suricata记录一

最新推荐文章于 2024-07-12 08:14:04 发布
最新推荐文章于 2024-07-12 08:14:04 发布
阅读量507 收藏
点赞数
分类专栏: suricata 文章标签: AppProto
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/startkz/article/details/83344871
版权

在suricata应用层解析上,常常能看到这个类型AppProto,下面介绍它的定义。
AppProto的定义在app-layer-protos.h中,如下:

typedef uint16_t AppProto;

其中就是一个16位的无符号整型,指代的应用层协议如下:

enum AppProtoEnum {
    ALPROTO_UNKNOWN = 0,
    ALPROTO_HTTP,
    ALPROTO_FTP,
    ALPROTO_SMTP,
    ALPROTO_TLS, /* SSLv2, SSLv3 & TLSv1 */
    ALPROTO_SSH,
    ALPROTO_IMAP,
    ALPROTO_MSN,
    ALPROTO_JABBER,
    ALPROTO_SMB,
    ALPROTO_SMB2,
    ALPROTO_DCERPC,
    ALPROTO_IRC,

    ALPROTO_DNS,
    ALPROTO_MODBUS,
    ALPROTO_ENIP,
    ALPROTO_DNP3,
    ALPROTO_NFS,
    ALPROTO_NTP,
    ALPROTO_TEMPLATE,

    /* used by the probing parser when alproto detection fails
     * permanently for that particular stream */
    ALPROTO_FAILED,
#ifdef UNITTESTS
    ALPROTO_TEST,
#endif /* UNITESTS */
    /* keep last */
    ALPROTO_MAX,
};

就是一个枚举,未检测时为 ALPROTO_UNKNOWN = 0,其他的协议如HTTP为1,FTP为2,依次类推。如果是不支持的协议,则返回ALPROTO_FAILED。

startkz
关注
专栏目录
suricata规则学习记录
weixin_41038905的博客
03-08 1456
Suricata快速模式(fast_pattern)确定解释 如果在规则中明确设置了’fast_pattern’关键字,Suricata将使用它作为快速模式匹配。fast_pattern关键字只能按规则设置一次。如果未设置“fast_pattern”,Suricata会自动确定要用作快速模式匹配的内容。以下说明Suricata用于自动确定要使用的快速模式匹配的逻辑。(请注意,如果存在正(即非否定)...
suricata v8.0.0 英文原版用户手册
01-08
EVE JSON日志格式提供了一种结构化的方式来记录事件,便于进一步的数据分析和处理。 **6. 用户界面和管理工具** 虽然Suricata主要是命令行工具,但有时也可能包含或与图形用户界面(GUI)工具集成,以提供更直观的...
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF.
Suricata
weixin_30387799的博客
01-14 248
Suricata is the OISF IDP engine, the open source Intrusion Detection and Prevention Engine. IDS:Intrusion Detection System入侵检测系统 IPS:Intrusion Prevention System入侵防御系统 Suricata.yaml Max-pending-pa...
suricata是什么?
最新发布
百态老人的博客
07-12 913
Suricata是一款高性能的网络安全检测引擎,它具备多种功能,包括网络入侵检测系统(IDS)、入侵预防系统(IPS)和网络安全监控引擎。在网络安全中,Suricata的作用主要体现在以下几个方面:1. 入侵检测与预防:Suricata能够监测网络流量,识别潜在的恶意行为,如黑客攻击、病毒传播等,并采取相应的预防措施来阻止这些威胁。2. 协议支持:Suricata支持多种网络协议,使其能够在不同的网络环境中有效地工作。
Suricata – 入侵检测、预防和安全工具
无痕的博客
10-08 2391
入侵检测、预防和安全工具Suricata的安装、使用、自定义规则,包括几个示例说明
Suricata详解
热门推荐
IAMZTDSF的博客
06-15 1万+
Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。是一款开源、快速、高度稳定的网络入侵检测系统Suricata引擎能够实时入侵检测,内联入侵防御和网络安全监控。Suricata由几个模块组成,如捕捉、采集、解码、检测和输出。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elast
Suricata + Wireshark离线流量日志分析
10-06
2. **日志生成:** 使用Suricata分析.pcap文件,生成日志文件,记录可疑或异常的网络活动。 3. **日志分析:** 分析Suricata生成的日志,找出可能的攻击模式或网络问题。 4. **可视化审查:** 在Wireshark中打开原始...
scirius:Scirius是用于Suricata规则集管理的Web应用程序
02-05
1. 规则库管理:Scirius允许用户浏览、搜索和筛选Suricata的签名规则。这些规则通常包含了检测网络威胁和恶意活动的条件,如IP地址、端口、协议或特定的数据模式。通过Scirius,你可以方便地查看规则的详细信息,...
suricata-2.0.8.tar.gz
06-17
1. **下载**:首先,用户需要从官方或者其他可靠的源下载`suricata-2.0.8.tar.gz`文件。 2. **解压**:使用`tar`命令解压文件,如`tar -zxvf suricata-2.0.8.tar.gz`,这将创建一个名为`suricata-2.0.8`的目录,包含...
suricata简介
wdsmao的博客
10-19 3361
转载▼http://blog.sina.com.cn/cugbivan   分类: suricata 由于工作中需要研究suricata的架构和实现原理,特此记录下学习过程: 一、名词解释 刚接触suricata的时候连这个单词怎么发音都不知道,只听别人说这个是snort的升级版本,或者说替代版。 于是乎,百度走起: Suricata是一
suricata -- 流管理系统
xuwaiwai的博客
02-16 6158
suricata中使用 流(Flow)来管理一个会话。考虑到避免频繁分配释放Flow内存,suricata实现了流管理机制来回收与重复利用Flow。不同状态的Flow主要在Flow哈希表,Flow空闲队列,Flow回收队列三个队列中流转。suricata使用不同线程维护这三个队列。
suricata的简单探究
围城
06-26 1023
20210625- 0.引言 写过一篇文章《Suricata+ELK(Docker化部署)数据展示》,利用suricata在流量出口位置实现网络流量的事件监测。当时采用的规则,是一些开源的规则,当时使用完这些规则之后,发现误报什么的,还是挺多的。 对于suricata来说,这个软件我还是使用了非常多的,因为他本身作为一个流量处理引擎,完成的事情也挺多。所以最近就想着,能不能对他深入进行一些理解,所以在这篇文章中进行记录。 (文章属于自己阅读过程中的随感产物) 1. suricata的学习记录 本部分并没有参
网络入侵检测系统之Suricata(二)
诗酒趁年华
01-07 1674
Running mode Sruciata由线程和队列组成,数据包在线程间传递通过队列实现。线程由多个线程模块组成,每个线程模块实现一种功能。 Suricata有多种运行模式,这些模式与抓包驱动和IDS/IPS选择相关联。抓包驱动如:pcap, pcap file,nfqueue,ipfw,dpdk或者一个特有的抓包驱动等。Suricata在启动时只能选择某个运行模式。如-i选项表示pcap, -r表示pcapfile,-q表示nfqueue等。每一种运行模式都会初始化一些threads,queues等。模
【工作备忘】suricata
weixin_30595035的博客
09-12 100
因为工作遇到的困难,我向suricata的某个作者发送了邮件。 On Wed, Sep 11, 2013 at 8:22 AM, likeyi <929812468@qq.com> wrote: Dear Tom DeCanio:Very glad to see you, I am now reading the source code that writed by you.I a...
网络入侵检测系统之Suricata(一)
诗酒趁年华
12-25 3852
What is Suricata Suricata是一个免费,开源,成熟,高性能,稳定的网络威胁检测引擎 系统功能包括:实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理 Suricata依靠强大的可扩展性的规则和特征语言过滤网络流量,并支持LUA脚本语言 输出文件格式为YAML或JSON,方便与其他数据库或安全数据分析平台集成 Suricata采用社区驱动开发,有利于版本的维护和新特性的迭代 Features IDS / IPS 完善的特征语言用于描述已知的威
suricata基础介绍
qq_41167620的博客
01-29 1441
报文处理流程->匹配协议->查看是否存在关于该协议的规则->根据header(五元组)确定使用的规则->异步处理(流处理:规则判断)->流处理(生成事件)->规则(决定对报文的动作)该部分依赖suricata的协议处理,通过suricata.yaml文件给定规则文件内容,通过文件中编写的规则对固定协议的流量进行检测,对命中规则细节的报文进行对应动作处理。Suricata 用户协会维护的一个中文文档,覆盖了 Suricata 的基础知识、安装配置、使用教程、高级功能等方面内容。Suricata 中文文档(
Suricata 离线部署及rules规则触发使用教程(支持windows虚拟机及centos7_arm64_服务器)
qq_45560958的博客
09-19 1612
这一次虽然直接安装成功了,但是我第一次安装suricata的时候报错,缺少库,不论是虚拟机上和在线的centos服务器上都报缺库,并且他们缺的库名称还不一样,报错的时候我没截图,如果你也会报错的话解决方案如下,只做参考,实际根据你缺的库进行调整。因为我在离线机器和在线机器映射的是同一个windows的文件夹,所以我两个虚拟机里的文件内容是一样的,如果你没有映射同一个文件夹,可以直接把在线机器的文件拷贝出来,然后放到离线机器的任意目录下面也可以以,下面配置离线源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值