工作记录---suricata扫盲

最新推荐文章于 2024-06-17 09:33:17 发布
最新推荐文章于 2024-06-17 09:33:17 发布
阅读量3.1k 收藏 2
点赞数
分类专栏: 计算机网络 linux/unix

1.产品架构

suricata是一款高性能的IDS、IPS、入侵检测引擎。是snort的后续产品。

SIEM:(security information and event management)安全信息和事件管理

SIEM可以过滤电子邮件,搜索关键词和发现安全缺口,为日志和事件管理提供正确的解决方案。
SIEM 实际上是两类产品的集合体,其中SIM(安全信息管理)负责收集来自各个安全日志文件的数据,并整理创建成最终报告,SEM(安全事件管理)利用事件关联和报警机制来帮助分析安全事件。而传统的日志管理工具只能收集日志文件并给出报告。

Barnyard2: 知名的开源IDS的日志工具,具有快速的响应速度,优异的数据库写入功能,是做自定义的入侵检测系统不可缺少的插件。

SnortSam有两个基本的组成部分:插件和代理。插件是一个标准的snort输出插件,用于当规则触发时向代理发送指令。这些指令以加密的方式发送。代理负责解密收到的指令,建立和移除防火墙规则。当一条入侵信息触发了Snort的一条入侵规则时,它能够及时向插件传送报警信息。插件根据传递过来的报警信息,生成FWsampacket或者FWsampacket6报警包,并引入TwoFish算法对对通信信息进行加密后发往SnortSam,由于SnortSam输出插件与代理间需要安全的通信,所以在为snort制定SnortSam输出插件时,需要指定SnortSam代理所在主机和通讯口令。SnortSam接收到加密指令后由代理负责解密,自动生成一条阻断规则,并通过代理在防火墙IP6tables上实现。IP6tables执行这个请求,并等待代理发布一个终止请求从而移除被阻断的地址。当到达预定义的时间限制时,代理发送另一个请求删除被阻断的地址。如果在计时结束之前,该阻断地址又一次发起攻击,系统不会生成重复的防火墙规则,但会将计时器刷新,重新计时。

  主要实现步骤如下:

  1)新建规则文件snortsam.rules,并在此文件中编写snort新规则,并将报警信息输出至snortsam输出插件,同时设置阻断源IP数据包的时间。

  2)在snort配置文件fwsam-snort.conf中添加新的输出插件,使snort支持snortsam输出,并设置snortsam输出插件与代理间的通讯口令。

  3)运行snortsam代理,以入侵检测方式运行fwsam-snort。



unified2:snort的一种特殊格式。

Snorby是一个Ruby on Rails的Web应用程序,网络安全监控与目前流行的入侵检测系统(Snort的项目Suricata和Sagan)的接口。该项目的目标是创建一个免费的,开源和竞争力的网络监控应用,为私人和企业使用。


沈万三gz
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
suricata匹配从入门到精通(一)----suricata安装配置及使用
leeezp的博客
08-15 34万+
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。 Suricata是安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。 在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata的环境配置、详细安装过程和使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...
Suricata-7(1),了三年网络安全
m0_55956883的博客
04-06 713
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
suricata的基本使用
yeshankuangrenaaaaa的博客
09-04 6037
suricata suricata安装 规则管理 Oinkmaster 依赖 apt-get install liblua5.1-dev #配置支持lua,--enable-lua apt-get install libgeoip-dev #配置支持GeoIP,--enable-geoip apt-get install cargo #配置支持Rust suricata配置相关 设置EXTER...
探索高效网络安全:Suricata部署优化指南
最新发布
gitblog_00052的博客
06-17 294
探索高效网络安全:Suricata部署优化指南 项目地址:https://gitcode.com/al0ne/suricata_optimize 1、项目介绍 在网络安全的世界中,Suricata是一个强大的网络入侵检测系统(IDS)。它能够实时地监测和分析网络流量,识别潜在的安全威胁。这款开源工具以其高性能和可扩展性赢得了广大用户的青睐。本文将带你深入理解如何在18年的环境下,有效地部署和优化S...
suricata 学习使用
累兰羽的博客
07-06 1万+
学习使用suricata 安装suricata 查看suricata的官方文档 在下ubuntu16.04下编译安装: -必须要的依赖包: sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \ build-essential autoconf automake libtool libpcap-dev libn...
[DPI][suricata] suricata 配置使用
weixin_30883777的博客
02-08 437
前文:[DPI] suricata-4.0.3 安装部署 至此, 我们已经拥有了suricata可以运行的环境了. 接下来,我们来研究一下它的功能, 首先,分析一下配置文件: /suricata/etc/suricata/suricata.yaml 可以结合着默认配置文件的内容,同时读它的描述文档:http://suricata.readthedocs.io/en/lat...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用...
suricata-update:更新您的Suricata规则的工具
04-30
点安装--upgrade suricata-update 文献资料 问题 用法示例 suricata更新 suricata-update的默认调用将执行以下操作: 阅读配置,/ etc / suricata / update.yaml(如果存在)。 读入规则过滤器配置文件: /etc/...
pfsense-suricata-elk-docker:使用docker-compose将pfSense和Suricata绑定到ELK
05-08
pfsense-suricata-elk-docker 使用docker-compose将pfSense与Suricata绑定到ELK(Elasticsearch,logstash和kibana) 已针对Windows使用docker在Elasticsearch 6.3.0和pfSense 2.4.3-RELEASE-p1上进行了测试 这里...
suricata-verify:Suricata验证测试-测试Suricata输出
03-30
运行所有测试在您的Suricata源目录中运行: ../path/to/suricata-verify/run.py或运行一个测试: ../path/to/suricata-tests/run.py TEST-NAME添加新测试创建一个目录,该目录是新测试的名称。 将单个pcap文件复制到...
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF.
scirius, Scirius是用于Suricata规则集管理的web应用程序.zip
09-18
scirius, Scirius是用于Suricata规则集管理的web应用程序 Scirius 简介Scirius Community Edition是一个专用于Suricata规则集管理的网络界面。 它处理规则文件并更新相关文件。 Scirius CE由 Stamus网络插件开发,并且在 GNU GPLv
docker-suricata:Suricata Docker映像
05-07
-i <interface>但是您可能想要查看Suricata记录的内容,因此您可能想要像这样启动它: docker run --rm -it --net=host \ --cap-add=net_admin --cap-add=sys_nice \ -v $(pwd)/logs:/var/log/suricata \...
Suricata安装与使用:常用关键字、规则BUG
weixin_43778378的博客
01-24 2309
目录Suricata简介实验环境虚拟机版本信息Suricata版本Suricata安装安装过程更新规则库常用规则关键字Suricata使用补充说明 Suricata简介 Suricata是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。 实验环境 虚拟机版本信息 虚拟机平台:VMw
Suricata 离线部署及rules规则触发使用教程(支持windows虚拟机及centos7_arm64_服务器)
qq_45560958的博客
09-19 1410
这一次虽然直接安装成功了,但是我第一次安装suricata的时候报错,缺少库,不论是虚拟机上和在线的centos服务器上都报缺库,并且他们缺的库名称还不一样,报错的时候我没截图,如果你也会报错的话解决方案如下,只参考,实际根据你缺的库进行调整。因为我在离线机器和在线机器映射的是同一个windows的文件夹,所以我两个虚拟机里的文件内容是一样的,如果你没有映射同一个文件夹,可以直接把在线机器的文件拷贝出来,然后放到离线机器的任意目录下面也可以以,下面配置离线源。
Suricata(Ubuntu)的安装以及使用过程(超详细)
stillaway的博客
12-30 2485
Suricata(Ubuntu)的安装以及使用过程
Suricata详解
热门推荐
IAMZTDSF的博客
06-15 1万+
Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。是一款开源、快速、高度稳定的网络入侵检测系统Suricata引擎能够实时入侵检测,内联入侵防御和网络安全监控。Suricata由几个模块组成,如捕捉、采集、解码、检测和输出。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elast
入侵检测系统suricata模拟攻防实验
qq_45307564的博客
06-26 703
本文将分享如何在一台服务器上配置入侵检测系统suricata,并对该服务器进行模拟攻击实验,由配置的suricata规则查看生成的警告文件。
suricata detect-dns-query.c
05-25
`detect-dns-query.c` 是 Suricata 中的一个规则文件,用于检测 DNS 查询流量。 Suricata 是一款开源的网络入侵检测系统(IDS)和入侵防御系统(IPS),它可以监控网络流量并检测潜在的攻击行为。 `detect-dns-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值