日志
04-12
帽檐 命令行实用程序,用于将pcap数据转换为灵活的,可搜索的zng数据格式,如和zq。 快速开始 。 随手准备一个pcap(或从下载示例pcap)。 运行brimcap分析: brimcap analyze sample.pcap > sample.zng 使用浏览: zq -z "zeek=count(has(_path)), alerts=count(has(event_type='alert'))" logs.zng 与Brim桌面应用程序配合使用 为了以丰富的基于ui的体验浏览数据,可以使用brimcap load命令(适用于linux,macOS和Windows的构建)将来自分析的数据自动加载到*: 运行帽沿桌面应用程序。 在pcap上执行brimcap加载: brimcap load sample.pcap *集成目前还不是很好,很快就会有更好的体验! 安装
docker-suricata:Suricata Docker映像
05-07
Suricata Docker映像 用法 您很可能希望在主机上的网络接口上运行Suricata,而不是在容器内通常提供的网络接口上运行: docker run --rm -it --net=host \ --cap-add=net_admin --cap-add=sys_nice \ jasonish/suricata:latest -i <interface> 但是您可能想要查看Suricata记录的内容,因此您可能想要像这样启动它: docker run --rm -it --net=host \ --cap-add=net_admin --cap-add=sys_nice \ -v $(pwd)/logs:/var/log/suricata \ jasonish/suricata:latest -i <interface> 它将日志目录(在当前目
suricata收包模式
唐装鼠的主页
06-05 500
例如,如果您在Linux系统上运行Suricata,并且想要捕获本地网络接口上的数据包,则应使用AF_PACKET模式。如果您在防火墙上运行Suricata,并且想要捕获经过防火墙的数据包,则应使用NFQUEUE或IPFW模式。它适用于在Linux系统上运行的Suricata实例,可以捕获经过Linux防火墙的数据包。它适用于在Linux系统上运行的Suricata实例,可以捕获本地网络接口上的数据包。此模式还支持混杂模式,可以捕获网络上的所有数据包,而不仅仅是发送到本地接口的数据包。
Suricata高性能配置
u011311291的博客
03-05 6380
一.Suricata对包的规则检测 1.为了高性能,将规则按照一定算法分很多组(例如如果出现带有UDP协议的数据包,则不需要TCP协议的所有签名) 2.更多的分组有用更高的性能,但占用更多的内存,默认配置选项 detect: profile: medium custom-values: toclient-groups: 2 toserver-groups: 25 sgh...
Suricata+ELK 8.4.3(docker)可视化
Purpose_7的博客
10-14 2633
Suricata+ELK 8.4.3(docker)可视化
如何使用suricata6.0.9从pcap文件提取规则
03-31
1. 安装suricata6.0.9: 在Linux系统中,可以使用以下命令安装suricata6.0.9: ``` sudo apt-get update sudo apt-get install suricata ``` 2. 创建suricata规则: 在安装完成后,可以使用以下命令创建suricata规则: ``` sudo suricata-update sudo suricata-update enable-source oisf/trafficid sudo suricata-update update oisf/trafficid ``` 3. 从pcap文件提取规则: 使用以下命令从pcap文件提取规则: ``` sudo suricata -r pcap_file.pcap -S extracted_rules.rules ``` 其中,pcap_file.pcappcap文件的路径,extracted_rules.rules是提取出的规则文件的路径。 4. 检查提取出的规则: 可以使用以下命令检查提取出的规则是否存在问题: ``` sudo suricata -T -c extracted_rules.rules ``` 如果规则没有问题,将会输出“OK”。 5. 使用提取出的规则: 使用以下命令启动suricata使用提取出的规则: ``` sudo suricata -c extracted_rules.rules -r pcap_file.pcap ``` 其中,-c参数指定使用的规则文件,-r参数指定要检测的pcap文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

enjoy编程

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值