系统环境
centOs7.8
安装源码包
sudo yum install epel-release yum-plugin-copr
sudo yum copr enable @oisf/suricata-7.0
sudo yum install suricata
Suricata 已预先配置为以用户身份运行。suricata
命令行参数(例如提供接口名称)可以是 在 中配置。/etc/sysconfig/suricata
用户可以在没有 root 权限的情况下运行,前提是他们 已添加到组中。suricata-updatesuricata
目录:
/etc/suricata:配置目录
/var/log/suricata:日志目录
/var/lib/suricata:状态目录规则、数据集
启动suricata
sudo systemctl start suricata
查看状态显示失败,失败内容显示没有规则文件
cat /etc/suricata/suricata.yaml
/var/lib/suricata/目前是没有文件
suricata-update更新规则
使用suricata-update更新规则 以为是默认配置所以更新后会看见规则文件
控制使用哪些规则
默认情况下,会将所有规则合并到一个文件中 “/var/lib/suricata/rules/suricata.rules”。suricata-update
要启用默认禁用的规则,请使用 /etc/suricata/enable.conf
2019401 /# enable signature with this sid
group:emerging-icmp.rules # enable this
rulefile re:trojan # enable all rules with this string
同样,要禁用规则,请使用 /etc/suricata/disable.conf:
2019401 # disable signature with this sid
group:emerging-info.rules # disable this rulefile
re:heartbleed # disable all rules with this string
更新这些文件后,再次重新运行:suricata-update
sudo suricata-update
最后重新启动Suricata。
(我没有这两个文件,可能是需要自己创建,没试过)
添加自己的规则
创建一个本地规则
sudo vim local.rules
增加内容
alert http $HOME_NET any -> $HOME_NET any (msg:"linter:内部访问"; flow:established,to_client; http.stat_code; content:"200"; sid:126;)
修改配置
sudo vim /etc/suricata/suricata.yaml
测试下
suricata -c /etc/suricata/suricata.yaml -i ens33
curl请求下
查看下结果
ps: 192.168.0.26 是装有suricata的服务器 其他IP提供web服务
pcap文件分析
准备4个文件
- 文件夹分析
suricata -c /etc/suricata/suricata.yaml -r /www/pcap -l /www/Ids_task/offline/1
- 文件夹分析
suricata -c /etc/suricata/suricata.yaml -r /www/pcap --pcap-file-delete -l /www/Ids_task/offline/2
pcap/www/ 文件夹内文件被删除
- 监听文件夹 依次放入上面4个文件
suricata -c /etc/suricata/suricata.yaml -r /www/pcap --pcap-file-continuous -l /www/Ids_task/offline/3
输入ctrl-c
- 监听文件夹 依次放入上面4个文件
suricata -c /etc/suricata/suricata.yaml -r /www/pcap --pcap-file-continuous --pcap-file-delete -l /www/Ids_task/offline/4
ctrl-c
pcap/www/ 文件夹内文件被删除