CentOS7.8下安装Suricata7.0

于 2024-06-21 09:15:14 发布
阅读量760 收藏 5
点赞数 25
文章标签: 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24592455/article/details/139793489
版权

系统环境

     centOs7.8

安装源码包

sudo yum install epel-release yum-plugin-copr
sudo yum copr enable @oisf/suricata-7.0
sudo yum install suricata

Suricata 已预先配置为以用户身份运行。suricata

命令行参数(例如提供接口名称)可以是 在 中配置。/etc/sysconfig/suricata

用户可以在没有 root 权限的情况下运行,前提是他们 已添加到组中。suricata-updatesuricata

目录:

/etc/suricata:配置目录

/var/log/suricata:日志目录

/var/lib/suricata:状态目录规则、数据集

启动suricata

sudo systemctl start suricata

查看状态显示失败,失败内容显示没有规则文件

cat /etc/suricata/suricata.yaml

Alt
/var/lib/suricata/目前是没有文件

suricata-update更新规则

使用suricata-update更新规则 以为是默认配置所以更新后会看见规则文件
Alt

控制使用哪些规则

默认情况下,会将所有规则合并到一个文件中 “/var/lib/suricata/rules/suricata.rules”。suricata-update

要启用默认禁用的规则,请使用 /etc/suricata/enable.conf

2019401 /# enable signature with this sid
group:emerging-icmp.rules # enable this
rulefile re:trojan # enable all rules with this string

同样,要禁用规则,请使用 /etc/suricata/disable.conf:

2019401 # disable signature with this sid
group:emerging-info.rules # disable this rulefile
re:heartbleed # disable all rules with this string

更新这些文件后,再次重新运行:suricata-update

sudo suricata-update

最后重新启动Suricata。

(我没有这两个文件,可能是需要自己创建,没试过)

添加自己的规则

创建一个本地规则

sudo vim local.rules

增加内容

alert http $HOME_NET any -> $HOME_NET any (msg:"linter:内部访问"; flow:established,to_client; http.stat_code; content:"200"; sid:126;)

修改配置

sudo vim /etc/suricata/suricata.yaml

在这里插入图片描述

测试下

suricata -c /etc/suricata/suricata.yaml -i ens33

在这里插入图片描述
curl请求下
在这里插入图片描述
查看下结果
在这里插入图片描述
ps: 192.168.0.26 是装有suricata的服务器 其他IP提供web服务

pcap文件分析

准备4个文件
在这里插入图片描述

  1. 文件夹分析
suricata -c /etc/suricata/suricata.yaml -r /www/pcap  -l /www/Ids_task/offline/1

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  1. 文件夹分析
suricata -c /etc/suricata/suricata.yaml -r /www/pcap --pcap-file-delete -l /www/Ids_task/offline/2

在这里插入图片描述在这里插入图片描述
在这里插入图片描述
pcap/www/ 文件夹内文件被删除

  1. 监听文件夹 依次放入上面4个文件
suricata -c /etc/suricata/suricata.yaml -r /www/pcap --pcap-file-continuous -l /www/Ids_task/offline/3

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
输入ctrl-c
在这里插入图片描述
在这里插入图片描述在这里插入图片描述

  1. 监听文件夹 依次放入上面4个文件
suricata -c /etc/suricata/suricata.yaml -r /www/pcap --pcap-file-continuous --pcap-file-delete -l /www/Ids_task/offline/4

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
ctrl-c
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
pcap/www/ 文件夹内文件被删除

qq_24592455
关注
  • 25
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
suricata匹配从入门到精通(一)----suricata安装配置及使用
leeezp的博客
08-15 34万+
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。 Suricata安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。 在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata的环境配置、详细安装过程和使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...
suricata-configuration:Suricata 概述和设置说明
06-14
Suricata 配置 安装: 运行 install.sh 来安装 suricata: ./install.sh 默认安装模式是 IDS 模式。 如果要在 IPS 模式下安装,请运行: ./install.sh -IPS 这会在/usr/bin安装 suricata,在/etc/suricata安装配置文件。 跑步: 接下来在 IDS 模式下运行 suricata: ./run.sh -IDS ethX 其中 ethx 是监控流量的接口。 在 IPS 模式下运行 suricata: ./run.sh -IPS ethX 这将使用 iptables 规则将流量路由到 suricata。 要查看 http 日志,请参阅/var/log/suricata/http.log 。 日志比较 要比较 squid 和 suricata 的日志,请在包含 suricata 日志 (
suricata安装与配置
simply
08-31 937
1、概述suricata来源于经典的nids系统snort,是一套基于网络流量的威胁检测引擎,整合了ids,ips,network security monitoring(NSM)和PCAP processing等功能。2、IDS功能通过监听网卡流量并匹配规则引擎进行入侵实时监测和预警,检测手段上也和Wazuh比较类似。3、IPS功能。
在CentOS 7上安装和使用Suricata的详细步骤
秋̶᭄ꦿ攻城狮࿆ྂ
07-14 2006
Suricata已经安装并开始监控网络流量,检测潜在的入侵行为。你可以根据需要进行更多的配置,如日志记录、警报设置等。请参考Suricata的官方文档以获取更详细的配置和使用说明。文件,启用所需的规则集。在Suricata的配置文件中,找到并编辑。替换为要监控的网络接口,例如eth0。
Suricata下载 安装 及 运行
细雨青峦的博客
05-10 4947
Suricata 的下载,安装,基本使用,从头开始配置,运行 系统环境:Ubuntu18.04.6 live suricata 版本:suricata-6.0.4
centos7.8安装oracle.rar
09-07
在Linux环境下,尤其是CentOS操作系统上安装Oracle数据库,需要遵循特定的步骤,并且可能会遇到各种问题。本压缩包文件“centos7.8安装oracle.rar”提供了在CentOS 7.8上安装Oracle 11g所需的重要资源和解决方案。 ...
Centos7.8(2003) minimal版离线安装perl+gcc
09-22
centos7.8 离线安装gcc ,perl 下载本压缩包文件,然后在本地解压,并上传到centos7上,进入到你上传的文件目录,然后执行:rpm -Uvh *.rpm --nodeps --force 成功后,执行:perl -v 就可以看到perl版本号 然后执行:...
CentOS7.8.2003.7z
08-03
CentOS-7-x86_64-Minimal-2003 虚拟机文件(VMware 15)。 已完成静态IP、国内软件源配置。 用户:root/sir 密码:supreme 默认IP网段:192.168.32.102 注意:导入虚拟机时选择复制,而非移动
oracle 19c 集群搭建(esxi 7.0centos7.8)
04-22
Oracle 19c 集群搭建(ESXi 7.0 下 CentOS 7.8) 在本文中,我们将详细介绍如何在 ESXi 7.0 下的 CentOS 7.8 环境中搭建 Oracle 19c 集群。该集群将使用两台虚拟机,分别命名为 db1 和 db2,我们将指导您完成虚拟机...
ubuntu18.04和centos7.8离线安装telnet.zip
04-17
ubuntu18.04和centos7.8离线安装telnet服务端程序.,解除依赖问题
Su+ELK实现网络监测(1)——Suricata安装与配置
ytraister的博客
04-11 1929
suricata安装配置文档
suricata安装与使用
qq_43671947的博客
08-13 5829
记第一次使用suricata 1.安装 网上有许多安装方法,我试过用ubuntu21版安装,但失败了,好像用ubuntu18.04版安装会好一点,但我这里直接使用kali安装的(kali永远的神,我这用的2021最新版,kali越更新越好用),直接apt-get install suricata安装好了,很快,感绝就像假的一样,但就是能用,之后就是安装签名(就是规则rules文件)就可以了,命令是suricata-update, 注意这是官方更新的rule规则,更新的配置文件存放在/var/lib/sur
CENTOS上的网络安全工具(一)Suricata 离线部署
lhyzws的专栏
04-17 4814
构造rpm包及其依赖的离线安装环境 离线安装suricata,离线更新suricata规则,使用suricata离线检查pcap包
suricata的简介以及安装过程
qianligaoshan的专栏
04-08 6127
Suricata介绍
Suricata安装与使用:常用关键字、规则BUG
weixin_43778378的博客
01-24 2308
目录Suricata简介实验环境虚拟机版本信息Suricata版本Suricata安装安装过程更新规则库常用规则关键字Suricata使用补充说明 Suricata简介 Suricata是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。 实验环境 虚拟机版本信息 虚拟机平台:VMw
【源码部署】Linux系统部署suricata
小卓仗剑走天涯的博客
04-20 1358
文章目录安装过程安装过程以及可能出现的问题1、运行环境2、安装库文件3、安装suricata4、下载规则库5、启动项目6、可能出现的问题 安装过程 参考博客 https://www.cnblogs.com/miansj/p/13996181.html https://blog.csdn.net/javajiawei/article/details/104428725/ http://blog.leanote.com/post/heming/suricata%E5%AE%89%E8%A3%85%E7%BC%
基于DPDK收包的suricata安装和运行
每天分享一个编程小知识
03-30 1859
先用lshw -C network -businfo命令找到网卡的pcie地址,然后在/usr/local/etc/suricata/suricata.yaml文件中配置suricata DPDK收包,主要修改interface和copy-iface配置。suricata是一个基于规则的入侵检测和防御引擎,功能强大,但性能可能 差强人意,不过目前最新的7版本已经支持DPDK收包了,DPDK是Intel提供的高性能网络收发包开源库,可想而知,suricata支持DPDK收包会带来性能的极大提升。
centos7.8安装教程
最新发布
09-07
Centos 7.8安装教程如下: 1. 首先,你需要准备一台电脑和一个U盘(至少8G的容量)。你还需要下载Centos 7.8的ISO镜像文件,你可以在Centos官网的下载页面找到它。 2. 打开YUMI(一个制作启动盘的工具),将ISO镜像文件和U盘插入电脑。在YUMI中选择U盘作为目标,并选择Centos作为要安装的系统。然后选择刚刚下载的Centos 7.8的镜像文件。点击"create"开始制作启动盘。 3. 制作完成后,重启电脑并进入BIOS设置界面(通常按下DEL键)。将U盘设置为启动盘,并保存设置。然后重新启动电脑。 4. 当电脑重新启动时,你会看到一个安装界面,它会让你选择测试或直接安装Centos。选择直接安装,然后按照屏幕上的指示完成安装。 5. 安装过程中会出现一些选择,比如选择语言和分区等。根据自己的需求进行选择即可。 6. 完成安装后,你将可以使用Centos 7.8操作系统了。 希望这个教程对你有帮助!如果你还有其他问题,请随时提问。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值