下载地址:
学习社区
Suricata User Guide — Suricata 6.0.10 documentation
Overview - Suricata - Open Information Security Foundation 论坛bug
关于 Suricata 的中文文档,目前有一些比较好的资源可供参考,包括:
Suricata 中文文档(https://suricata-cn.readthedocs.io/zh_CN/latest/):这是由中国 Suricata 用户协会维护的一个中文文档,覆盖了 Suricata 的基础知识、安装配置、使用教程、高级功能等方面内容。
Suricata 入门指南(https://zhuanlan.zhihu.com/p/44931902) :这是一篇由安全从业者撰写的入门指南,介绍了 Suricata 的基本概念、工作原理、使用方法等内容。
Suricata 网络入侵检测实战(
Suricata 的基础知识、配置方法、规则编写、漏洞利用等方面内容,适合初学者和进阶者阅读。
一、介绍
二、IDS(入侵检测系统)
三、IPS(入侵预防系统)
四、IPS和IDS的区别
五、suricata提供的功能
5.1、事件
5.2、处理动作
5.3、报文的处理流程
一、介绍
suricata是一款包含IDS、IPS的网络数据包监控引擎
二、IDS(入侵检测系统)
2.1、概念:通过一定的安全策略,实现对网络/系统的运行状态、关键信息进行监测。
存在主机型/网络型入侵检测
- 主机型检测目标为主机审计文件内容和主机网络信息异常检测。
- 网络型检测目标为网络流量,可工作在网络边界实现传输过程拦截-检测-包处理。特征是网络环境透明,处理效率高
三、IPS(入侵预防系统)
3.1、概念:
对网络传输负载、网络资料传输行为检测
四、IPS和IDS的区别
| 工作位置 | 检测内容 | 部署方式 | 响应动作 | ||
| IPS | 网络边界外 | 数据包内容 | 串行部署 | 包处理:转发、记录、阻断 | |
| IDS | 网络边界内 | 网络状态、数据包特征、系统运行状态、特殊信息 | 旁路部署 | 告警动作 |
五、suricata提供的功能
suricata提供的事件和处理动作功能,事件逻辑依赖协议的注册/使能。即只要存在协议注册的逻辑,就会产生事件;而处理动作需要依赖规则文件。
5.1、事件
suricata提供的协议解析功能,面向连接对报文进行解析,可以根据自定义的解析规则决定产生事件功输出模块使用。
连接上的每个报文都将在流重组后进入request respone流程,对input内容解析,根据内置规则决定产生事件。在其中应重点使用flow state Transaction信息。
flow关联连接的信息可以为我们提供连接的起止时间,以及每个报文的三层信息。不包含四层payload。
state存在于流程上下文,每个报文进入request respone时都会更新state的内容。
transaction其存在的作用是为了进行报文缓存,以链表的形式存在于state内部。
5.2、处理动作
该部分依赖suricata的协议处理,通过suricata.yaml文件给定规则文件内容,通过文件中编写的规则对固定协议的流量进行检测,对命中规则细节的报文进行对应动作处理。
5.3、报文的处理流程
报文处理流程->匹配协议->查看是否存在关于该协议的规则->根据header(五元组)确定使用的规则->异步处理(流处理:规则判断)->流处理(生成事件)->规则(决定对报文的动作)
4358
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
