「Suricata」Suricata NFLOG开启配置

最新推荐文章于 2023-04-23 09:27:35 发布
最新推荐文章于 2023-04-23 09:27:35 发布
阅读量444 收藏 1
点赞数 1
分类专栏: Linux 网络安全 文章标签: iptables linux 网络安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41468462/article/details/114528674
版权

  1. 首先,检查Suricata是否支持NFLOG模式:

    $ suricata --build-info
# 无关输出省略
...
...
Suricata Configuration:
  AF_PACKET support:                       yes
  eBPF support:                            no
  XDP support:                             no
  PF_RING support:                         no
  NFQueue support:                         no
  NFLOG support:                           yes

  2. 如果不支持nflog模式,像我之前是通过ppa安装的,默认不支持NFLOG,则需要在官网上下载安装包,在服务器上解压并进入对应文件夹后,运行configuration进行配置,命令如下:

    ./configure --enable-nflog --prefix=/usr/ --sysconfdir=/etc/ --localstatedir=/var/

    其中,--enable-nflog表示配置支持NFLOG,--prefix=/usr/ --sysconfdir=/etc/ --localstatedir=/var/用以配置安装路径。

  3. 在suricata.yaml中配置NFLOG(iptables传送到NFLOG的配置可参考这篇文章):

    #nflog support
nflog:
    # netlink multicast group
    # (the same as the iptables --nflog-group param)
    # Group 0 is used by the kernel, so you can't use it
  - group: 40
    # netlink buffer size
    qthreshold: 1
    qtimeout: 100
    buffer-size: 87380
    max-size: 12582912

  4. 运行Suricata:

    suricata -c /etc/suricata/suricata.yaml --nflog -D
netfish01
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
suricata-configuration:Suricata 概述和设置说明
06-14
Suricata 配置 安装: 运行 install.sh 来安装 suricata: ./install.sh 默认安装模式是 IDS 模式。 如果要在 IPS 模式下安装,请运行: ./install.sh -IPS 这会在/usr/bin安装 suricata,在/etc/suricata安装配置文件。 跑步: 接下来在 IDS 模式下运行 suricata: ./run.sh -IDS ethX 其中 ethx 是监控流量的接口。 在 IPS 模式下运行 suricata: ./run.sh -IPS ethX 这将使用 iptables 规则将流量路由到 suricata。 要查看 http 日志,请参阅/var/log/suricata/http.log 。 日志比较 要比较 squid 和 suricata 的日志,请在包含 suricata 日志 (
Suricata配置
weixin_34302561的博客
08-17 300
          见官网 https://suricata.readthedocs.io/en/latest/configuration/index.html#             Docs »   8. Configuration  Edit on GitHub 8. Configuration 8.1. S...
调试iptable用nflog
剡月的博客
03-10 343
调试iptable https://www.opsist.com/blog/2015/08/11/how-do-i-see-what-iptables-is-doing.html or iptables -t filter -A FORWARD -j NFLOG tcpdump -i nflog -w XX.log
go-nflog-acctd:在Linux iptables下使用NFLOG进行IP记帐
05-16
%go-nflog-acctd(1)用户手册%Nick Craig-Wood%2013年5月17日 进行NFLOG记帐 这是一个在Linux iptables下使用NFLOG进行IP记帐的程序。 要使用它,您需要在iptables(和ip6tables)中添加一些NFLOG规则,并配置go-nflog-acctd来读取它们。 它将定期转储.csv文件供您分析。 要监视与该主机之间的IPv4,可以使用 iptables -A OUTPUT -j NFLOG --nflog-group 4 --nflog-range 20 --nflog-threshold 50 --nflog-prefix "IPv4out" iptables -A INPUT -j NFLOG --nflog-group 5 --nflog-range 20 --nflog-threshold 50 --nflog
nflog-开源
05-02
nflogiptables通过虚拟设备记录数据包的新目标,类似于OpenBSD下的pflogNFLOG不是ulogd2提供的目标
docker-suricata:Suricata Docker映像
05-07
Suricata Docker映像用法您很可能希望在主机上的网络接口上运行Suricata,而不是在容器内通常提供的网络接口上运行: docker run --rm -it --...但是您可能想要查看Suricata记录的内容,因此您可能想要像这样启动它: ...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用...
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation ...
DPDK_Suricata_4.1.rar
08-30
使用DPDK 加速suricata-4.1.4源码。 DPDK版本 dpdk-stable-18.11。 Suricata版本 suricata-4.1.4 。 编译:./configure --enable-dpdk
ProbeManager_Suricata:适用于探针管理器的Suricata NIDS模块
05-12
配置设置并测试配置。 添加,删除,更新脚本和签名。 测试签名的合规性。 测试签名是否通过Pcap生成警报。 通过HTTP或上传文件添加规则。 通过HTTP(EmergingThreat ...)更新计划规则 将规则分组,然后将其...
linux环境centos 7 下suricata 源码安装
村中少年的专栏
03-05 3941
suricata linux环境下安装步骤
nflog学习
n1wer的专栏
03-16 753
nflog 是一种类似client/server的架构,需要进行nflog通信时,需要先启server。然后客户端才能发送数据给server。
iptables中ULOGNFLOG实现分析
weixin_43862733的博客
04-23 246
图3说明:如果指定的消息池不存在(使用分组编号定位一个消息池),将不写入消息,也不构造消息。当一个数据包满足了匹配条件,并开始执行NFLOG target时,需要根据nflog target的私有数据struct xt_nflog_info来构造要发送的消息,并使用xt_nflog_info中消息池编号指定的消息池发送消息,使用单播把数据包发送给创建本消息池的进程。1.内核也是通过消息池来发送消息,但是不能接收消息,消息池是静态的,也就是说,消息池的个数和相应的属性是固定的,用户空间没法进行配置
ebtables日志nflog
redwingz的博客
02-20 532
内核由函数ebt_nflog_init注册nflog目标,即结构ebt_nflog_tg_reg。 static struct xt_target ebt_nflog_tg_reg __read_mostly = { .name = "nflog", .revision = 0, .family = NFPROTO_BRIDGE, .target = ebt_nflog_tg, .checkentry = ebt_nflog_tg_ch
NFLOG 网络pcap数据包转以太网pcap数据包
jmhIcoding
10-30 653
项目介绍 本项目支持将从Linux NFLOG网卡抓取的NFLOG 帧转换为常见的以太网帧。 项目地址: https://github.com/jmhIcoding/nflog_to_eth.git 环境要求: Windows : 需要安装VC++ 2013 运行库 Linux : 需要安装g++, libpcap-dev 项目编译方式 源码安装 VS2013 打开vsrc目录,里面有个vsrc.sln项目文件,用VS2013打开这个项目文件,然后编译就可以。 Linux sudo apt-get inst
ip6tables中nflog的使用
l1902090的专栏
06-02 4224
一、前言     iptables中有个非常有用的功能:log。通过log我们可以在内核特定位置抓取我们想要的数据包,之后由用户层的程序接收数据包的log并做相应处理。iptables中的log target主要有以下三种:     1、log     log target会把匹配到的数据包的部分信息输出到dmesg和syslogd中,之后用户可以直接用dmesg或者到log文件中查看,属于
如何在 Linux 系统上安装 Suricata 入侵检测系统
weixin_33738578的博客
05-02 894
如何在 Linux 系统上安装 Suricata 入侵检测系统 随着安全威胁的不断发生,入侵检测系统(IDS)在如今的数据中心环境中显得尤为必要。然而,随着越来越多的服务器将他们的网卡升级到10GB/40GB以太网,对如此线路上的硬件进行计算密集型的入侵检测越来越困难。其中一种提升入侵检测系统性能的途径是多线程入侵检测系统,它将 CPU 密集型的深...
suricata 配置中间人攻击规则
最新发布
05-17
Suricata是一个网络入侵检测系统(NIDS),能够检测和防御各种网络攻击。其中,中间人攻击是一种比较常见的攻击方式,可以通过Suricata中的规则来进行检测和防御。 以下是一个基本的Suricata中间人攻击规则的示例: ``` alert tcp any any -> any 80 (msg:"Possible man-in-the-middle attack"; tls_sni; content:"www.example.com"; sid:1000001; rev:1;) ``` 解释: - `alert tcp any any -> any 80`:指定检测TCP协议的流量,并从任意源IP和端口发送到目标IP的80端口。 - `(msg:"Possible man-in-the-middle attack";`:规则的描述信息。 - `tls_sni;`:启用TLS Server Name Indication(SNI)检测。 - `content:"www.example.com";`:搜索HTTP报文中的内容,如果包含“www.example.com”,则触发规则。 - `sid:1000001;`:规则的唯一标识符。 - `rev:1;`:规则的版本号。 以上规则仅用于检测HTTP流量中的中间人攻击,如果您需要检测其他类型的流量,可以根据需要进行修改。此外,规则中的细节和语法可能需要根据Suricata版本和使用的模块进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值