Suricata(Ubuntu)的安装以及使用过程(超详细)

已于 2024-01-05 14:47:05 修改
阅读量2.4k 收藏 24
点赞数 24
分类专栏: 网络安全 Ubuntu suricata 文章标签: ubuntu linux 网络安全 ddos 安全威胁分析
于 2023-12-30 00:44:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stillaway/article/details/135300316
版权
网络安全 同时被 3 个专栏收录
4 篇文章 1 订阅
订阅专栏
Ubuntu
1 篇文章 0 订阅
订阅专栏
suricata
1 篇文章 0 订阅
订阅专栏

前景:

老师让我们使用网络入侵检测工具进行模拟攻击入侵,在已经尝试配置snort,Sguil,OSSEC HIDS不行的情况下,历时三天,终于换成Suricata之后就配置成功了!

什么是IDS

入侵检测是通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析, 发觉入侵行为, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象. 入侵检测是防火墙的合理补充. 有助于对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全结构的完整性。入侵检测系统IDS(Intrusion Detection System)可以包括硬件和软件, 通常由数据源,分析引擎和响应3部分组成,根据分析引擎所采用的技术,可分为异常检测和误用检测. IDS多采用主动防御技术,用于监视、分析用户及系统活动,对系统构造和弱点审计,识别已知进攻或并报警,对异常行为模式进行记录,统计分析,评估重要系统和数据文件的完整性,操作系统的审计跟踪管理,并识别用户违反安全策略的行为等. 一个好的入侵检测系统除了上述功能外,还应该管理、配置简单,操作容易.

小提示:本次安装的Ubuntu版本为Ubuntu22.04.3LTS,使用xshell进行连接,如果不会使用xshell的可以参考大佬:

https://blog.csdn.net/qq_44222849/article/details/105043739

安装过程

Ubuntu安装入门

在开始之前,小伙伴们一定要给自己的虚拟机拍个快照!然后将系统包更新到最新版本

apt update -y
apt upgrade -y

更新所有包后,运行以下命令来安装所有必需的依赖项:

apt install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 make libmagic-dev libjansson-dev libjansson4 pkg-config libnspr4-dev libnss3-dev liblz4-dev rustc cargo python3-pip python3-distutils

apt install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0

安装 Suricata源代码

使用以下命令下载最新版本的 Suricata:

wget https://www.openinfosecfoundation.org/download/suricata-6.0.8.tar.gz

下载完成后,使用以下命令解压缩下载的文件:

tar xzf suricata-6.0.8.tar.gz

导航到提取的目录并使用以下命令对其进行配置:

cd suricata-6.0.8
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var

输出结果如下:

接下来,使用以下命令安装 Suricata:

make
make install-full

输出结果如下(make的时间特别长,需要耐心等待噢):

Ubuntu 存储库安装 Suricata

使用以下命令安装所有依赖项:

apt install gnupg2 software-properties-common curl wget git unzip -y

使用以下命令添加 Suricata 存储库:

add-apt-repository ppa:oisf/suricata-stable --yes

使用以下命令更新存储库缓存:

apt update

验证 Suricata 包:

apt-cache policy suricata

输出结果如下:

以下命令安装 Suricata:

apt install suricata jq

验证suricata包:

suricata --build-info

对Suricata进行配置

编辑 Suricata 配置文件并定义网络接口和网络:

nano /etc/suricata/suricata.yaml

如果不会对nano进行配置,可以找到对应的目录下输入:

sudo chmod 777 suricata.yaml

因为本身suricata.yaml是只读的,所以要提权

手动找到,并且更改以下行:

    HOME_NET: "[10.0.2.0/24]"

    EXTERNAL_NET: "!$HOME_NET"

af-packet:
  - interface: eth0
#        - sip
    sip:
    enabled: no

保存并关闭文件,然后使用以下命令更新 Suricata 配置:

suricata-update

验证 Suricata 配置文件:

suricata -T -c /etc/suricata/suricata.yaml -v

输出结果如下:

对验证suricata的验证可以参考:

https://blog.csdn.net/yeshankuangrenaaaaa/article/details/100533857

使用以下命令启动并启用 Suricata 服务:

systemctl enable --now suricata

使用以下命令检查 Suricata 服务:

systemctl status suricata

验证 Suricata

禁用网络接口上的数据包卸载功能:

ethtool -K ens33 gro off lro off

使用以下命令停止 Suricata:

systemctl stop suricata
rm -rf /var/run/suricata.pid

手动运行 Suricata:

suricata -D -c /etc/suricata/suricata.yaml -i ens33

使用kail的hping3命令对Ubuntu进行模拟攻击:

hping3 -S -p 80 --flood --rand-source suricata-ip -I ens33 -c 50

接下来就是漫长的泛洪攻击了,可以提前结束噢

回到 Suricata 服务器并检查 Suricata 日志文件:

tail -f /var/log/suricata/fast.log

解释一下为什么不是eth0而是ens33,需要ifconfig查看你的网卡,我的eth0被禁用了没有去修改,所以使用了ens33

写在最后

安装这个suricata也花了好多好多时间,都是结合了很多大佬的文章才配置成功的,一定一定要给虚拟机进行快照,不然每次重新安装都要耗费很多精力去卸载环境。

努力的小余
关注
  • 24
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
suricata匹配从入门到精通(一)----suricata安装配置及使用
leeezp的博客
08-15 34万+
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。 Suricata安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。 在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata的环境配置、详细安装过程使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...
docker-suricata:使用Docker在容器内的Suricata
05-24
对于高山用户:使用Docker和Docker Compose运行Suricata的4.0.4版本。 这是Suricata的即用型。 要求 主机设定 安装版本17.12.0+ 安装版本1.6.0+ 用法 初始设置 现在您可以从高山发射。 默认情况下,.env文件中的...
suricata 6.0.4使用手册
03-03
suricata使用过程中相关配置及规则关键词描述手册
suricata 开源工具学习-自定义协议开发
qq_41167620的博客
01-25 1484
suricata协议解析存在PM、PP、PE三种模式,其中PM为数据报关键特征匹配,即匹配报文字段(类似规则中的content字段),PP为端口匹配,即服务器目的端口值匹配命中即确定为协议,最后一个PE为字节流匹配,目前常规只有FTP-DATA协议,其协议会根据FTP commend计算并创建紧跟的子协议。注册协议接口:在AppLayerParserRegisterProtocolParsers接口中插入协议的注册接口,在这个文件中要加入头文件。这里遍历结构查看是否存在异常,比如请求处理中加入的事件。
探索高效网络安全Suricata部署优化指南
最新发布
gitblog_00052的博客
06-17 296
探索高效网络安全Suricata部署优化指南 项目地址:https://gitcode.com/al0ne/suricata_optimize 1、项目介绍 在网络安全的世界中,Suricata是一个强大的网络入侵检测系统(IDS)。它能够实时地监测和分析网络流量,识别潜在的安全威胁。这款开源工具以其高性能和可扩展性赢得了广大用户的青睐。本文将带你深入理解如何在18年的环境下,有效地部署和优化S...
suricata基础介绍
qq_41167620的博客
01-29 1389
报文处理流程->匹配协议->查看是否存在关于该协议的规则->根据header(五元组)确定使用的规则->异步处理(流处理:规则判断)->流处理(生成事件)->规则(决定对报文的动作)该部分依赖suricata的协议处理,通过suricata.yaml文件给定规则文件内容,通过文件中编写的规则对固定协议的流量进行检测,对命中规则细节的报文进行对应动作处理。Suricata 用户协会维护的一个中文文档,覆盖了 Suricata 的基础知识、安装配置、使用教程、高级功能等方面内容。Suricata 中文文档(
Suricata IDS 入门 — 规则详解
SHELLCODE_8BIT的博客
12-21 6408
suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)与nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。 安全脉搏SecPulse.Com独家发文,如需转载,请先联系授权。 1.规则配置 配置文件位置:/etc/suricata/suricata.yaml 规则目录位置:/etc/suricata/rules 先设置HOME_NET与EXTERNAL_NET,推荐HOME_NET填写内网网段,EXTERNAL_NET设
安全测试概述以及Kali Linux基础】
colo_ilco的博客
05-25 750
本专栏主要来介绍如何使用Kali Linux对不同对象进行渗透测试。
蜜罐
xumesang的专栏
03-01 1万+
原文章:点击打开链接 本文主要讨论蜜罐和蜜罐网络,以及如何使用它们保护真实的系统,我们称之为这个系统为MHN(Modern Honey Network,现代蜜网),它可以快速部署、使用,也能够快速的从节点收集数据。 一、什么是蜜罐 蜜罐是存在漏洞的,暴露在外网或者内网的一个虚假的机器,具有以下这些特征: 1 其中重要的一点机器是虚假的,攻击者需要花费
蜜罐网络(开源汇总)MHN
热门推荐
墨痕诉清风的博客
05-17 1万+
蜜罐是存在漏洞的,暴露在外网或者内网的一个虚假的机器,具有以下这些特征:1.其中重要的一点机器是虚假的,攻击者需要花费时间攻破。在这段时间内,系统管理员能够锁定攻击者同时保护真正的机器。2.能够学习攻击者针对该服务的攻击技巧和利用代码。3.一些蜜罐能够捕获恶意软件,利用代码等等,能够捕获攻击者的0day,同时可以帮助逆向工程师通过分析捕获的恶意软件来提高自身系统的安全性4.在内网中部署的蜜罐可以帮助你发现内网中其他机器可能存在的漏洞。
常见远程控制工具协议(MSRDP/VNC/TEAMVIEWER/PCANYWHERE/TELNET)检测
kawhiyu的博客
03-06 1367
常见远程工具协议检测分析
suricata+elk+kibana+logstash安装手册.docx
08-13
这个文档详细介绍了如何在CentOS 7环境下设置一套完整的监控解决方案,包括 Suricata 作为核心的威胁检测引擎,以及 ELK(Elasticsearch, Logstash, Kibana)堆栈用于数据收集、存储和可视化。 1. **Suricata 安装*...
docker-suricata:Suricata Docker映像
05-07
Suricata Docker映像用法您很可能希望在主机上的网络接口上运行Suricata,而不是在容器内通常提供的网络接口上运行: docker run --rm -it --...但是您可能想要查看Suricata记录的内容,因此您可能想要像这样启动它: ...
suricata构建器:使用Docker和Vagrant的各种发行版和操作系统的Suricata构建器
02-06
Suricata建筑商(用于开发)要求Docker for基于Docker的构建Vagrant和VirtualBox for Vagrant构建。运行特定版本例如,在您的Suricata源目录中运行CentOS 7: /path/to/suricata-builders/docker-centos-7/run.sh...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,... 如果要使用Suricata来检测HTTPS有效负载中的攻击者,则应为nginx等HTTPS设置反向代理,然后将HTTP转发到应用程序服务器,并在此HTTP流量上运行Suricata。 如果您不确
Deep learning methods in network intrusion detection: A survey and an objective comparison翻译二(4-6节)
pingguolou的博客
05-09 496
4.经验性比较 4.1实验概述:模型、数据集和评价指标 在本文回顾的文献中,入侵检测问题经常被表述为一个分类问题。为了进行实证分析,我们从模型分类学的不同类别中选择了四个神经网络分类器(图2),并在四个流行的入侵检测数据集上对它们进行了训练和评估。对于每个深度学习模型类型,实现了一个浅层模型(单隐藏层)和一个深度模型(多隐藏层)。选择这些模型是因为它们是入侵检测研究文献中经常使用的深度学习模型的代表(适用性),并且它们代表了监督、半监督和顺序类型的模型(多样性和覆盖面)。以下模型被选作实证比较。 ..
suricata规则:Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
02-06
suricata规则:Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等
AutoSuricata:Suricata IDS 构建脚本,用于为 Ubuntu 自动化 Suricata IDS 部署!
06-29
自动苏里卡塔Suricata-IDS 安装脚本来自动化(或简化)Ubuntu 的部署。 现在添加了 Suricata 的 Sensu Checks! 我很清楚@da667 构建的 AutoSnort 项目,它级好地简化了 Snort 的安装过程,并决定为 Suricata 构建...
suricata安装使用
04-17
Sure, I can assist you with the installation and usage of Suricata. Please provide me with further details on the operating system you are using and the specific requirements for your deployment.
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值