20210625-
0.引言
写过一篇文章《Suricata+ELK(Docker化部署)数据展示》,利用suricata在流量出口位置实现网络流量的事件监测。当时采用的规则,是一些开源的规则,当时使用完这些规则之后,发现误报什么的,还是挺多的。
对于suricata来说,这个软件我还是使用了非常多的,因为他本身作为一个流量处理引擎,完成的事情也挺多。所以最近就想着,能不能对他深入进行一些理解,所以在这篇文章中进行记录。
(文章属于自己阅读过程中的随感产物)
1. suricata的学习记录
本部分并没有参考太多的第三方网页内容,而是仅仅针对suricata的官方文档来进行学习,通过大致翻阅他的官方文档[1],来了解他具备哪些特性。在以前的时候,我也了解过一些相关的IDS的内容,例如snort,还有bro。如果仅仅从作用上来看,作为IDS,我们应该关注的就是如何安装这个东西,同时他的规则又应该怎么编写,这两者应该是最重要的。
1.1 整体概览
.
文章的整个目录的标题在上图中被列出:从如何安装,到下发规则,再到最后自定义lua脚本,内容还算是完整。我在逐步读完整个文档之后,感觉文档的内容还是比较清晰的。不过,从内容上来看,内容并不是很复杂,整体阅读难度也比较低(个人感觉)。
这些目录里面比较重点的,就是规则下发和输出。规则管理需要管理各种攻击的指纹,输出代表着各种警告和事件。因为最终的输出并不仅仅是各种规则警告,还有各种流量的解析内容,所以像我这种平时更关心底层流量中都覆盖了什么。
1.2 规则管理与编写
我简单看了一下,规则主要是告警规则,虽然他提示还有异常,但是没具体看清楚这个类型的覆盖范围。告警规则的管理中,其自身提供了一个工具,suricata-update,通过相关的规则源来定期更新。但是其中有一些是商业的,而且之前的时候,我更新过一些开源的,感觉,效果并不是很好。同时,在github上也看到过一些撰写进行规则管理的界面,感觉还是挺好的,特别是在规则非常多的时候,有一个管理界面还是挺重要的。
规则的编写部分对规则进行了详尽的解释。
虽然说,我还没明白规则到底长什么样子,但是看他这个整体的解释过程,也能大概了解了。利用各种关键词来组成一条规则,每个关键词可能都需要满足一定条件才能触发。整体来看,关键词的粒度还是很清晰的。
这部分主要存在三个问题:
- 规则源都有哪些,商业的规则源效果怎么样,因为在github上看到过有一两个自己开源的规则,是否还存在比较全的规则库
- 之前看论文的时候,也关注过,他们都说现在的各种实际部署的IDS都是基于指纹的,是否可以定义异常?例如扫描行为?
- 如果suricata也是基于指纹的,他是否支持带状态的检测呢?说白了,就是想了解他这个指纹是单包指纹还是多个包?比如说我觉得某个应用,某个恶意软件,他每次分步进行了两个行为,这两个行为分为不同的数据包中,是否可以支持?又或者,我要检测包长呢?
1.3 输出
IDS最重要的输出肯定是告警,这个毋庸置疑。还有一个部分,就是suricata提供的事件日志,这部分内容本质上就是涵盖前面规则部分的关键词。所以之前的时候,我一直关注这部分内容,而且有点想偏了。
2. 几个问题
在昨天实时阅读这部分文档的时候,还是问题挺多的;但是现在有点遗忘了。
我个人觉得,不管怎么样,重点就是规则的问题;一方面,我觉得应该考虑这个规则如何编写,理解他的语法,但也要思考,他的灵活性有多高,是不是有些地方不能支持;而另外一方面,规则应该如何提取?可能有专门的研究员来进行规则编写,规则提取。
还有suricata是否支持单向流?另外,好像suricata支持dpdk吗,在文档里面没看到,虽然在github看到过。
3. Suricata相关开源工具
suricata开源规则
开源集成平台(集成IDS的日志)
suricata规则管理平台
suricata docker镜像
suricata DPDK优化
5万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
