Suricata 离线部署及rules规则触发使用教程(支持windows虚拟机及centos7_arm64_服务器)

已于 2024-01-10 16:13:16 修改
阅读量1.4k 收藏 4
点赞数
文章标签: 服务器 运维
于 2023-09-19 11:29:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45560958/article/details/132986404
版权

项目背景:
最近的需求是,在__不能连外网的__centos7系统的__arm64架构的__服务器上安装suricata,但是因为服务器只能在客户现场才能操作,所以我需要在本机研究好怎么安装和使用, 然后去客户现场直接部署

实现方案:

利用yumdownloader和createrepo创建离线安装环境
先在windows的虚拟机上安装成功,并学会suricata软件简单的使用
然后弄个能联网的arm64架构的服务器(我的是在阿里云租的),把离线安装需要的文件拷贝下来,并弄成离线包和离线安装脚本,放到客户不能联网的机器上安装

具体操作:
下面以windows虚拟机为例介绍制作离线包的过程(centos7_arm64大致流程差不多,只是需要下载的库有一些差异)
1.在vmware下新建centos7的虚拟机,并与windows共享文件夹(不共享也行,但是下载的文件要手动复制出去),给虚拟机联网权限

https://blog.csdn.net/qq_45560958/article/details/132878292?spm=1001.2014.3001.5502

注:新建虚拟机如果选择最小安装的话,就没有界面了,所以我一般是按照下图创建



2.在能联网的机器上,下载suricata安装包

先安装yumdownloader,用以下载离线包

yum update

yum install yum-utils

再下载安装epel,直接用yumdownloader下载suricata会发现如下图报错,因为yum里没有suricata的源,所以要先下载安装epel

yumdownloader --resolve --destdir=/mnt/shareDocker/ epel-release

yum install -y epel-release

再下载suricata

yumdownloader --resolve --destdir=/mnt/shareDocker/ suricata

此时安装包就下载好了,文件路径为/mnt/shareDocker/,文件如图

插个眼::::::::::但是这些安装包根据实际情况,并不一定够用,等会安装的时候有可能报缺库,在这里插个眼,如果报错的话,根据本文档下面的教程把库下载好,回到这里重新制作离线仓库。

所有的离线包下载好了,创建离线仓库(很重要)

createrepo /mnt/shareDocker/offlineFile

把上面offline文件夹拷贝到离线的机器上

接下来在离线机器上安装软件

离线机器

现在所有的包下载好了,接下来是把文件拷贝到离线的机器上,在离线的机器上配置离线源并安装相应的软件

因为我在离线机器和在线机器映射的是同一个windows的文件夹,所以我两个虚拟机里的文件内容是一样的,如果你没有映射同一个文件夹,可以直接把在线机器的文件拷贝出来,然后放到离线机器的任意目录下面也可以以,下面配置离线源

cd /etc/yum.repos.d/

ls

上图的文件夹为在线源,创建个备份文件夹,把这些源都移动进去(相当于删除了),然后创建自己的离线源(因为这个机器不能联网,所以要这些文件也没什么用)

mkdir CentOS_back

mv *.repo CentOS_back/

touch offline.repo

 offline.repo文件内容如下,baseurl里面填你下载的那一堆离线包的路径

yum clean all

yum makecache

yum install epel-release

再次进入/etc/yum.repos.d/,把安装epel生成的repo文件移动到备份文件夹

cd /etc/yum.repos.d/

mv epel.repo Centos_back/

mv epel-testing.repo Centos_back

终于要安装suricata了!!!

yum install suricata

 注:这一次虽然直接安装成功了,但是我第一次安装suricata的时候报错,缺少库,不论是虚拟机上和在线的centos服务器上都报缺库,并且他们缺的库名称还不一样,报错的时候我没截图,如果你也会报错的话解决方案如下,只做参考,实际根据你缺的库进行调整。

把缺的库补齐之后,需要再次回到上面“插个眼”的地方,重新创建一下离线仓库

yumdownloader --resolve --destdir=/mnt/shareDocker/offlinerpm epel-release

yum install epel-release

yumdownloader --resolve --destdir=/mnt/shareDocker/offlinerpm suricata

yumdownloader --resolve --destdir=/mnt/shareDocker/offlinerpm PyYAML

yumdownloader --resolve --destdir=/mnt/shareDocker/offlinerpm libnetfilter_queue

yumdownloader --resolve --destdir=/mnt/shareDocker/offlinerpm libprelude

yumdownloader --resolve --destdir=/mnt/shareDocker/offlinerpm hiredis

yumdownloader --resolve --destdir=/mnt/shareDocker/offlinerpm glibc

yumdownloader --resolve --destdir=/mnt/shareDocker/offlinerpm libnet

yumdownloader --resolve --destdir=/mnt/shareDocker/offlinerpm libnfnetlink

 这是我放到现场的库文件,主要按照上面的方式下载的,实在找不到就去官网看看

看一下版本号,证明suricata安装好了 ,注意-V要大写

suricata -V

下面是suricata简单的使用

打开suricate的配置文件,翻到文档的最下面找到default-rule-path:那一行

vi /etc/suricata/suricata.yaml

打开上图显示的文件,如果没有这个文件就自己创建

vi /var/lib/suricata/rules/suricata.rules

把下面的文本复制进去,这些是检测规则

告警分别是:60s内超过5个不同的ip地址通过tcp/udp与本地,60s内超过20个tcp连接请求,60s内超过10个tcp成功建立连接(没错,成功建立的连接过多也会告警),10s内收到超过100个udp的包 ,60s内被ping超过6次(这个最容易检测,用别的机器ping几次就行)

alert tcp any any -> any any (msg:"Port Scanning Detected TCP"; flags:S; threshold:type both, track by_src, count 5, seconds 10; sid:199001;)
alert udp any any -> any any (msg:"Port Scan Detected UDP "; threshold: type threshold, track by_src, count 5, seconds 10; sid:100007;)
alert tcp any any -> any any (msg:"NetAttack Large number of connection requests"; threshold: type threshold, track by_src, count 20, seconds 60; sid:199002;)
alert tcp any any -> any any (msg:"NetAttack Too Many Established Connection"; flow: established, to_client; threshold: type both, track by_src, count 10, seconds 60; sid:199003;)
alert tcp any any -> any any (msg:"NetAttack Frequent login failures"; flow: established, to_server; content:"Failed password"; threshold: type threshold, track by_src, count 5, seconds 60; sid:199004;)
alert icmp any any -> any any (msg:"NetAttack ICMP Smurf Flood Attack Detected"; icode:0; itype:8; threshold: type threshold, track by_src, count 6, seconds 60; sid:100005;)
alert udp any any -> any any (msg:"NetAttack Possible UDP Flood Attack Detected"; threshold: type threshold, track by_src, count 100, seconds 10; sid:100006;)

运行suricata,-i 后面跟的是要检测的网卡,根据实际情况修改

 suricata -c /etc/suricata/suricata.yaml -i ens33

 不报错的话就算是运行成功了,这个时候查看

cd /var/log/suricata/

tail -f fast.log

 fast.log文件无内容

用内网里的其他机器,去ping这个机器,会发现 fast.log产生告警

此时suricata安装并运行成功

(如果觉得写的还行,就给个赞和评论把)

(如果觉得写的还行,就给个赞和评论把)

(如果觉得写的还行,就给个赞和评论把)

下面多写一点,去客户现场安装的时候,我写了个脚本自动部署,在联网机器上下载好文件并创建好离线仓库之后,只需要把这些文件拷贝到离线的机器上,然后修改一下脚本路径他就能自动安装了,脚本内容如下,你修改一下第一行的路径就行

offline_folder="/path/to/offlinerpm"

#!/bin/bash

offline_folder="/path/to/offlinerpm"
back_folder="/etc/yum.repos.d/Centos_back"
folder="/var/lib/suricata/rules"
target_file="$folder/suricata.rules"

if [ ! -d "$back_folder" ]; then
    mkdir "$back_folder"
fi
mv /etc/yum.repos.d/*.repo "$back_folder"

cp "$offline_folder/MyOffline.repo"  "/etc/yum.repos.d/"
yum clean all
yum makecache

if ! rpm -q epel-release; then
    yum install -y epel-release
fi

mv /etc/yum.repos.d/*.repo "$back_folder"
cp "$offline_folder/MyOffline.repo"  /etc/yum.repos.d/
yum install -y suricata

if [ ! -d "$folder" ]; then
    mkdir -p "$folder"
fi

if [ -f "$target_file" ]; then
    rm "$target_file"
fi
cp "$offline_folder/suricata.rules" "$target_file"

suricata -V
suricata -c /etc/suricata/suricata.yaml -i ens33

zz_山山山
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
suricata匹配从入门到精通(一)----suricata安装配置及使用
leeezp的博客
08-15 34万+
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。 Suricata是安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。 在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata的环境配置、详细安装过程和使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新Suricata规则,并将其保存在管理良好的数据库中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分: 文件README.md包含3个部分: 漏洞概述 概念验证(PoC)或换句话说,是恶意有效载荷的样本 参考 文件.rules拥有Suricata规则本身。 笔记 许多服务都在HTTPS上运行,但是Suricata无法分析加密的数据。 如果要使用Suricata来检测HTTPS有效负载中的攻击者,则应为nginx等HTTPS设置反向代理,然后将HTTP转发到应用程序服务器,并在此HTTP流量上运行Suricata。 如果您不确
suricata基础介绍
qq_41167620的博客
01-29 1409
报文处理流程->匹配协议->查看是否存在关于该协议的规则->根据header(五元组)确定使用的规则->异步处理(流处理:规则判断)->流处理(生成事件)->规则(决定对报文的动作)该部分依赖suricata的协议处理,通过suricata.yaml文件给定规则文件内容,通过文件中编写的规则对固定协议的流量进行检测,对命中规则细节的报文进行对应动作处理。Suricata 用户协会维护的一个中文文档,覆盖了 Suricata 的基础知识、安装配置、使用教程、高级功能等方面内容。Suricata 中文文档(
探索高效网络安全:Suricata部署优化指南
最新发布
gitblog_00052的博客
06-17 309
探索高效网络安全:Suricata部署优化指南 项目地址:https://gitcode.com/al0ne/suricata_optimize 1、项目介绍 在网络安全的世界中,Suricata是一个强大的网络入侵检测系统(IDS)。它能够实时地监测和分析网络流量,识别潜在的安全威胁。这款开源工具以其高性能和可扩展性赢得了广大用户的青睐。本文将带你深入理解如何在18年的环境下,有效地部署和优化S...
Suricata-7,网络安全学习教程
2401_84104460的博客
04-04 836
Flow的结构体,用于表示流数据的结构。这个结构体的各个成员的含义:这个结构体定义了用于表示网络数据流的各种属性和状态信息,包括地址、端口、协议类型、超时信息、线程信息、锁信息、协议特定数据指针等。*//*表示流的源地址和目的地址。*//* sp,dp:表示源端口和目的端口。
在CentOS 7上安装和使用Suricata的详细步骤
秋̶᭄ꦿ攻城狮࿆ྂ
07-14 2050
Suricata已经安装并开始监控网络流量,检测潜在的入侵行为。你可以根据需要进行更多的配置,如日志记录、警报设置等。请参考Suricata的官方文档以获取更详细的配置和使用说明。文件,启用所需的规则集。在Suricata的配置文件中,找到并编辑。替换为要监控的网络接口,例如eth0。
suricata的安装与使用
qq_43671947的博客
08-13 5840
记第一次使用suricata 1.安装 网上有许多安装方法,我试过用ubuntu21版安装,但失败了,好像用ubuntu18.04版安装会好一点,但我这里直接使用kali安装的(kali永远的神,我这用的2021最新版,kali越更新越好用),直接apt-get install suricata就安装好了,很快,感绝就像假的一样,但就是能用,之后就是安装签名(就是规则rules文件)就可以了,命令是suricata-update, 注意这是官方更新的rule规则,更新的配置文件存放在/var/lib/sur
Suricata下载 安装 及 运行
细雨青峦的博客
05-10 4990
Suricata 的下载,安装,基本使用,从头开始配置,运行 系统环境:Ubuntu18.04.6 live suricata 版本:suricata-6.0.4
Suricata规则编写
weixin_39003567的博客
03-05 2735
规则格式 Suricata规则包括以下三部分: action,action决定当signature匹配的时候会发生什么 header, 定义了协议,IP地址,端口和规则的位置 rule options, 定义规则细节 droptcp $HOME_NET any -> $EXTERNAL_NET any(msg:”ET TROJAN Likely Bot Nick in IRC (...
suricata规则Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
02-06
suricata规则Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
Arkime+Suricata离线文件包
08-15
Arkime+Suricata离线文件包,含arkime-3.4.2-1.x86_64.rpm、elasticsearch-oss-7.rpm、suricata-4.1.3.tar.gz、arkimeGEO.tar.gz、ipv4-address-space.csv、oui.txt。
ProbeManager_Suricata:适用于探针管理器的Suricata NIDS模块
05-12
Suricata探针经理 推介会 模块 兼容版本 Suricata版本4.0.4发行 特征 在远程服务器上安装和更新Suricata NIDS。 配置设置并测试配置。 添加,删除,更新脚本和签名。 测试签名的合规性。 测试签名是否通过Pcap...
Suricata + Wireshark离线流量日志分析
10-06
它们的结合使用可以帮助我们进行深入的离线网络流量日志分析,从而检测潜在的威胁、优化网络性能或者进行故障排查。以下是对这两个工具及其在流量日志分析中的应用进行的详细说明。 **Suricata:** Suricata是一款...
suricata的基本使用
yeshankuangrenaaaaa的博客
09-04 6069
suricata suricata安装 规则管理 Oinkmaster 依赖 apt-get install liblua5.1-dev #配置支持lua,--enable-lua apt-get install libgeoip-dev #配置支持GeoIP,--enable-geoip apt-get install cargo #配置支持Rust suricata配置相关 设置EXTER...
Su+ELK实现网络监测(1)——Suricata安装与配置
ytraister的博客
04-11 1954
suricata安装配置文档
Suricata(Ubuntu)的安装以及使用过程(超详细)
stillaway的博客
12-30 2586
Suricata(Ubuntu)的安装以及使用过程
suricata 开源工具学习-自定义协议开发
qq_41167620的博客
01-25 1519
suricata协议解析存在PM、PP、PE三种模式,其中PM为数据报关键特征匹配,即匹配报文字段(类似规则中的content字段),PP为端口匹配,即服务器目的端口值匹配命中即确定为协议,最后一个PE为字节流匹配,目前常规只有FTP-DATA协议,其协议会根据FTP commend计算并创建紧跟的子协议。注册协议接口:在AppLayerParserRegisterProtocolParsers接口中插入协议的注册接口,在这个文件中要加入头文件。这里遍历结构查看是否存在异常,比如请求处理中加入的事件。
Suricata详解
热门推荐
IAMZTDSF的博客
06-15 1万+
Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。是一款开源、快速、高度稳定的网络入侵检测系统Suricata引擎能够实时入侵检测,内联入侵防御和网络安全监控。Suricata由几个模块组成,如捕捉、采集、解码、检测和输出。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elast
suricata 检测规则编写
xuwaiwai的博客
09-11 4546
目录 规则规则行为,根据优先级排列: 协议: 源ip,目标ip: 源端口/目标端口: 流量方向: 规则体 msg: flow流匹配: flowbits : sameip源ip、目标ip检测: content内容匹配: 不区分大小写 nocase: 偏移位置 offset: 结束位置 depth: 在xx范围外 distance : 在xx范围内 within: 有效载荷大小 dsize: pcre正则 pcre: http修饰符: fast_pattern...
centos7安装suricata
09-22
要在CentOS 7上安装Suricata,首先需要确保系统可以正常访问外网。然后,您可以按照以下步骤进行操作: 1. 执行以下命令,安装Suricata的依赖项: ```shell yum install wget libpcap-devel libnet-devel pcre-devel gcc-c automake autoconf libtool make libyaml-devel zlib-devel file-devel jansson-devel nss-devel ``` 2. 下载Suricata的源代码包。您可以从Suricata的官方网站或GitHub页面获取最新版本的源代码。 3. 解压源代码包。您可以使用以下命令: ```shell tar -xvf suricata-x.x.x.tar.gz ``` 4. 进入解压后的Suricata目录: ```shell cd suricata-x.x.x ``` 5. 执行以下命令,配置Suricata的安装路径和其他选项: ```shell ./configure --sysconfdir=/etc --localstatedir=/var --enable-unittests ``` 在这个命令中,`--sysconfdir=/etc`指定了配置文件路径为`/etc/suricata/`,`--localstatedir=/var`指定了状态数据目录为`/var`。 6. 编译并安装Suricata: ```shell make make install ``` 安装完成后,您可以在指定的路径中找到Suricata的配置文件、日志等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值