安全
文章平均质量分 53
姚贤贤
这个作者很懒,什么都没留下…
展开
-
Security Onion安全洋葱2.X-架构概述
1.流量探针如下图为安全洋葱流量探针,Stenographer为全量pcap包获取,Zeek(bro)和Suricata为流量分析,输出meta元数据(flow流信息等)和告警日志2.安全洋葱分析组件(1)soc为安全洋葱的web管理界面(2)Hunt为基于ES的查询界面,支持ES的查询,关联分析也在这里,但是关联分析做得很浅,只是通过Community ID, log.uid, fuid进行关联,相当于flowid关联(3)Kibana基于ES为后端数据库的查询Web界面,提供了很多表盘,性能原创 2022-03-12 10:29:01 · 6164 阅读 · 0 评论 -
CICFlowMeter工具使用
目前CICFlowMeter主要有3个版本(1)CICFlowMeter-4.0.zip,可执行版本,不要编译等,但提取生成流有问题,比如一个完整的ssh会话应该生成一条流信息,但这个工具却生成了2条流信息,识别fin包的时候存在问题(2)CICFlowMeter-python版本,python setup install后可以使用,使用python3.7和3.8进行尝试运行过程中都存在问题,且生成的流特征中的TCP flag存在问题(3)CICFlowMeter-java版本,这个版本目前没有问题,原创 2021-10-30 12:09:13 · 4348 阅读 · 4 评论 -
Suricata高性能配置
一.Suricata对包的规则检测1.为了高性能,将规则按照一定算法分很多组(例如如果出现带有UDP协议的数据包,则不需要TCP协议的所有签名)2.更多的分组有用更高的性能,但占用更多的内存,默认配置选项detect: profile: medium custom-values: toclient-groups: 2 toserver-groups: 25 sgh...原创 2020-03-05 10:21:50 · 6568 阅读 · 2 评论 -
firewall,iptables,ufw防火墙常用配置
firewall常用命令注意事项:1.firewall默认开起来的时候只会开启ssh(22)端口,其它一切拒绝连接systemctl stop firewalld.service //关闭防火墙systemctl restart firewalld.service //开启防火墙systemctl disable firewalld.service //关闭自启动systemctl e...原创 2020-02-26 16:38:20 · 1813 阅读 · 0 评论 -
Suricata5.0.1 Hyperscan 安装
一.安装插件1.安装cmake ragelUbuntuapt-get install cmake ragelCentosyum install cmake ragel2.安装libboost headersUbuntuapt-get install libboost-dev #版本需要1.58以上centosyum install boost-devel3.安装Tru...原创 2020-02-19 10:48:57 · 1787 阅读 · 0 评论 -
Nmap笔记(二)-端口扫描
命令:nmap -T4 192.168.1.123相关参数:-T0,非常慢的扫描-T1,比较慢的扫描-T2,降低速度以降低对带宽的消耗-T3,默认,根据目标的反应自动调整时间-T4,快速扫描,常用的扫描方式-T5,急速扫描,这种方式会牺牲准确度端口扫描返回的状态:1.open说明此端口对外开放状态2.closed说明此端口处于关闭状态,但有时候是管理员欺骗攻击者,可以过...原创 2019-07-14 18:06:30 · 760 阅读 · 0 评论 -
Nmap笔记(三)-服务识别及版本探测
Nmap服务识别及版本探测Nmap不仅闻名于主机扫描和端口扫描,还有它对目标主机服务及版本进行识别和探测。Nmap之所以能够识别出相关的服务和版本,主要是Nmap-service中包含了很多不同的服务报文,Nmap会在Nmap-service中查询对应的哪种服务。对版本的扫描还可以设置轻量级扫描和重量级扫描,轻量级扫描就是为了更快的完成扫描,可能会损失一些精度...原创 2019-07-15 22:15:30 · 1506 阅读 · 0 评论 -
Nmap笔记(四)-逃逸防火墙和IDS相关设置参数
防火墙和IDE逃逸相关参数设置原创 2019-07-15 22:39:21 · 446 阅读 · 0 评论 -
suricata规则阈值设置
suricata对规则的阈值分为规则上的阈值和全局阈值,全局阈值覆盖规则上的阈值1.规则上的阈值格式:threshold: type <threshold|limit|both>, track <by_src|by_dst>, count , seconds alert tcp !$HOME_NET any -> $HOME_NET 25 (msg:“ET P...原创 2019-07-25 22:34:27 · 4228 阅读 · 1 评论 -
使用Oinkmaster管理suricata规则
下载后解压就可用,功能可以查看README,http://oinkmaster.sourceforge.net/基本上的功能如果本地没有rules,可以在oinkmaster.conf中设置url = https://rules.emergingthreats.net/open/suricata-3.2/emerging.rules.tar.gz如果本地有规则rules,不通过网上下载,...原创 2019-08-05 19:33:10 · 946 阅读 · 0 评论 -
使用fprobe生成Netflow
可以在https://sourceforge.net/projects/fprobe/下载fprobeubuntu deb下载地址http://ftp.uni-bayreuth.de/debian/pool/main/f/fprobe/centos rpm下载地址,可以使用以下地址搜索fprobehttp://rpm.pbone.net/index.php3fprobe的使用假设eth...原创 2019-08-22 22:28:32 · 1698 阅读 · 0 评论 -
kali笔记(一)-安装kali和靶机
https://sourceforge.net/projects/metasploitable/原创 2019-07-14 16:57:10 · 5455 阅读 · 0 评论 -
Suricata安装常见问题解决
(1)安装正常,运行报error while loading shared libraries: libpfring.so,no file or no dir查看find / -name “libpfring.so”,查看/usr/local/lib/是否存在libpfring.so,如果不存在则:ln -s /opt/pfring/lib/libpfring.a /usr/local/li...原创 2019-06-18 19:48:30 · 1899 阅读 · 0 评论 -
彻底解决Suricata Eve-log support not compiled in 问题
设置Suricata以eve-log形式输出,在运行Suricata的时候报出警告Eve-log support not compiled in: - [ERRCODE: SC_ERR_NOT_SUPPORTED(225)] - Eve-log support not compiled in. Reconfigure/recompile with libjansson and its devel...原创 2019-01-04 18:06:44 · 1983 阅读 · 4 评论 -
Suricata通过barnyard2将告警事件存入mysql
barnyard2的输入可以为bro,snort,suricata的告警文件,输出可以为文件,sguil,database这里以suricata+barnyard2为例,输出文件格式必须为unified2格式一.修改suricata的配置文件suricata.yaml,修正输出格式outputs: - fast: enabled: yes filename: fast.l...原创 2019-01-10 16:56:33 · 2608 阅读 · 2 评论 -
Suricata通过logstash将告警事件送往Kafka
一.安装logstash,解压即可使用环境装有jdk1.8tar -zxvf logstash-6.5.4.tar.gz二.自己创建logstash运行配置文件比如创建:config/logstash.confinput {file { path =&amp;amp;gt; [&amp;quot;/usr/local/var/log/suricata/eve.json&amp;quot;]//Suricata告警事件文件路径原创 2019-01-11 11:20:50 · 1355 阅读 · 0 评论 -
Suricata 规则classtype和规则文件分类说明
文件名为:classification.configconfig classification: not-suspicious,Not Suspicious Traffic,3 #不可疑的流量?config classification: unknown,Unknown Traffic,3 #未知流量config classification: bad-unknown,Potentially...原创 2019-01-09 15:50:14 · 5344 阅读 · 0 评论 -
Suricata通过logstash将告警事件送往ElasticSearch
一.安装logstash,解压即可使用环境装有jdk1.8tar -zxvf logstash-6.5.4.tar.gz二.自己创建logstash运行配置文件比如创建:config/logstash.conf(记得使用的时候把注释删掉)input { file { path => ["/usr/local/var/log/suricata/eve.json"] //S...原创 2019-01-21 20:03:40 · 1738 阅读 · 1 评论 -
Suricata安装教程
1.安装必要库(1)检查是否安装了jansson,这是Suricata输出的日志文件eve.json必备库可参考:彻底解决Suricata Eve-log support not compiled in 问题(2)安装pfring2.安装Suricatahttps://suricata-ids.org/download/下载安装包(1)解压安装包tar -zxf suricata-4...原创 2019-01-23 15:24:30 · 5083 阅读 · 0 评论 -
Suricata通过filebeat将告警事件送往Kafka,ElasticSearch
Suricata可以通过logstash将告警事件送往Kafka,ElasticSearch,其实filebeat也可以用来代替logstash,更轻量级,消耗更低性能配置文件filebeat.ymlfilebeat.inputs:- type: log enabled: true paths: - /IDE/suricata_log/eve.json #json.key...原创 2019-02-15 16:15:01 · 1786 阅读 · 0 评论 -
使用logrotate对Suricata日志进行管理
1.在/etc/logrotate.d中创建空白文件,比如suri_logrotate2.在suri_logrotate中添加以下内容/var/log/suricata/eve.json{ daily rotate 3 missingok nocompress create dateformat .%Y-%m-%d sharedscri...原创 2019-02-23 20:07:00 · 1831 阅读 · 0 评论 -
NetFlow V9协议解析使用教程(一)
一.IPFIX和Netflow(以下对协议的解释都来自百度百科)IPFIX全称为IP Flow Information Export,即IP数据流信息输出,它是由IETF公布的用于网络中的流信息测量的标准协议。该协议主要在于:l 统一 IP数据流的统计、输出标准,这使得网络管理员很容易地提取和查看存储在这些网络设备中的重要流量统计信息。l 输出格式具有较强的可扩展性,因此如果流量监控的要求...原创 2019-05-21 20:01:55 · 7184 阅读 · 4 评论 -
NetFlow V9协议解析使用教程(二)-配置,采集,处理NetFlow
一.实践环境1.不是每一台交换机或者路由器都支持Netflow,如果不支持可以使用Fprobe监听流量,生成Netflow2.采用的是中兴路由器,其它路由器如何设置要看它的用户手册了,但这里提供思路参考比如现在想监听路由器1网口的双向流量,然后将NetFlow发往某个可达到的IP地址(例子:192.168.20.12)中兴路由器配置如下:二.采集NetFlow数据包1.路由器发送Net...原创 2019-05-28 15:23:49 · 3884 阅读 · 1 评论 -
Security Onion安全洋葱架构概述
一.安全洋葱核心功能官网:https://securityonion.net/Security Onion将三个核心功能无缝融合在一起:1.完整数据包捕获;2.基于网络和基于主机的入侵检测系统(分别为NIDS和HIDS);3.强大的分析工具。二.安全洋葱框架图三.安全洋葱框架介绍(只针对NIDS)安全洋葱主要由流量采集,流量分析,日志解析,事件检索,分析工具5个组件组成。1.流...原创 2018-10-26 14:44:27 · 10850 阅读 · 0 评论