IPS:Suricata结合iptabale来实现对来访内网流量监控与防御

已于 2023-03-24 23:30:12 修改
阅读量1k 收藏 1
点赞数
文章标签: 服务器 网络 运维 IPS
于 2023-03-24 23:26:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39330735/article/details/129760022
版权

一、试验场景

试验目的:

1、通过搭建Suricata和iptables来实现端口和流量转发访问内网的web服务器

2、配置Suricata签名,结合iptables来对流量进行控制,实现waf的IPS功能

3、试验效果,对于危险的或存在攻击的访问流量进行drop,来达到保护内网web服务的效果

二、配置iptables

1、安装suricata和iptables

suricata:(安装)

yum install epel-release yum-plugin-copr
yum install yum copr enable @oisf/suricata-6.0
yum install suricata

iptabels:(安装)

yum -y install iptables iptables-services

#使用时候记得关闭防火墙

systemctl stop firewalld

systemctl disable firewalld

                

2、配置suricata

        这里的配置只需要注意,yaml配置文件中内网的IP网段要和试验对应起来即可

3、配置iptabels

        #开启远程转发

sysctl -w net.ipv4.ip_forward=1


        #入站的流量装入到内网的10.130web服务器上

sudo iptables -t nat -A PREROUTING -i ens33 -d 192.168.0.114 -p tcp --dport 80 -j DNAT --to-destination 10.10.10.130:80


        #从服务器出来的流量转到外网端口

iptables -t nat -A POSTROUTING -d 10.10.10.130 -p tcp --dport 80 -j SNAT --to 192.168.0.114


        #转发端口放行(配置完成后就可以通过访问0.114外网地址,来直接访问到我们内网的web站点内容,并且是在不知道内网web服务器的情况下)

iptables -t filter -I FORWARD -j ACCEPT    

#此时当我们外网访问我们的IPS的外网IP的之后,IPS会直接帮我们转发到内网

        

        #结合通过iptables结合suricata来对流量进行监控。IPS

iptables -I FORWARD -j NFQUEUE --queue-num 0           #(默认为0,可以不指定)  


        #启动suricata并且配置q=0后,可以配合iptables的策略来决定哪些流量会到达Suricata
suricata -c suricata.yaml -q 0

        此步骤完成后,我们的流量走向是通过IPS外网进入到IPS的Suricata,通过suricata来转发到IPS的内网网卡。因此,在流量经过Suricata的时候就可以进行进行一波检测。

三、配置Suricata

1、修改配置文件

        ①在suricata的rules的文件中新建一个规则文件 (suricata.rules)前缀随意

        ②在sericata.yaml配置文件中加入新建的规则配置

                        

2、在suricata.rules添加签名规则

 注:签名规则结构在签名的文章有讲解,这里不做解释。

#这是一条用于检测url地址中存在的sql注入,结合iptables就可以使用drop来对流量进行拦截

drop http $EXTERNAL_NET any <> $HOME_NET $HTTP_PORTS (msg:"疑似地址栏正在进行SQL注入"; http.uri; pcre: "/union.+|select.+|updatexml|select.+from|@@database|database()|information_schema|load_file|substr|left|#|--|order%20by|%20and%20|%20or%20|extractvalue/i"; priority: 3; sid:562001;)

四、效果

        这里使用的pikachu靶场进行演示,靶场在内网主机上,当作内网web服务。

1、进行一个简单的sql注入进程测试,提交注入的语句时候,浏览器会不停的在加载,我们看IPS

2、这里可以看到suricata检测出了存在攻击行为,所以会配合iptables来把数据包进行drop。

3、结果:浏览器是无法得到服务器返回的结果。危险流量数据被截断。

W金刚葫芦娃W
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
scirius:Scirius是用于Suricata规则集管理的Web应用程序
02-05
scirius:Scirius是用于Suricata规则集管理的Web应用程序
suricata安装与配置
simply
08-31 940
1、概述suricata来源于经典的nids系统snort,是一套基于流量的威胁检测引擎,整合了ids,ips,network security monitoring(NSM)和PCAP processing等功能。2、IDS功能通过监听流量并匹配规则引擎进行入侵实时监测和预警,检测手段上也和Wazuh比较类似。3、IPS功能。
suricata对HTTP/S实时日志跟踪】
最新发布
2301_76261573的博客
05-21 379
反制规则CS-Suricata规则编写和检测
基于wireshark打造安全分析师工具--解析suricata中的分析结果
村中少年的专栏
06-04 638
基于wireshark结合suricata的分析结果直接在wireshark UI上给出数据包中的攻击手段分析
开源工具利器之基于络的IDS:Suricata
黑白的博客
04-24 5280
主程序目录核心配置(suricata.yaml)日志eve.json:json格式的预警信息(类似wazuh的alert.json)fast.log:预警核心文件,只用于非结构化存储预警信息(类似wazuh的alert.log)stats.log:Suricata的统计信息suricata.log:程序运行日志。
Suricata+ELK集群监控办公流量
武天旭的博客
03-25 6424
背景 需要利用Suricata作为IDS来监控办公出口流量,同时利用ELK(Elasticsearch+Logstash+Kibana)集群进行数据存储与展示。 准备工作:在办公出口核心交换机上做端口流量镜像,将流量镜像端口连接到一台服务器上,以下的内容都是在这台服务器上开展的。
suricata-docker:suricata的docker实现
02-24
suricata-docker suricata的docker实现
求助:基于Suricata的IDSIPS发行版
02-02
在Linux环境中,这样的发行版可以帮助管理员实现流量的深度分析和实时警报。 "SELKS"是Secure Elastic Log and Kubernetes Server的缩写,是一个预配置的Linux发行版,专门设计用于快速部署和操作Suricata...
CDMCS:防御监控课程套件:: TICK,Suricata,Moloch
02-03
防御监控课程套件(CDMCS) 该材料旨在在教室环境中进行教学。 该材料缺少课堂上将涉及的一些上下文概念和想法。 此外,我们旨在涵盖前沿的开源开发和新兴工具。 我们的资料与官方资料和公共资料紧密相连,因为...
docker-suricata:Suricata Docker映像
05-07
而不是在容器内通常提供的络接口上运行: docker run --rm -it --net=host \ --cap-add=net_admin --cap-add=sys_nice \ jasonish/suricata:latest -i <interface>但是您可能想要查看Suricata记录的内容,...
evebox:Elastic Search中Suricata EVE事件的基于Web的事件查看器(GUI)
02-06
夏娃盒 EveBox是用于Elastic Search的基于Web的Suricata“ eve”事件查看器。 产品特点 基于Web的事件查看器,采用“收件箱”方法进行警报管理。 事件搜索。 用于将Suricata事件发送到EveBox服务器的代理(但您可以改用Filebeat / Logstash)。 嵌入式SQLite,用于独立安装。 要求 Suricata-生成警报和事件。 还有... 现有的ElasticSearch / Logstash(版本6或更高版本)设置已经在处理Suricata事件(EveBox此时Filebeat索引有问题)。 只需使用EveBox或EveBox
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,... 如果要使用Suricata来检测HTTPS有效负载中的攻击者,则应为nginx等HTTPS设置反向代理,然后将HTTP转发到应用程序服务器,并在此HTTP流量上运行Suricata。 如果您不确
suricata.yaml (一款高性能的络IDS、IPS络安全监控引擎)默认配置文件(图文详解)...
weixin_34072458的博客
08-09 1096
      不多说,直接上干货!       前期博客 基于CentOS6.5下Suricata(一款高性能的络IDS、IPS络安全监控引擎)的搭建(图文详解)(博主推荐)     或者 基于Ubuntu14.04下Suricata(一款高性能的络IDS、IPS络安全监控引擎)的搭建(图文详解)(博主推荐)          [root@surica...
使用iptables进行流量控制
Hi~ o(* ̄▽ ̄*)ブ
07-09 4023
systemctl管理iptables服务,yum remove iptables yum install iptables-services 保存规则的两种方式: service iptables save /usr/libexec/iptables/iptables.init save iptables -A INPUT -m limit -s 192.168.3.1...
Suricata规则配置
weixin_30394669的博客
04-12 1730
Suricata 规则配置 IDS/IPS/WAF IPS、IDS和WAF分别是入侵防御系统和入侵检测系统以及WEB应用防火墙的简称,很多人说这些玩意不就是盒子吗已经过时了,其实不是,SIEM其实是有效的正规的打法,对于内安全监控室非常必要的东西。之前大家的方式都是摒弃盒子思维,觉得盒子不靠谱防御不了真正的攻击行为。这样的理解难说不是国内众多盒子厂商(本人待过很多)走低价竞争路线的一个恶性...
搭建suricata系统 流量检测系统
m0_48474237的博客
05-31 939
1.配置suricata sudo vim /etc/suricata/suricata.yaml 有许多可能的配置选项,我们主要关注HOME_NET变量的设置和络接口配置。在大多数情况下,HOME_NET变量应该包括被监控接口的IP地址和所有使用的本地络。 2.更新suricata规则 sudo suricata-update Suricata使用签名来触发警报,所以有必要安装这些并保持更新。签名也称为规则,因此称为规则文件。使用该工具,Suricata -update规则可以被获取、更新和
利用iptables + zabbix-agent 监控进程端口流量
qq_48391148的博客
07-05 839
ARM架构下利用iptables 监控端口流量
Suricata IPS-NFQ模式
Chaowanq的博客
11-30 2585
Suricata IPS-NFQ模式 注:本文写于2019年,文中的相关概念的介绍摘抄出自哪里已经不记得,如有侵权请指出,本文将补充相关部分的引用。 1.Suricata运行模式 Suricata有两个运行模式的概念。 一个运行模式封装在RunModes(runmmode.c)结构体里,一个RunModes对应一组运行模式。Suricata支持的所有运行模式存储在runmodes数组中,定义为RunModes runmodes[RUNMODE_USER_MAX]。模式包括:“IDS+Pcap”模式组、“Fi
Suricata镜像流量解析--Suricata部署
Zpz501的博客
01-05 5251
突然讲镜像流量解析有一些突兀,那就大致讲一下为什么要做流量镜像吧。 目前公司的应用安全防火墙(WAF)基于日志做的拦截,日志来源于Nginx服务器的lua模块,对于Nginx性能有一定的损耗,加上系统解耦的需要。所以考虑用流量镜像的方式,部署单独的集群对日志进行处理,好处有下边几点: 1. 系统解耦; 2. 提高lua拦截模块性能; 3. 满足WAF业务更多的特殊需求,如攻击统计,展示,告
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值